成都联安：6月份共发生典型安全事件36起以上，“defi”和“虚拟货币欺诈”的安全风险居高不下

根据成都联安[beosin eagle eye]的安全舆情监测数据，2021年6月，据不完全统计，整个区块链生态共发生典安全事件36起以上，整体安全风险等级为[高]。本月，[DeFi]仍是典安全事件的主阵地，“闪电贷款攻击”仍是黑客采取的主要攻击手段。此外，[骗局运行/加密骗局]的安全形势也很严峻，不可掉以轻心。

与5月份相比，DeFi生态的攻击不再局限于BSC链上的项目。随着DeFi生态的繁荣，各种DeFi项目因产品设计和实施的不同而暴露出不同的安全风险。例如，在xwin finance遭黑客攻击的情况下，攻击者利用项目本身“推广手段和奖励机制”的漏洞发起攻击；然而，在safepolar被黑客攻击的情况下，攻击者利用了项目合同在“抵押和报酬计算”中的逻辑缺陷。

以下是本月安全月报的详细内容。

交易所

发生“2”起典安全事故

01

根据韩国当局的新规定，如果交易平台的工作人员在自己的平台上交易，他们的交易平台将面临最高1亿韩元（约9万美元）的罚款和暂停交易许可。

02

韩国警方逮捕了虚拟货币交易平台“V global”的一名代表和四名运营商，罪名是涉嫌违反限制非法信贷相关的法律和欺诈行为。

就定义而言

共发生11起典安全事故

01

Pancake hunny遭到黑客攻击，短时间内发行了大量代币并销往市场。

02

Sushiswap帮助alchemix找到了一个漏洞，可以从他们的奖励合同中提取alcx，因此alchemix要求Sushiswap禁用他们的“双重挖矿奖励”。

03

对收入农场evoDeFi的攻击导致其代币发电机的价格从2.1美元跌至0.9美元，下跌了57%。

04

Defi固定速率生成协议88mph，发布init（）函数严重漏洞修复报告。

05

Alchemix-alETH池被怀疑是易受攻击的，如果alETH债务未偿还，用户可以提出抵押ETH。目前，专案组已停止该池的按揭贷款，并展开调查。

06

DeFi协议，无形金融，被怀疑受到了闪电贷款的攻击。

07

十一财经中与神经有关的机枪库可能会遭到雷击。金融团队表示，这些资金是安全的。

08

6月25日，BSC链上的WiFi协议xwin Finance遭到lightning loan攻击。

09

6月28日，safepolar被怀疑受到黑客攻击，一份未经确认的合同提取了USDC和USDT的25万美元。

十

ThERChain遭到恶意攻击，造成14万美元的资本损失。不过，thERChain表示，用户的资金不会受到影响，资金池将用于弥补资金漏洞。

十一

Merlin lab是一个收入聚合器，由于Merlin strategy alpacabnb的逻辑漏洞，它遭到了黑客的攻击。漏洞在于合同错误地将受益人转让的wbnb作为挖矿收入，这使得合同发行了更多的merl美元作为奖励。

Beosin审查；

本月，典安全事件突破“十大”关口，安全形势依然严峻。如闪电贷款攻击、业务逻辑漏洞、项目奖励机制等原因，都成为黑客攻击的“裂缝”。因此，作为项目方，重视项目本身的设计和实施是非常重要的。必要时，可在第三方安全公司的协助下进行项目自检，消除安全隐患。

诈骗/加密诈骗

共发生典安全事故8起

01

6月1日，两名涉嫌通过比特币点对点平台local bitcoins进行诈骗的男子被拘留。在这起诈骗案中，有近36人和约13.6万美元的虚拟货币被骗。

02

6月12日，Twitter用户表示，他们收到了欺诈小组的一封电子邮件，该小组打开了附有Microsoft Word徽标的SCR文件，然后他们遭到了攻击。

03

英国诺丁汉郡一名男子说，他在一家假冒经纪公司的加密骗局中被偷了20万英镑（约合28.2万美元）。

04

Stable magnet finance是硬币安全智能链（BSC）上稳定币兑换的自动做市商，它从用户手中抢走了2200万美元并逃跑了。

05

虚拟货币投资平台africrypt的创始人失去联系，平台上的6.9万比特币（约23亿美元）被转移。

06

6月24日，在加强打击电信网络诈骗的过程中，西昌市公安局首次破获了利用虚拟货币为电信网络诈骗“洗钱”的团伙。

07

欧洲刑警组织打击了比利时的庞氏骗局。在这次行动中，执法人员追回了110万欧元现金和150万欧元虚拟货币。

08

一些骗子假装是虚拟货币分析师PlanB，在twitter上行骗。许多人的钱被偷了。

beosin评论

在过去两个月中，[欺诈/加密骗局]的典安全事件数量一直居高不下。由此可见，虚拟货币欺诈日益成为影响整个区块链安全生态的“害群之马”。日益高涨的安全形势不仅严重威胁着用户的财产安全，也给整个区块链产业的良好发展带来巨大阻力，值得关注！

勒索软件/挖矿特洛伊木马

共发生“4”起典安全事故

01

美国司法部最近指控拉脱维亚公民阿拉·维特参与一个国际网络犯罪组织，该组织制造并部署了一个名为trickbot的电脑银行勒索软件，企图欺骗消费者、企业和其他组织。

02

美国收回了支付给殖民地政府的钱；管道勒索软件黑客数百万虚拟货币。

03

巴西肉类加工公司JBS SA的美国子公司JBS USA holdings首席执行官安德烈·诺盖拉（Andre Nogueira）表示，该公司已向网络犯罪分子支付1100万美元赎金，以解决软件敲诈攻击。

04

monero恶意软件Crackonosh已经感染了222000台电脑。

其他方面

共发生11起典安全事故

01

6月3日，苹果联合创始人史蒂夫·沃兹尼亚克（Steve Wozniak）在去年7月起诉YouTube，指控YouTube平台允许他人使用自己的图片发布比特币欺诈视频。加州法院周三驳回了这一诉讼。

02

韩国虚拟货币交易所upbit的11名用户对其运营商dunamu公司提起集体诉讼，要求其赔偿因涉嫌技术故障造成的资本损失。

03

斯里兰卡总理的官方网站被一个匿名黑客组织入侵，并被重定向到另一个名为去中心化虚拟货币比特币的网站。

04

Siastats在推特上说，SIA网络在过去48小时内遭到DDoS攻击。最大的目标是网络主机和存储供应商，其中约30%的公司遭遇停电。

05

DeFi资产管理平台Zapper在推特上表示，它在旧版本的“POLOGAN桥”智能合约中发现了一个漏洞，攻击者可以通过该漏洞窃取无限的批准资金。

06

有推特用户表示，USDC/ETH交易100万美元的曲线滑动点高于USDC/ETH交易1000万美元的曲线滑动点，怀疑是路由错误造成的。目前，该漏洞已被修复。

07

孟买居民马卡兰·帕迪普·阿迪维卡尔（Makarand Pardeep adivirkar）被印度麻醉品局（NCB）逮捕，称其为该国地下毒品循环的“加密之王”，印度虚拟货币交易所wazirx称被告不是他的当事人。

08

算法稳定币协议Malt（算法稳定币协议）宣布了一项计划，以补偿受到阻碍该协议推出的漏洞影响的投资者，并锁定流动性提供者。

09

一位名叫黄炳光的税务官员凭借其敏锐的调查技巧，成功追回了高达3200万美元的税款。国家税务总局决定对他进行表彰，授予“优秀公务员”称号。

十

安全公司Fireblocks就以太坊损失stacehound 7500万美元一事回应称，这是因为stacehound未能按要求使用第三方灾难恢复服务备份BLS密钥，双方签署协议时以书面形式进行了沟通。

十一

6月29日，由于担心投资欺诈和欺诈，美国国家西岸银行（NatWest bank）限制了客户每天可以发送到虚拟货币交易所（包括货币安全）的金额。

针对区块链生态的安全现状，“成都联安”在此总结：

总体来看，6月份典安全事件较5月份略有增加，整个区块链生态系统的安全形势仍处于[高风险水平]。不难看出，从6月份的安全事件类分布来看，【DeFi】和【欺诈/加密诈骗】仍然需要区块链各方从业者的关注。

就[DeFi]而言，随着DeFi生态的不断发展，各种DeFi项目层出不穷。链上的资产中心化度越高，用户覆盖范围越广，就越自然成为黑客攻击的目标。成都联安·安全团队建议，各大DeFi项目方必须做好安全审计和安全防范工作。

随着虚拟货币市场的迅速扩张，各种诈骗、逃逸犯罪活动日益猖獗。成都联安·七星实验室注意到，近年来，越来越多的犯罪分子开始利用虚拟货币进行诈骗、传销、洗钱、网络赌博等违法犯罪活动。建议投资者不要盲目跟风、轻信，以免落入犯罪分子“精心处理”的陷阱。