SHIELD:11月共发生安全事件35起 DeFi为何沦为一小撮人的狂欢?_SPRAY币

据PeckShield态势感知平台数据显示,过去一个月,整个区块链生态共发35?起较为突出的DeFi安全事件,危害程度评级为「高级」。涉及DeFi相关13起、钱包安全2起、勒索相关5起,事件10起、其他攻击5起。

黑客肆虐,DeFi为何沦为一小撮人的狂欢?

牛市来临之后,DeFi一度被誉为支撑加密货币成为今年真正“头号”投资产品的关键。

据DappTotal数据显示,11月以来,DeFi的总锁仓量突破新高。

整个DeFi生态一副欣欣向荣的景象。然而,另一边,DeFi正陷入弱代码流行病的困扰。据PeckShield统计,11月共发生逾13?起与DeFi相关的安全事件,造成损失近5000万美元。

11月7日起美国进入冬令时,美股延后一小时开盘:金色财经报道,美国2021年冬令时将于2021年11月7日当地时间早上02:00(北京时间15:00)开始,至2022年3月13日当地时间早上02:00(北京时间15:00)结束,届时美国股票市场的常规交易时段对应的北京时间延后1小时,即将变为周一至周五22:30到次日凌晨5:00。11月8日为进入冬令时后美股的首个交易日。(注:夏令时为每年3月的第二个星期日至11月的第一个星期日,冬令时为每年11月的第一个星期日至次年3月的第二个星期日。)[2021/11/5 6:33:19]

11月1日,YFI披露一个新的闪电贷安全漏洞,团队在1.5个小时后移除该漏洞;

孟宏伟:截至11月29日雄安涉及各领域40个区块链场景:12月1日消息,雄安新区智能城市创新联合会区块链实验室副主任孟宏伟表示,截至11月29日,我们已经发布涉及各领域的40个区块链场景,这些场景预期在雄安进行实践并落地,在区块链订单融资中,区块链主要发挥了数据增信和立体交互的作用。区块链的不可篡改特性,保证了总包合同、分包合同、支付信息等数据来源可信。区块链的可追溯特性,实现了贸易背景多方关联,呈现了从分包企业到总承包企业再到业主单位的完整供应链条,链上数据经过各方确权,通过一定的授权机制可以共享。[2021/12/1 12:43:10]

11月2日,主网仅上线几个小时的AxionNetwork遭到黑客攻击,黑客利用其质押相关漏洞铸造790亿枚代币AXN,导致其代币价格短时下跌100%,并且损失50万美元;

道指11月累跌3.73%:11月道指累跌3.73%,标普500指数累跌0.83%,纳指累涨0.25%。[2021/12/1 12:42:10]

11月6日,PercentFinance因出现漏洞而冻结了100万美元的代币,包括44.6万枚USDC、28枚WBTC和313枚ETH;

11月7日,PeckShield监控到黑客利用闪电贷通过一笔交易攻击一家去中心化数字银行CheeseBank,凭空套利330万美元;

11月10日,JustSwap白名单DeFi项目SharkTron被窃取价值1000万美元的波场币,波场联合币安冻结部分资金;

动态 | Bakkt推出流动性奖励规则后交易量显著提高,11月27日创历史新高:数字资产平台Bakkt在周三(11月27日)的比特币期货单日交易量达到3745万美元,超过此前11月22日的最高交易量1996万美元,创下历史新高。自今年9月23日推出比特币期货以来,Bakkt的月度比特币期货总交易量目前为33036 BTC,约合2.964亿美元。在过去48个交易日中,平均的日交易额约为688.25 BTC,约合562万美元。TheBlock新闻总监Frank Chaparro此前发推称,近期Baktt的交易量增长发生于10月23日后,近8个交易日的平均交易量达到565万美元,而10月23日为Bakkt推出流动性奖励计划规则以增加交易量的第二天,目前该规则从11月1日后开始生效,已提交至CFTC等待审核。根据规则要获得奖励资格,公司必须展示其交易能力。(The Block)[2019/11/29]

11月14日,PeckShield监控到黑客利用Akropolis项目存在的存储资产校验缺陷,向合约发起连续多次的重入攻击,凭空增发大量的pooltokens,掳走203万枚DAI;

11月15日,PeckShied监控到黑客利用ValueDeFi协议中基于AMM算法的价格预言机(Curve)存在的漏洞,操纵Curve上代币的价格,铸造pooltokens,最终获利540万美元

11月17日,PeckShield监控到DeFi协议OriginProtocol稳定币OUSD遭到攻击,攻击者利用dYdX的闪电贷进行重入攻击(Re-entrancyattack),造成价值770万美元的ETH和DAI的损失;

11月18日,PeckShield监控到仅上线48小时的DeFi固定利率借贷协议88mph存在代码漏洞,攻击者利用该漏洞铸造价值10万美元MPH代币

11月22日,PeckShield监控到曾被V神发推文赞赏的DeFi项目PickleFinance,因被黑客攻击未经审核新创建的智能合约漏洞,损失近2000万美元的DAI;

11月26日,Compound遭预言机攻击,9000万美元资产遭清算。此次Compound巨额清算是由于预言机信息源CoinbasePro的DAI价格剧烈波动导致的,操控预言机所依赖的信息源进行短时间的价格操纵以达成误导链上价格是典型的预言机攻击;

11月29日,RGTDistributor的合约出现漏洞,智能合约?DeFi智能投顾RariCapital发布官方推特称已修复合约漏洞,没有资金丢失;

11月30日,流动性挖矿项目SushiSwap遭到流动性提供者攻击,该攻击者通过一笔交易中获取了1至1.5万美元,随后该修复通过PeckShield审核。

区块链世界信仰“CodeisLaw”,认为代码即法律,分布式技术可确保数据不可篡改,最大程度地保证系统安全,但现在基于区块链技术开发的DeFi为何频遭安全问题困扰?

PeckShield相关负责人分析道:“DeFi的金融属性强,与资金绑定紧密,一旦发生安全事件,大概率会直接涉及到切身利益,但此类安全问题并非没有破解的方法。DeFi还处于发展阶段,在主网上线前,一定要确保代码进行彻底地审计和研究。例如PickleFinance被攻击的事件,略过了新增代码的审计,造成黑客有机可乘。同类DeFi被攻击后,要及时确认自己的合约是否也存在类似的漏洞,或者寻求专业的审计机构,例如PeckShield对同类攻击进行监控。”

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:0ms0-3:818ms