自2020 年DeFi 點燃FOMO 情緒後,曾經食物鏈頂端的CEX(中心化交易所)的優勢逐漸減弱,尤其是從增量市場變為存量市場以後,CEX 開始尋求新的突破點。公鏈作為區塊鏈行業的發展基石,是交易所發力的重要突破點,它不僅能將交易所的各個生態佈局連接到一起,同時也是與DeFi 連接的契合點。
2020 年下半年,幣安、火幣、OKEx 等各大中心化交易所紛紛加快佈局自己的公鏈支持DeFi 項目,為搶占DeFi 市場分一杯羹。
2021 年起,CEX 公鏈上的DeFi 項目陸續出現跑路的狀況。據PeckShield 統計,2 月CEX 公鏈上的DeFi “土礦”跑路項目至少有4 起。
2 月1 日,媒體報導稱,幣安智能鏈上的DeFi “土礦” 項目Popcornswap 和Multi Financial 跑路,分別損失約48,000 BNB 和5,000 BNB。此前,幣安智能鏈上的Zap Finance、Tin Finance 和SharkYield 等DeFi 項目被爆相繼跑路。
2 月8 日,火幣公鏈HECO 上的借貸項目Filda 疑似被盜580 萬HUST。
2 月28 日,媒體報導稱,火幣公鏈HECO 上的項目tokenlink 疑似跑路,損失幾百萬USDT。
CEX 公鏈上的DeFi 項目已現跑路的態勢,投資者該向誰問責?
對此,CEX 相關負責人曾表示CEX 搭建的公鏈與以太坊等公鏈一樣,不應該為構建在其上面可能存在問題的項目負責。
PeckShield 安全專家表示:“從CEX 所推出的公鏈的定位上來看,它們致力於打造一條公有鏈,即非許可鏈(Permissionless Blockchain)。在理想狀態下,任何人都可以參與區塊鏈數據維護和讀取,容易部署應用程序,完全去中心化不受任何機構控制。但值得注意的是,CEX 所推出的公鏈還處於發展初期,在構建生態的過程中,可能還需要有一個'弱中心化'的過渡過程。從投資者角度來看,由於CEX 的公鏈由CEX 部署,雖然CEX 可以對上線項目進行免責聲明,但用戶或將其品牌視作一種信用背書,改進和完善製度治理是CEX 亟待解決的問題。”
詐騙蔓延至DeFi領域DeFi可組合性漏洞持續凸顯
除了CEX 公鏈上的DeFi 項目跑路的安全事件外,據PeckShield 統計,2 月共發生21 起DeFi 安全事件,詐騙事件已蔓延至DeFi 領域,DeFi 的可組合性漏洞持續凸顯。
2 月5 日,Yearn v1 yDAI 保管庫遭到攻擊,保管庫損失了1100萬美元,攻擊者竊取了280萬美元。
2 月5 日,DeFi 保險項目ArmorFi 向白帽黑客支付150 萬美元的漏洞賞金。據悉,這名黑客發現了該協議的一個“關鍵漏洞”,該漏洞可能會導致該公司所有的承保資金被耗盡。
2 月8 日,去中心化交易協議Curve 表示發現聚合協議Yearn 全新的yv2 資金池存在問題,為了保護流動性提供者,該資金池已經關閉。
2 月9 日,去中心化衍生品交易所dYdX 官方推特表示,目前尚未發幣,也沒有進行預售或空投。用戶需警惕相關騙局。
2 月9 日,智能DeFi 收益聚合器BT.Finance 遭到黑客攻擊,損失約150 萬美元。
2 月13 日,DeFi 協議Cream.Finance 以及Alpha Finance 遭到閃電貸(Flash Loan)攻擊,損失3,750 萬美元。
2 月15 日,以太坊鏈上期權協議Primitive Finance 發推稱, Primitive Finance 沒有協議代幣,用戶需警惕相關騙局。
2 月20 日,基於Tezos 構建的DEX Dexter 被曝合約存在漏洞,該漏洞允許在未經授權的情況下提取資金,開發團隊Nomadic Labs 已重寫合約。
2 月21 日,DAO Maker 發推提醒用戶,警惕冒充DAO Maker 的騙局。
2 月22 日,以太坊鏈上期權協議Primitive Finance 智能合約中發現了一個嚴重漏洞。由於合約不可升級或暫停,官方利用自己的智能合約進行黑客攻擊以保護用戶資金。
2 月22 日,去中心化借貸協議ForTube 披露兩週前的安全漏洞,暫無用戶因漏洞而造成損失。
2 月24 日,以太坊二層擴容解決方案開發團隊Matter Labs 發推質疑去中心化交易所ZKSwap 的用戶資金安全。
2 月25 日,有報告指出,自動做市商在交易或代幣互換之前使用的審批機制可能存在安全漏洞,報告稱該功能允許第三方代表用戶從其賬戶中發送代幣。與此同時,報告發現有欺詐者正在使用該手法利用釣魚郵件騙取LINK。
2 月26 日,DeFiBox 監測發現,上線火幣生態鏈Heco 的基金投資平台MFD 存在預挖風險。
2 月27 日,DeFi 收益聚合器Yeld.Finance 的DAI 池遭到閃電貸攻擊,損失16 萬DAI。
2 月28 日,DeFi 聚合平台Furucombo 遭到黑客攻擊,損失超過1400 萬美元。由於Cream Finance 未及時從錢包裡撤銷所有對外部合約的授權,因此受到該漏洞的影響,造成損失約110 萬美元。
2 月28 日,DeFi 保險協議Armor.Fi 發推表示,一名詐騙者從團隊成員騙取120 萬枚ARMOR 代幣,目前已經以大約600 ETH(約合85萬美元)的價格拋售完畢。
PeckShield 發現,2 月所發生的DeFi 項目Furucombo、 Primitive Finance 遭攻擊都與DeFi 無限授權模式相關,該授權方式使得錢包無需經過用戶任何許可,即可支配其所有資產,且不受用戶私鑰保管限制。 PeckShield 提示用戶切勿過度授權。
對於協議開發者而言,在嘗試創新的基礎上,需要提高安全意識,定位組合可能存在的問題,在做安全審計時充分考慮系統組合時存在的業務邏輯缺陷,進而做到安全防禦為首。其次,由於DeFi 項目與資產緊密相連,容易成為潛在的攻擊對象,這就要求DeFi 協議開發者提升安全防禦等級,包括項目上線前的安全審計,項目運行中的異常數據預警和危機發生時及時的應急響應等等。
交易所攻擊
據PeckShield 統計,2 月共發生6 起典型的交易所安全事件,包括英國加密貨幣交易所Exmo 遭到DDoS 攻擊,服務器暫停使用。
影響較⼤的安全事件為2 月1 日交易所Cryptopia 再次遭黑客入侵,被盜取約62,000 新西蘭元(合約45,000 美元)的加密貨幣。調查顯示,黑客訪問了一個自2019 年被盜後一直處於休眠狀態的錢包,該錢包由Cryptopia 的清算人Grant Thornton 控制。
詐騙& 勒索
據PeckShield 旗下反欺詐態勢感知系統CoinHolmes 統計,2 月共計發生10 起詐騙相關安全事件和1 起勒索事件。
2 月4 日,社交平台Discord 上出現比特幣贈送騙局,以收集加密用戶數據。
2 月5 日,澳大利亞男子被指通過加密貨幣對沖基金詐騙9000 萬美元,現已認罪。
2 月5 日,德國檢察官從一名詐騙者手中沒收了價值超過5,000 萬歐元(約合6,000 萬美元)的比特幣,但面臨一個尷尬的問題,即無法破解密鑰而不能解鎖這筆資產。
2 月6 日,美國司法部(DOJ)宣布,塞爾維亞公民Antonije Stojilkovic 涉嫌詐騙加密貨幣投資者逾7,000 萬美元,已被引渡到美國,面臨共謀實施欺詐和洗錢的指控。據稱,Stojilkovic及其同夥在塞爾維亞等地建立了20 多個虛假交易平台。
2月8日,美國佛羅里達州電信公司的Stephen Dediore 被指控進行SIM 交換詐騙,竊取加密貨幣。如果罪名成立,Dediore 將面臨最高5 年監禁和最高25 萬美元的罰款。
2 月10 日,比利時能源部長Tinne Van der Straeten 的推特帳戶被黑。其推特賬戶被改名為“以太坊基金會”,並發布以太坊贈品騙局誘使其關注者進入欺詐網站。
2 月11 日,歐盟執法機構逮捕通過SIM 交換竊取價值1 億美元加密貨幣的黑客。
2 月11 日,日本檢察官已指控一群體涉嫌處理價值1.8 億美元Coincheck 交易所被盜虛擬貨幣。
2 月17 日,美政府起訴北朝鮮黑客組織Lazarus Group 的三名成員,涉嫌竊取逾13 億美元的資金和虛擬貨幣。
2 月18 日,汽車製造商起亞汽車(Kia Motors)遭到勒索攻擊,黑客索要600 枚比特幣作為贖金(合計價值3000 萬美元)。
由於加密貨幣具有匿名性、鏈上資產轉移路徑複雜、技術追踪難度大,從而加大了相關部⻔執法的難度。除了完善相關的法律法規,全球執法機構亟待引⼊新的監管⼯具和技術。