Chengdu Lianan: Más de 17 incidentes típicos de seguridad ocurrieron en marzo

De acuerdo con el monitoreo de datos del "Sistema de Conciencia Situacional de Seguridad Blockchain" de Chengdu Lianan (Beosin-Eagle Eye), en los últimos tres meses, se han producido varios incidentes de seguridad de vez en cuando. Según las estadísticas del personal de seguridad de Chengdu Lianan, hubo más de "17" incidentes de seguridad típicos en marzo, que involucraron la seguridad de Ethereum Defi, seguridad de intercambio, fraude y fuga, y otros incidentes de seguridad. Desde otra perspectiva, incluye los problemas de seguridad de los activos de moneda virtual y los problemas de seguridad de los datos de los usuarios.

En términos de Defi, se produjeron un total de "3" incidentes típicos de seguridad:

En los últimos meses, a medida que las finanzas de Defi continúan calentándose, los problemas de seguridad que han surgido se han vuelto cada vez más prominentes. El segundo ataque de préstamo flash bZx no muy lejos de nosotros ya nos ha recordado que bajo la prosperidad gradual de DeFi, ¿hay un gran riesgo de seguridad oculto?

1) El 28 de febrero, un usuario realizó una gran cantidad de intercambio bajo la premisa de liquidez insuficiente de  Curve V4 . Aunque el equipo descubrió el incidente y lo solucionó de inmediato, el usuario aún perdió  $ 140,000 en activos.

El proceso de evento específico es:

El usuario A desea transferir los fondos del grupo de fondos de Curve V3 al grupo de fondos de V4 y ha realizado varios intercambios de monedas estables. Debido a la grave escasez de fondos USDC en moneda estable en el grupo de fondos VE, los usuarios intercambiaron USDC insuficientes, lo que resultó en una pérdida de activos de 460 000 dólares estadounidenses.

Debido a la operación del usuario A, la cantidad de 4 monedas estables en el grupo de fondos de V4 está desequilibrada, lo que aumenta instantáneamente la tasa de retorno de la tarifa de manejo de V4; después de que el usuario B observa el aumento en el rendimiento de la tarifa de manejo, intenta llevar a cabo el arbitraje y gasta 33.000 dólares estadounidenses Se intercambiaron 90.000 BUSD y todas las operaciones de arbitraje generaron una ganancia de 3.527 dólares estadounidenses.

Después de que el equipo de Curve descubrió el problema, inmediatamente repuso los fondos en el fondo común de Curve V4. Debido a las transacciones grandes y extremadamente desequilibradas realizadas por todas las partes, cada persona incurrió en una tarifa de manejo de hasta 140 000 dólares estadounidenses durante la operación, lo que finalmente resultó en una pérdida de 140 000 dólares estadounidenses para el usuario A.

El motivo de este incidente de seguridad es que la liquidez del fondo común de Curve es insuficiente y, dado que Curve se construye sobre la base de muchos proyectos, los riesgos se acumulan de abajo hacia arriba.

2) El 12 de marzo, el círculo monetario se desplomó y ETH una vez cayó un 58 %.El mecanismo de liquidación del proyecto Defi descentralizado MakerDao, que utiliza ETH como activos colaterales, casi colapsa. Los activos ETH liquidados se subastan y gana el mejor postor. Sin embargo, entre las 3994 subastas realizadas por MakerDao, 1462 subastas se vendieron en 0dai, lo que resultó en una pérdida total de 62 893 ETH por un valor de $ 7,8 millones en la plataforma MakerDao.

La causa y el efecto del evento son:

La tasa hipotecaria mínima de MakerDao es del 150 % y los usuarios pueden pedir prestado 100 dai con una hipoteca de 150 ETH. En el diseño del mecanismo de liquidación original de MakerDAO, cuando el precio de ETH se desplome, el ETH hipotecado por los usuarios se liquidará para garantizar el funcionamiento continuo y seguro de MakerDao; el precio de ETH todavía está estancado en $166, lo que deja muchos activos sin liquidar.

La razón del colapso de la máquina del oráculo de MakerDao es que la máquina del oráculo captura las cotizaciones de intercambio de ETH en tiempo real. Sin embargo, debido a la fuerte caída de ETH esa noche, la cantidad de transacciones en la cadena Ethereum aumentó considerablemente, lo que empeoró la ya congestionada red Ethereum y, finalmente, provocó que la máquina del oráculo colapsara.

Todo el ETH liquidado entra en la etapa de subasta Dos problemas no fueron considerados en el mecanismo de diseño original de MakerDao: uno es que la tarifa de ausentismo no se puede ajustar dinámicamente de acuerdo con la congestión de la red, el otro es que la cantidad de personas que participan en la subasta no se tiene en cuenta Si es insuficiente, es difícil fijar un precio de reserva de la subasta.

Debido a las dos razones anteriores, los usuarios que normalmente participaban en la subasta no pudieron ofertar en la cadena debido a la red congestionada; los usuarios con motivos ocultos aumentaron la tarifa de ausencia y participaron en la subasta con una oferta de 0dai, y finalmente lo lograron. en la subasta

3) El proyecto Defi Synthetix reveló una vulnerabilidad de contrato, pero el contrato aún no se ha activado, por lo que no se han producido pérdidas.

La vulnerabilidad existe en la interfaz de liquidación del contrato de Synthetix. En circunstancias normales, los usuarios prometen ETH para obtener SETH, y después del período de la hipoteca, los activos se liquidan y se llama a la interfaz de liquidación para devolver SETH para obtener ETH; sin embargo, esta vulnerabilidad puede hacer que cualquier usuario queme directamente SETH hipotecado por otros usuarios para obtener ETH.

Sin embargo, dado que esta función aún se encuentra en el período de prueba, no ha causado la pérdida real de los activos de los usuarios.

Revisión de Beosin:

El proyecto Defi está creciendo rápidamente. Según las estadísticas, a partir de 2020, los activos bloqueados en la aplicación Ethereum Defi han alcanzado los mil millones de dólares estadounidenses. La popularidad de los proyectos Defi proviene principalmente de sus altos rendimientos. Defi también se conoce como "finanzas descentralizadas". La base de las finanzas abiertas es que la tasa de rendimiento tan alta como 8%-10% está obligada a estar acompañada de grandes riesgos.

Este es un campo de iteración rápida, por lo que los equipos Defi de todas las partes tienen la libertad de desarrollar sus propios productos de contrato, pero no existe una solución de seguridad estándar y unificada que cumplir, o deben pasar auditorías de seguridad estrictas, lo que conduce a varias lagunas en los contratos. y los problemas de seguridad relacionados surgen en un flujo interminable.

Chengdu Lianan recomienda por la presente que cualquier parte del proyecto Defi preste atención a los problemas de seguridad del contrato al desarrollar contratos para hacer frente a diversas emergencias y diversos usos anormales de los contratos, a fin de evitar pérdidas; al mismo tiempo, se recomienda hacer un buen trabajo en auditorías de seguridad relevantes, con la ayuda de una empresa de seguridad blockchain profesional, para evitar posibles riesgos de seguridad.

En cuanto a los intercambios, se produjeron un total de "2" incidentes de seguridad más típicos:

1) A principios de marzo, el Departamento de Justicia de EE. UU. anunció sanciones contra los piratas informáticos Tian Yinyin y Li Jiadong sospechosos de ayudar a la organización de piratas informáticos de Corea del Norte, Lazarus Group, a lavar monedas, y congeló todos sus activos.

Los piratas informáticos Tian Yinyin y Li Jiadong utilizaron identificaciones falsas y modificaron fotografías en varios intercambios para eludir el proceso KYC. Según las estadísticas, dos ciudadanos chinos han sido acusados ​​de lavar más de $100 millones de piratas informáticos de cambio de moneda virtual.

2) Según inteligencia, ha aparecido un nuevo tipo de ataque de recarga falsa de USDT en la cadena OMNI, el problema ocurre cuando el exchange o monedero no verifica el propertyid en la transacción al detectar la recarga de USDT. Los piratas informáticos atacan emitiendo otros tokens nuevos en la cadena y luego falsificando el ID de propiedad.

El problema de las recargas falsas ya es un problema común. Desde EOS, donde al principio ocurrían con frecuencia problemas de recarga falsa, hasta Ethereum y varios tokens, y USDT en la cadena OMNI, todos han encontrado problemas de recarga falsa.

El motivo de la recarga falsa radica principalmente en dos cuestiones, la verificación de la autenticidad del token y la verificación del éxito de la transacción. Por lo tanto, Chengdu Lianan sugiere que las partes del proyecto, como los intercambios y las billeteras, verifiquen si la transacción es exitosa y si el token es correcto al verificar la transacción, para evitar ataques de recarga falsa.

En términos de estafas de escape/estafas de cifrado, hubo un total de "4" incidentes de seguridad más típicos:

1) Con el brote del nuevo corona virus (COVID-19) en todo el mundo, algunos delincuentes aprovechan las preocupaciones de las personas sobre el nuevo corona virus para realizar estafas de encriptación relacionadas con el nuevo corona virus.

Hay estafas que se hacen pasar por la Organización Mundial de la Salud (OMS) y los Centros para el Control y la Prevención de Enfermedades (CDC) para enviar correos electrónicos y mensajes de texto a los residentes, alegando poder proporcionar una lista de residentes positivos de COVID-19 en su área y preguntando para Bitcoin (BTC); también hay estafas que engañan a los usuarios para que descarguen una aplicación falsa de seguimiento de coronavirus llamada CovidLock para dispositivos Android. De hecho, es un malware que se utiliza para bloquear el teléfono móvil del usuario y luego realizar una extorsión.

2) Estafa de código QR falso de BTC. Algunos sitios web afirman mapear la dirección BTC del usuario en un código QR de forma gratuita, lo cual es conveniente para que los usuarios recauden dinero y transfieran; el código QR generado es en realidad la dirección del pirata informático. En la actualidad, se han transferido más de 0,6 BTC a la dirección del hacker.

3) La moneda aérea PETH cotiza en Sprite Exchange y volverá a cero inmediatamente después de la apertura. Todas las víctimas fueron víctimas de colocación privada en la etapa inicial, con un monto que oscila entre 80USDT y 1000USDT, unas 228 personas. Se estima preliminarmente que la cantidad involucrada es de unos 400.000 RMB, y lamentablemente algunos estudiantes universitarios están involucrados.

4) Se sospecha que el fondo de cadena de bloques "Silicon Valley Block Chicken" está a punto de colapsar. "Silicon Valley Block Chicken" es un fondo de mascotas virtual típico, similar a Block Cats y Block Dogs. Las mascotas se compran a un precio bajo y se venden a un precio alto después de un período de tiempo. Este tipo de estafa de encriptación es en realidad una especie de transferencia de fondos haciendo sonar los tambores hasta que nadie acepta la oferta, que es el momento en que el proyecto colapsa.

En otros aspectos, se produjeron un total de "4" incidentes de seguridad más típicos:

1)  El fondo de inversión en cifrado Trident fue pirateado y se filtraron los datos de 266.000 usuarios.

2) Los datos de 523 millones de usuarios de Weibo se filtraron y vendieron en la dark web.

3) Incidente de la sala Nth en Corea del Sur. Los usuarios usan Telegram y la moneda virtual para comunicarse y pagar. Dado que la policía de Corea del Sur decidió investigar a fondo a todos los usuarios que participaron en la sala de transmisión en vivo, los intercambios como Upbit, Bithumb, Korbit, Coinone, Huobi y Kucoin expresaron su disposición a cooperar. con la policía en la investigación de la información del usuario.

4) La plataforma de "emisión de tokens con un clic" de Ethereum implanta una puerta trasera en el contrato de tokens desarrollado, transfiere en secreto los tokens a su propia cuenta mientras emite tokens a la parte del proyecto y los vende cuando los tokens del proyecto comienzan a comercializar ganancias.

En vista de la nueva situación en el campo de la seguridad blockchain actual, "Chengdu Lianan" resume aquí:

En general, los incidentes de seguridad de blockchain todavía ocurrieron de vez en cuando en marzo. El número de incidentes de seguridad está en un nivel medio y las pérdidas causadas por los incidentes también están en un nivel medio. Sin embargo, esto no significa que la grave situación de seguridad de la cadena de bloques tienda a aliviarse, sino que muestra que los incidentes de seguridad que se han producido involucran una gama más amplia de niveles.

Estos incluyen el proyecto Defi que continúa calentándose, pero los problemas se vuelven cada vez más evidentes; el mercado de la red oscura que aún se está volviendo activo; problemas de lavado de dinero; estafas de cifrado; lagunas en los contratos, etc., son todos problemas de seguridad que no se pueden solucionar. ignorado en la situación actual. En particular, los fondos de la web oscura, las estafas de encriptación y los problemas de lavado de dinero son los problemas clave que enfrentan varios intercambios en esta etapa cuando tienden a ser más compatibles.La verificación KYC del intercambio se eludió fácilmente mediante el uso de fotos falsas, lo que ayudó al Organización de piratas informáticos de Corea del Norte Lazarus Group para lavar más de 100 millones de dólares estadounidenses.

Cómo monitorear y evaluar continuamente los riesgos de transacción en la cadena para apoyar a los VASP (proveedores de servicios de activos virtuales), autoridades reguladoras, agencias de aplicación de la ley, etc. para llevar a cabo la gestión de riesgos, la supervisión del cumplimiento, la investigación y la recopilación de evidencia, etc. ecología

Una tarea importante en la supervisión de la seguridad y la promoción de la construcción del cumplimiento.

Tags：

Precio de Ethereum USD