PeckShield：回顾3月区块链重要安全事件，DeFi安全问题显着

原标题：《PeckShield：3月共发生19起安全事件，凸显DeFi安全问题》

撰文：PeckShield，根据PeckShield态势感知平台数据显示，近一个月，整个区块链生态共发生19起较为突出的安全事件。 交易所2起，智能合约1起假充值usdt盗取交易所u，诈骗逃逸14起等，3月份共发生2起DeFi安全事件，具体如下： 1）3月12日，由于比特币价格暴跌以太坊ETH，大量MakerDAO的抵押债务头寸跌破清算门槛，触发清算程序的执行。 由于以太坊网络上的 gas 费用急剧增加，MakerDAO 的清算过程完全缺乏竞争。 本应参与清算过程的清算机器人（Keeperbot）因设置低gas值而被阻塞。 清算人 (Keeperbot) ) 以 0 DAI 的出价在没有竞争对手的情况下赢得了拍卖。 ，MakerDAO 清算拍卖设计的目的是用尽可能少的抵押品收回最大的 DAI。 这种机制在正常情况下可以成功运行。 但当以太坊系统极度拥堵，或者更极端的时候，只要参与拍卖的人不够多，恶意的 Keepers 就很容易以极低的价格获得拍卖品。 针对此次清算中存在的问题，MakerDAO社区也紧急讨论了清算机制的完善措施。

,2) 3月26日，Synthetix的抵押清算功能被发现存在漏洞。 具体来说：Synthetix近期推出合约，用户可以在3个月的试用期内质押ETH获得sETH，试用期结束后将开启和关闭所有借贷功能进行清算，即任何拥有sETH的用户都可以获得sETH ETH通过调用清算接口。 但该接口的处理逻辑代码存在漏洞，会导致任何用户直接销毁借款人的sETH资产，获得ETH。 但由于该功能处于试用期，并未造成实际损失。 目前，Synthetix 官网的借贷服务仍处于关闭状态。 ,PeckShield点评：随着DeFi项目的功能越来越丰富，隐藏的安全问题也逐渐暴露出来。 鉴于其与用户资产的紧密联系，DeFi项目的安全问题十分严重。 由于每个项目由不同的团队开发，对各自产品的设计和实现了解有限，集成后的产品在与第三方平台交互的过程中很可能出现安全问题，进而遭敌。 PeckShield在此建议，在DeFi项目上线前，尽量找一个对DeFi各个环节的产品设计有深入研究的团队做完整的安全审计，避免潜在的安全风险。 ,3月共发生2起交易所安全事件：1）3月2日，美国司法部以共谋洗钱和无证汇款操作为由，对两名华人田银银和李家栋提起公诉，并冻结所有他们的资产。 区块链安全公司PeckShield第一时间介入跟踪研究分析，根据美国司法部公布的20个地址，向上溯源，取证，以直观图形化的方式还原了整个案件的来龙去脉。 ，分析发现，攻击者试图利用Peel Chain的技术手段，将手中的资产不断拆分成小资产，并将这些小资产存入交易所，如下图所示：

，在完成最初的洗钱操作后，攻击者并没有直接转入自己的钱包，而是再次使用Peel Chain的方式，将原本非法获取的BTC分批转入OTC交易所套现。 攻击者只从主账户中分离出几十个BTC，存入OTC账户套现。 经过数十次或数百次操作，攻击者最终成功混淆清洗了数千个BTC。 （有关详细信息，请参阅

),

,2) OMNI网络发现一种新的USDT假充值方式：黑客发行其他类型的代币伪造成USDT，在交易所或钱包进行USDT假充值。 交易所或钱包在检测到USDT充值时，如果不校验propertyid，将导致虚假充值的发生。 ,PeckShield 评论：黑客窃取资产并洗钱。 不管这个过程多么复杂和复杂，交易所通常作为套现渠道的一部分。 这无疑对各大数字资产交易所的KYC和KYT业务提出了要求，交易所应加强反洗钱反洗钱和资本合规审查。 同时，对于虚假充值等安全问题，交易所在转账前应确认代币名称和交易状态。 , 3月共发生1起智能合约安全事件，均存在于以太坊网络中。 具体来说：3月24日，有项目方反映，ERC20代币发布后，发现部分来源不明的代币在链上转移。 经深入分析假充值usdt盗取交易所u，发现项目方使用的“一键发币”第三方平台存在后门——在发币合约时存在偷偷发币、窃取代币的不良行为被创建。 ,PeckShield点评：在使用第三方服务完成智能合约开发时，项目方必须在合约上线前做安全测试。 必要时，可寻求第三方安全公司完成审计评估，帮助其完成签约前的攻击测试和基础安全防御部署。 除上述外，3月份还有多起诈骗逃逸事件值得警惕，如：派盾点评：因用户安全意识不足、操作不规范导致的各种安全隐患层出不穷，如如钓鱼攻击、诈骗等。此类事件很典型。 我们在此提醒您，用户应谨慎保管各种隐私信息，任何一点小疏忽都可能造成无法弥补的损失。 ，来源链接：

PeckShield PeckShield 点评：黑客窃取资产洗钱，无论过程多么精细复杂，交易所一般都是作为套现通道的一部分。 这无疑对各大数字资产交易所的KYC和KYT业务提出了要求，交易所应加强反洗钱反洗钱和资本合规审查。 同时，对于虚假充值等安全问题，交易所在转账前应确认代币名称和交易状态。 、区块链基金“硅谷区块鸡”涉嫌跑路，涉案金额或达数百亿元； 一对英国夫妇因使用虚假的 Chrome 浏览器扩展程序而损失了 14,800 XRP； 货币新闻以疫情防控为借口，利用人们投资理财的热情，打着虚拟货币的幌子，进行诈骗和非法集资活动；

4. 冒充 Ripple 首席执行官的人在 YouTube 上宣传了 5000 万个 XRP 代币的虚假赠品，以诱骗用户将钱投入类似的空投骗局。 , 3月共发生1起智能合约安全事件，均存在于以太坊网络中。 具体来说：3月24日，有项目方反映，ERC20代币发布后，发现部分来源不明的代币在链上转移。 经深入分析，发现项目方使用的“一键发币”第三方平台存在后门——在发币合约时存在偷偷发币、窃取代币的不良行为被创建。 ,

欢迎加入社区讨论web3，分享项目空投信息