行业安全事件频发DeFi市场成重灾区,狂欢的背后如何掌控自身资产安全?
9月14日,《耳朵财经》邀请了零时科技CEO 邓永凯在耳朵财经区块链长征华北社群做了精彩分享,原文如下:
首先,简单介绍一下,零时科技是一家专注区块链生态应用的实战创新型区块链安全企业,提供的服务包括交易平台、钱包、公链、联盟链应用以及智能合约的安全审计,也包括数字资产的追踪、监控和溯源,还有数字资产及交易的合规和反洗钱业务,我们在每一个安全服务方向都有相关的安全产品,欢迎大家了解我们。
我们今天的主题是《行业安全事件频发DeFi市场成重灾区,狂欢的背后如何掌控自身资产安全?》,那今天下午花时间从四个方面跟大家聊一聊我们自身资产安全的保障问题。
首先,我们了解一下区块链行业安全事件概况。
可能大家都知道今年区块链最近比较火,而且行业里的安全事故不断。我们零时科技官方公众号上每周都会同步当周的区块链安全事件,每个月也有安全事件总结。
先简单讲一下最近两个月内行业的安全事件情况:6月,据我们平台统计,区块链安全事件有29起;7月就增加了32起;8月,安全事件有38起。从数字上来看,整个区块链行业的安全事件是呈增长趋势。
从上面的8月安全事件分布图里面,我们可以看到大部分事件都是因为数字资产诈骗以及DeFi项目和智能合约安全漏洞等导致的安全事件居多。仅8月,我们统计的DeFi项目安全事件公开的就有6起,当然还有很多未公开的安全事件。
从2020年开始的defi成为了行业的热点,大量资金涌入,同时黑客也是以利益驱动,追求利益最大化,所以defi市场成为了安全重灾区,也成为黑客的游乐场,这是一个必然的过程。
接下来是Defi安全事件案例:
我列举了一下今年2月到8月份市场上已经曝光的区块链项目的一些典型安全事件。
较为知名的4月份Lendf.Me项目的损失比较大,项目被黑客盗币之后,快速通过安全团队进行追踪溯源,最后黑客团队将资金又返还给社区,这是一个意义重大的安全事件。
大部分项目为了快速上线都没有经过安全审计就直接上线,所以在上线之后就会立马被爆出来很多问题。
例如最近两天比较火爆的寿司项目,这个项目在8月27日上线,当天Coinbase工程师就说这个项目存在后门,那这个后门是什么呢?就是它的合约拥有者有特殊权限,他可以将锁仓的所有资产全部取走。8月29日,又有安全团队说寿司合约存在多个安全漏洞,在8月31日时,寿司就非常火爆,锁仓将近了10亿美金。
但好景不长,9月7日,寿司创始人利用他的特殊权限套利了1.8万个ETH而导致寿司代币瞬间夭折了,而且部分交易平台甚至跌掉了90%的价格。从巅峰到破灭只用了一周的时间,参与的大量用户的损失较为惨重。
今天凌晨,知名的bZx的协议就出现了历史上第三次攻击事件。
对bZx的协议,大家可能都不陌生吧,今年2月它被曝光过。它在2月连续遭受过两次黑客攻击,损失严重。有意思是在今天凌晨,我们的情报平台监控的bZx协议,它在官方推特上也发了个文,说他们又发现智能合约有问题。今天凌晨这次攻击是bZx的协议今年的第三次攻击,这次损失了大概有4700多个ETH。
bZx的协议安全漏洞,也是它的智能合约里有一个设计缺陷,它将两个变量设置错误,导致变量覆盖。恶意攻击者可以创建多个用户,再给用户进行授权,而后导致用户的代币增发,攻击者就可以获得很多的平台代币。
类似这种已经出现过好几次的安全事件,也通过修改升级,但它的合约里还有未发现的安全问题,那么针对那些刚上线,又没有经过审计的Defi项目的风险更是巨大的。
Defi在行业内如火如荼进行着,确实热闹非凡,但快速发展的同时,必然也伴随着各种各样的风险与挑战。这也是区块链行业安全事件频发,而Defi市场成为重灾区的原因。那我们作为参与者,该如何保障自己的资产不受损失呢?
所以第三点是用户资产面临的安全风险。
通过我们平台的数据显示,包括平时对客户的案例进行分析,目前在行业中,因为安全事件导致的资产损失大概有以下几个方面:
第一个是DeFI项目没有做安全审计,而导致黑客的直接攻击。
尽量不参与未经过安全审计就上线的比赛项目。因为被黑客攻击的风险是巨大的。
在这里我们零时科技安全团队建议所有的Defi项目方在上线前都需要通过专业的安全审计团队进行审计,而用户则选择通过审计的项目参与,如此,尽量降低合约发生意外的风险,从而减少团队和用户不必要的资产损失。
第二个是因为现在项目众多,但质量良莠不齐,而且驱动优化的项目大多都开源,所以导致很多投机的团队可以做很多的仿盘项目。这种仿盘项目很多都留有后门,因为他们本来就是进行套利的,等时机成熟就会通过后门直接套利跑路。
例如典型的EOS挖矿项目,EMD这个项目该上线没多久就有了明显的跑路迹象,还把套走的几十万USDT和EOS直接放到洗钱平台洗白了。这种典型的套利跑路项目会导致用户遭受严重的损失。
第三种比较经典的导致用户资产损失的是钓鱼。
第三个是现在的项目特别多,也有很多黑客团队搭建DeFi项目的钓鱼网站,再利用文案诱导用户把自己的资产转至钓鱼网站的私人钱包中。
钓鱼其实是一个经久不衰的方法。比如模仿大姨夫,二姨夫的钓鱼项目,以及其他项目,这种特别多。我给大家发几个。
http://yfiii.org
http://yfim.mobi/
https://conch.finance
第一个是项目方在上线Defi项目时,一定得找专业的安全团队去做全面的代码审计,而且尽可能的找多家企业共同审计,尽可能多的发现项目设计缺陷,以免在上线后出现不必要的损失。
比如这几个网站都是Defi项目仿盘的钓鱼项目,钓鱼网站其实比较多,而我们情报平台也会去抓取这种钓鱼链接,然后对社区用户进行预警。
这个钓鱼项目在项目官方推特上诱导用户将资产转到一个私人的地址中,我们通过线上查询这个钓鱼项目,发现它已经钓鱼钓到用户1190多个ETH,很多用户都上当受骗了。
项目火爆,参与用户多,但这里面的牛鬼蛇神也很多,如果一不小心我们的资产就被人套走了或者是黑客卷走了,所以用户在参与项目时也要多留心。
那作为项目方和个体用户,最后一点是我们应该从哪几个方面保护我们自身资产呢,我也大概总结了几个如下:
第一个,项目方在上线DeFi项目时,一定得找专业的安全团队去做全面的代码审计,而且尽可能的找多家共同审计,尽可能多的发现项目设计缺陷,以免在上线之后出现不必要的损失。
第二个是建议用户参与这些项目投资时一定要做好把关,要对这个项目有一定的了解,或者是看它有没有经过安全审计后再上线。
第三个是我们得增加个人安全意识,包括我们的一些上网的行为和资产保存以及钱包使用等习惯,养成良好的安全意识习惯。
第四个是我们在参与这些项目时,大家都是奔着高收益。高收益肯定伴随着高风险,那我们参与项目时就需要非常谨慎。如果有不懂的项目,就尽量不要参与。因为很多用户都是因为奔着高收益去,但其实不懂项目,最后导致被收了智商税。
第五个是用户如果真的有资产被盗了,那么可以联系我们,我们可以利用我们数字资产追踪溯源平台,帮助用户进行资产追溯,这里给大家举个例子。
这个案例是我们上周五接到一个客户的去中心化的项目,他的钱包里大概有1000万人民币,然后被用户盗走了。
他的钱包地址就是上面那个以0x2B开头的地址,通过我们平台的追溯发现他的钱被转到了一个叫0x6a开头的地址,而后这个黑客将地址分别转向了三个不同的钱包地址。
黑客通过打散三个钱包之后,又从三个钱包里转到了一个0xA3开头的地址里,最后这个0xA3开头的地址又把它将尽所有的ETH转到了币安0x3f的核心钱包地址里,通过我们平台分析这个0xA3开头的钱包地址,它是币安平台的一个用户钱包地址。
我们通过渠道联系币安,确认0xA3这个地址确实是币安的用户。这时,我们就联系客户报警处理,拿到立案协查函就可以从币安调出这个黑客的身份信息,从而找到这个黑客,并且可以夺回自己的资产。
现在区块链投资,或者投资目前比较火的Defi项目,其实也非常考验大家的本领,因为不仅要有对区块链行业有一定的了解,还有对项目有一定的了解,还要防止黑客攻击等安全事件的发生。因此,这对用户的要求较高。
我们既要防止项目方跑路,还得防止黑客盗取我们的资产,以及防止钓鱼网站的误导,要不然,我们的资产可能会在不经意的瞬间被别人盗走。
最后零时科技建议大家,在参加Defi项目时,一定要注意安全,包括项目有没有经过审计,对项目是否了解,还有对自己资产和钱包的使用安全等都需要小心,最后也祝愿大家在DeFi的市场中获得收益,安全离场。
今天的分享就到这里,如果大家对个人的资产安全保障这块有什么问题可以加微信单独交流,然后再次感谢大家的聆听,也感谢耳朵财经的活动,谢谢大家!
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場