深度分析——10月安全事件频发 我们的虚拟资产真的安全吗？

1. 1011在以太坊上，

WLEO合约项目

遭到黑客攻击，黑客通过将向自己铸造WLEO通证，并将其兑换成以太坊，从去中心化交易所 Uniswap 的池中窃取了以太坊，这导致整整4.2万美元的加密数字货币被盗走，给该项目带来非常大的影响。

 

2. 1026，有用户举报：DeFi挖矿项目“

Harvest.finance

”

被使用闪电贷进行了巨额套利。随后Harvest官方发推解释称，这次套利攻击起源于一笔巨额闪电贷，并多次操纵了Curvey Pool的价格，最终套取 fUSDT、fUSDC 的价差从而获利。

 

3. 据加密钱包 

ZenGo

 的研究人员透露，一个所谓基于以太坊网络的“yield farming平台”涉嫌从几个用户那里窃取了至少价值 20 万美元的加密数字货币资产。而此前Bancor受到的攻击也使用了类似的漏洞。

 

4. 

yearn

.finance （YFI）披露一个新的闪电贷安全漏洞，该漏洞由安全研究员 Wen-Ding Li 于1029通过Yearn的安全漏洞披露流程报告，团队在1.5个小时后将该漏洞移除。根据该披露，闪电贷攻击可能会给 TUSD 保险库资金带来安全危险，目前该问题已被修复，同时 TUSD 保险库已被停止部署资金。

小编认为

：

随着 DeFi 项目功能越来越多样，其中隐藏的安全问题也逐渐暴露出来，鉴于其与用户资产的紧密联系，DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发，对各自产品的设计与实现理解有限，集成的产品很可能在与第三方平台交互的过程中出现安全问题，进而腹背受敌。在此建议，DeFi 项目方在上线之前，应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计，以避免潜在存在的安全隐患。

   

2. ZDNet 一项调查显示，黑客通过引诱用户安装假软件更新，从比特币钱包

Electrum

的用户那里窃取了2200万美元。而该手法最高出现在2018年。而自两年前首次发现这种攻击以来，Electrum团队已经采取了一些措施来防止这种攻击。但这种攻击仍然适用于使用旧版本应用程序的用户。

 

3. 近，网络犯罪情报公司HudsonRock首席技术官 AlonGal 发推表示，1027，自称“

以太坊

最成熟、规模最大的菠菜游戏”EtherCrash 冷钱包被盗，损失约250万美元，疑似为内部人员所为。

小编认为

：

数字钱包作为管理私钥的工具，是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包，但也存在被物理攻击和被盗的风险，而像网页钱包等热钱包，用户也要谨防网络钓鱼，恶意代码注入等攻击方式。

1. 1016，

OKEx

发布“暂停提币公告”，近该公司部分私钥负责人正在配合公安机关调查，目前正处于失联状态导致无法完成授权。消息证实，配合公安机关调查的正是

OKEx

的创始人徐明星。知情人士表示，徐明星至少一周前已经被警方带走，多未在工作大群中现身。

 

2. imToken 钱包用户报告 DeFi Saver Exchange 交易所漏洞相关的账号流出了 310,000 DAI，早在今年 6 20 DeFiSaver 推特报道发现 Exchange 中的漏洞。为了保护用户资金，我们进行了一次白黑客攻击，将受影响的资金（约 3 万美元）转移到只有原始所有者才能提取的智能合约中。

小编认为

：

黑客盗取资产后实施洗钱，不管过程多周密复杂，一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求，交易所应加强AML反洗钱和资金合规化方向的审查工作。