11月共发生安全事件 35 起，DeFi 为何沦为一小撮人的狂欢？

据 PeckShield 态势感知平台数据显示，过去一个月，整个区块链生态共发 35 起较为突出的 DeFi 安全事件，危害程度评级为「高级」。涉及 DeFi 相关 13 起、钱包安全 2 起、勒索相关 5 起，诈骗事件 10 起、其他攻击 5 起。

黑客肆虐，DeFi为何沦为一小撮人的狂欢？

牛市来临之后，DeFi（去中心化金融）一度被誉为支撑加密货币成为今年真正“头号”投资产品的关键。

据 DappTotal 数据显示，11月以来，DeFi 的总锁仓量突破新高。

整个 DeFi 生态一副欣欣向荣的景象。然而，另一边，DeFi 正陷入弱代码流行病的困扰。 据 PeckShield 统计，11月共发生逾 13 起与 DeFi 相关的安全事件，造成损失近 5000万 美元。

11月1日，YFI 披露一个新的闪电贷安全漏洞，团队在 1.5 个小时后移除该漏洞；

11月2日，主网仅上线几个小时的 Axion Network 遭到黑客攻击，黑客利用其质押相关漏洞铸造 790亿 枚代币 AXN，导致其代币价格短时下跌 100%，并且损失 50万 美元；

11月6日，PercentFinance 因出现漏洞而冻结了 100万 美元的代币，包括 44.6万 枚 USDC、28 枚WBTC 和 313 枚ETH；

11月7日，PeckShield 监控到黑客利用闪电贷（Flash loan）通过一笔交易攻击一家去中心化数字银行 Cheese Bank，凭空套利 330 万美元；

11月10日，JustSwap 白名单 DeFi 项目 SharkTron 被窃取价值 1000万 美元的 波场币（TRX），波场联合币安冻结部分资金；

11月14日， PeckShield 监控到黑客利用 Akropolis 项目存在的存储资产校验缺陷，向合约发起连续多次的重入攻击，凭空增发大量的 pooltokens，掳走 203万 枚 DAI；

11月15日，PeckShied 监控到黑客利用 Value DeFi 协议中基于AMM 算法的价格预言机 (Curve) 存在的漏洞，操纵 Curve 上代币的价格，铸造 pooltokens，最终获利 540万 美元

11月17日，PeckShield 监控到 DeFi 协议 Origin Protocol 稳定币 OUSD 遭到攻击，攻击者利用dYdX 的闪电贷进行重入攻击（Re-entrancy attack)，造成价值 770万 美元的 ETH 和 DAI 的损失；

11月18日，PeckShield 监控到仅上线 48小时 的 DeFi 固定利率借贷协议 88mph 存在代码漏洞，攻击者利用该漏洞铸造价值 10 万美元 MPH 代币

11月22日，PeckShield 监控到曾被 V神 发推文赞赏的 DeFi 项目 Pickle Finance（酸黄瓜），因被黑客攻击未经审核新创建的智能合约漏洞，损失近 2000万 美元的 DAI；

11月26日，Compound 遭预言机攻击，9000万 美元资产遭清算。此次 Compound 巨额清算是由于预言机信息源Coinbase Pro的DAI价格剧烈波动导致的，操控预言机所依赖的信息源进行短时间的价格操纵以达成误导链上价格是典型的预言机攻击；

11月29日，RGT Distributor 的合约出现漏洞，智能合约 DeFi 智能投顾 Rari Capital 发布官方推特称已修复合约漏洞，没有资金丢失；

11月30日，流动性挖矿项目 SushiSwap 遭到流动性提供者攻击，该攻击者通过一笔交易中获取了 1 至 1.5万 美元，随后该修复通过 PeckShield 审核。

区块链世界信仰“Code is Law”，认为代码即法律，分布式技术可确保数据不可篡改，最大程度地保证系统安全，但现在基于区块链技术开发的 DeFi 为何频遭安全问题困扰？

PeckShield 相关负责人分析道：“DeFi 的金融属性强，与资金绑定紧密，一旦发生安全事件，大概率会直接涉及到切身利益，但此类安全问题并非没有破解的方法。 DeFi 还处于发展阶段，在主网上线前，一定要确保代码进行彻底地审计和研究。 例如 Pickle Finance（酸黄瓜）被攻击的事件，略过了新增代码的审计，造成黑客有机可乘。 同类 DeFi 被攻击后，要及时确认自己的合约是否也存在类似的漏洞，或者寻求专业的审计机构，例如 PeckShield 对同类攻击进行监控。”

数字钱包安全

据 PeckShield 统计，11 月份共发生 2 起典型的钱包安全事件： 11月6日，Ledger 钱包用户因钓鱼诈骗损失逾 110万 枚 XRP。诈骗者利用钓鱼邮件将用户引导到一个假冒的Ledger网站上，并诱骗用户下载了冒充为安全更新的恶意软件，从而导致 Ledger 钱包余额悉数被盗。

11月9日，ElectrumSV 多签方案出现严重漏洞，致使用户被盗 600 BSV。

其他攻击

除此之外，11 月份还发生了多起其他攻击事件：

11月3日，挖矿木马团伙 z0Miner 利用 Weblogic未 授权命令执行漏洞（CVE-2020-14882/14883）入侵 5000 台服务器。该团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器，发送精心构造的数据包进行攻击。之后执行远程命令下载 shell 脚本 z0.txt 运行，再利用该 shell 脚本植入门罗币挖矿木马、挖矿任务本地持久化，以及通过爆破 SSH 横向移动；

11月8日，Grin Network 遭到 51％ 攻击；

11月11日，恶意节点试图通过 Sybil 攻击干扰 Monero 网络，以获取有关Monero区块链上用户的信息。据悉，Sybil 攻击是对 P2P 网络的恶意攻击，个人或组织试图通过使用多个身份控制多个账户或节点来接管网络；

11月19日，挖矿木马 4SHMiner 利用漏洞针对云服务器攻击，已控制约 1.5万 台服务器挖矿；

11月21日，BCHA 链遭攻击，网络产生大量空块。

PeckShield 相关负责人表示：“近年来，针对加密货币的攻击日益增多，安全事件频发。对于企业用户而言， 一方面，针对加密企业服务器上的文件，应该及时给服务器打好安全补丁，同时避免使用弱口令，关闭不必要的端口；另一方面，应该加强对钓鱼邮件的拦截，提醒员工不要轻易打开来历不明的邮件，并且保持安全软件运行状态。 对于个人用户而言， 需要警惕来历不明的邮件，保持安全软件运行状态，及时修复电脑漏洞，并且养成良好的上网习惯，不使用外挂等病毒高发点的工具。 针对系统性漏洞，需要养成对重要文件备份的习惯，使用U盘、硬盘等存储工具对重要文件进行备份， 未雨绸缪，防范于未然。”

欺诈&勒索

随着区块链技术的发展，以及愈来愈多人对区块链领域的关注 ，这推动了区块链的日益普及，但也让各式骗局应运而生，以区块链概念包装、传销方式进行推广的资金盘层出不穷，同时黑客、攻击者也在将注意力转移到加密货币上。

据 PeckShield 统计，11月共发生 10 起欺诈相关安全事件；

11月1日，KP3R 和 CORE 的仿盘项目 KPER 和 KORE 疑为骗局，币价短时暴跌几近归零；

11月2日，上海市虹口区人⺠检察院对 8 名为利用虚拟货币协助诈骗分子转移逾 1500万 元钱款的 “中间商”提起公诉;

11月3日，宿迁警方破获数商中国数字货币诈骗案，涉案金额达 220万 元；

11月6日，涉足区块链的A股上市公司斯莱克遭电信诈骗，损失 205万 美元(折合人⺠币约为 1355 万 元);

11月10日，南京六合警方破获一起与比特币相关的诈骗案，抓获涉案人员 10名，追回诈骗款 10万 余元；

11月12日，常州涌现“罗⻢币交易所”平台欺诈骗局，警方提醒谨防“变种”诈骗;

11月14日，山⻄忻州警方破获“SZSE数字货币交易所”诈骗案，涉案金额逾 1000万 元；

11月16日，泉州市⺠举报MARK交易所交易诈骗，涉案金额高达 25亿 元;

11月20日，江苏警方破获柬埔寨水晶国际区块链骗局，涉案金额逾 1000万 元；

11月23 日，黑⻰江鹤岗市公安局成功破获一起“哥伦布 CAT 虚拟货币”特大网络传销案，涉案资金 近 3 亿元；

据 PeckShield 统计，11月共发生 5 起勒索相关安全事件；

11月1日，黑客入侵芬兰 Vastaamo 心理治疗中心窃取芬兰公⺠的心理治疗记录，以此勒索比特币;

11月3日，江苏省启东警方破获一起比特币勒索病毒案，非法获利 100 多枚比特币，折合人⺠ 币 500多万 元;

11月7日，游戏巨头 CAPCOM 遭勒索软件攻击，被窃取黑客索要 1100万 美元的比特币赎金;

11月12日，黑客攻击意大利酒商金巴利(Campari)，窃取重要文件、合同和银行信息，并索要 1500万 美元比特币赎金;

11月13日，比特币勒索软件Pay2Key攻击多家以色列公司；

由于加密货币具有匿名性、链上资产转移路径复杂、技术追踪难度大，从而加大了相关部⻔追踪、监管加密资产的难度。近年来，国内外都在加大 AML 反洗钱政策的监管要求，进一步推进对加密资产的监管。