?據(jù)成都鏈安【鏈必安-區(qū)塊鏈安全態(tài)勢感知平臺（Beosin-Eagle Eye）】安全輿情監(jiān)控數(shù)據(jù)顯示：2021年5月，據(jù)不完全統(tǒng)計(jì)，整個區(qū)塊鏈生態(tài)發(fā)生的典型安全事件超32起，整體安全風(fēng)險評級為【高】。本月，盡管其余方面的典型安全事件有所緩和，但【DeFi方面】成為典型安全事件頻發(fā)的“重災(zāi)區(qū)”，需高度警惕；幣安智能鏈（BSC）首當(dāng)其沖，成為黑客發(fā)動閃電貸攻擊的“主戰(zhàn)場”。

多起B(yǎng)SC鏈上項(xiàng)目在5月集中“暴雷”，業(yè)界稱為“黑色5月”，而這也是DeFi歷史上當(dāng)前所遭受的攻擊頻次最高、損失最大的一個月。據(jù)初步統(tǒng)計(jì)，所造成的經(jīng)濟(jì)損失約達(dá)3億美元。典型安全事件的頻頻發(fā)生，也直接引發(fā)了多種虛擬資產(chǎn)幣價閃崩。這個5月，對于投資者、項(xiàng)目方，乃至整個DeFi生態(tài)來說，都是空前“灰暗”的一個月。

以下為本月安全月報的詳細(xì)事項(xiàng)。

交易所方面，共發(fā)生『1』起典型安全事件

01

Hotbit交易所遭到攻擊者攻擊，導(dǎo)致一些基本服務(wù)癱瘓，Hotbit團(tuán)隊(duì)將關(guān)閉所有服務(wù)7天以上，以進(jìn)行檢查和恢復(fù)。

DeFi方面，共發(fā)生『14』起典型安全事件

01

5月2日，DeFi項(xiàng)目Spartan遭遇閃電貸攻擊，導(dǎo)致3,000萬美元損失。

02

5月7日，ValueDeFi被黑客攻擊，IRONFinance的部分池和產(chǎn)品受到攻擊，導(dǎo)致STEELLP代幣可能耗盡。

03

DeFi收益聚合器RariCapital遭到黑客攻擊，導(dǎo)致價值超過1471萬美元的ETH損失。

04

DeFi協(xié)議xToken遭遇閃電貸攻擊，導(dǎo)致2450萬美元的損失。

05

5月16日，bEarn Fi遭到攻擊，導(dǎo)致近1100萬美元的損失。

06

5月19日，BSC最大借貸平臺VENUS發(fā)生大額清算。目前給Venus平臺造成了1億多美元的壞賬。

07

5月20日，DeFi收益聚合器PancakeBunny遭到閃電貸攻擊，損失約4500萬美元的WBNB和BUNNY。

08

鏈上期權(quán)協(xié)議FinNexus疑似被攻擊。導(dǎo)致黑客通過某個地址在以太坊上鑄造了3.23億枚FNX，價值600萬美元，在BSC上鑄造了6000萬枚FNX，價值160萬美元。

09

Bogged Finance官方表示，黑客對BOG代幣合約進(jìn)行了閃電貸攻擊，目前已禁用交易費(fèi)。

10

AutoSharkFinance遭閃電貸攻擊，幣價出現(xiàn)閃崩，跌幅一度超過99%。

11

Merlin疑似遭到攻擊。據(jù)悉，項(xiàng)目方貌似已暫時暫停了MERL代幣的鑄造。

12

BurgerSwap疑似遭遇閃電貸攻擊，被盜約330萬美元的Burger。

13

5月28日，JulSwap遭到閃電貸攻擊，$JULB短時跌幅逾 95%。

14

5月30日，BSC鏈上結(jié)合多策略收益優(yōu)化的AMM協(xié)議Belt Finance遭到閃電貸攻擊。

Beosin評論：

BSC鏈上項(xiàng)目5月頻頻“暴雷”，損失慘重，這足以向BSC、DeFi，乃至整個區(qū)塊鏈生態(tài)敲響警鐘。通過復(fù)盤各起典型安全事件的共性，不難發(fā)現(xiàn)，“閃電貸攻擊”是黑客采取的最主要的攻擊手法；且攻擊金額普遍較大，至少6個項(xiàng)目的損失金額都已超過1000萬美元。

在此，成都鏈安（Beosin）·安全團(tuán)隊(duì)鄭重呼吁，后續(xù)DeFi項(xiàng)目方需著重防范與“閃電貸”相關(guān)的攻擊。安全審計(jì)、安全防護(hù)、安全加固此類工作，之于DeFi項(xiàng)目方而言，切記是不可忽視的；有必要時，可聯(lián)動第三方安全公司的力量，建立一套完善和專業(yè)的風(fēng)控措施。

詐騙跑路/加密騙局方面，共發(fā)生『7』起典型安全事件

01

GEC環(huán)保幣多次被地方政府驅(qū)趕和調(diào)查，本次幣價大跌后，再次被曝光其涉嫌傳銷。

02

詐騙團(tuán)隊(duì)在SNL（周六夜現(xiàn)場）的活動詐騙10萬美元的虛擬資產(chǎn)。

03

有冒充Coingecko團(tuán)隊(duì)成員的人欺騙加密項(xiàng)目方，聲稱付費(fèi)即可在Coingecko平臺上列出代幣。

04

一加（OnePlus）聯(lián)合創(chuàng)始人Carl Pei的推特賬戶遭到黑客攻擊，并被用于宣傳加密騙局。

05

西班牙國民警衛(wèi)隊(duì)（Civil Guard）的官方Y(jié)ouTube賬戶受到疑似魚叉式網(wǎng)絡(luò)釣魚攻擊，已被XRP詐騙者接管。該賬戶的名稱已更改為“Ripple - XRP Foundation”，并刪除了所有內(nèi)容。

06

美國貨幣監(jiān)理署（OCC）就近期有關(guān)加密欺詐電子郵件發(fā)出警告稱，沒有發(fā)送此類消息，也沒有為個人利益持有任何資金。

07

基于BSC構(gòu)建去中心化金融協(xié)議DeFi100被曝出是一個騙局，運(yùn)營者已經(jīng)騙取了投資者的錢后跑路。

Beosin評論：

本月，雖然【DeFi方面】安全形勢嚴(yán)峻，但依然不能輕視來自【詐騙跑路/加密騙局方面】的安全威脅。成都鏈安（Beosin）·七星實(shí)驗(yàn)室注意到，近期市面上已出現(xiàn)了多起打著“DeFi”旗號，實(shí)為傳銷騙局的各種資金盤項(xiàng)目。作為投資者，切記擦亮雙眼，謹(jǐn)防打著“DeFi”旗號的資金盤傳銷騙局！

勒索軟件/挖礦木馬方面，共發(fā)生『3』起典型安全事件

01

網(wǎng)絡(luò)安全軟件公司趨勢科技（Trend Micro）發(fā)現(xiàn)了一種新的惡意軟件，名為“熊貓”（Panda）。研究人員稱，加密錢包已與銀行帳戶一樣，都成為了在線盜竊的目標(biāo)。

02

Colonial Pipeline上周五向黑客支付了近500萬美元的贖金，而之前的報道稱該公司并無意愿向黑客支付勒索費(fèi)，以幫助美國輸油管道恢復(fù)運(yùn)營。

03

新西蘭懷卡托衛(wèi)生部確認(rèn)之前網(wǎng)絡(luò)攻擊中使用的勒索軟件為“Zeppelin”，衛(wèi)生部部長對此不予否認(rèn)。

其他方面，共發(fā)生『7』起典型安全事件

01

Mask Network的ITO合約遭到機(jī)器人攻擊，官方已將地址列入黑名單。

02

5月6日，Hpool官方稱官網(wǎng)前端遭受DDOS攻擊，暫時不能正常訪問，但不影響挖礦服務(wù)。

03

FeiProtocol開發(fā)團(tuán)隊(duì)FeiLabs發(fā)現(xiàn)并披露了一個合約漏洞，并立即暫停了該合約。目前該漏洞未被利用，不會影響任何用戶。

04

吉爾吉斯斯坦國家安全委員會（GKNB）在首都比什凱克和丘伊州打擊非法挖礦行動，突擊搜查并繳獲了2000臺非法虛擬資產(chǎn)采礦設(shè)備。

05

英國警方突襲伯明翰附近的一個倉庫，發(fā)現(xiàn)其是一個相當(dāng)大的比特幣礦。該比特幣礦機(jī)是由非法從主電源中分離出來的電力驅(qū)動，設(shè)備已被警方扣押。

06

一名加利福尼亞男子承認(rèn)經(jīng)營無牌匯款業(yè)務(wù)、洗錢和未能維持有效的反洗錢計(jì)劃，被美國沒收了價值約125萬美元的比特幣（18.4枚）和以太坊（222.5枚）。

07

以太坊核心開發(fā)人員發(fā)現(xiàn)了EIP-1559中的一個重大漏洞，目前開發(fā)人員已經(jīng)向EIP-1559添加了四項(xiàng)檢查，并修復(fù)了該漏洞。

鑒于當(dāng)前區(qū)塊鏈生態(tài)的安全態(tài)勢，『成都鏈安』在此總結(jié)：

從總體上來看，5月典型安全事件較