本文摘要：据 PeckShield 态势感官平台数据表明，过去一个月，整个区块链生态共计再次发生 11 起更为引人注目的安全事件，危害程度评级为「中级」，损毁金额 4,823 万美元，牵涉到 DeFi 4 起、交易所 4 起，DApp 1 起，个人被盗 1 起， 钱包 1 起等。

据 PeckShield 态势感官平台数据表明，过去一个月，整个区块链生态共计再次发生 11 起更为引人注目的安全事件，危害程度评级为「中级」，损毁金额 4,823 万美元，牵涉到 DeFi 4 起、交易所 4 起，DApp 1 起，个人被盗 1 起， 钱包 1 起等。DeFi 安全性2月份共计再次发生 4 起 DeFi 安全事件，明确如下：1）02月15日，DeFi 项目 bZx 团队在官方电报群上收到公告，称有黑客对 bZx 协议展开了漏洞反击。

PeckShield 安全性人员主动第一时间 bZx 反击事件，找到这起事件是针对 DeFi 项目间分享可人组流动性的设计展开反击，尤其在有杠杆交易及借贷功能的 DeFi 项目里，该问题更容易被利用。（下文参看 PeckShield：软核技术解析，bZx协议遭到黑客漏洞反击始末）2）02月18日，bZx 再度遭遇了类似于的反击，这一次的反击从技术原理与上一次有所不同，黑客通过操控 Oracle 价格对 bZx 合约展开了“欺骗”，而根本原因还是由于平台间分享流动性过小以及价格机制设计缺失造成的。（下文参看 PeckShield：bZx协议再行遭到黑客“二连斩”背后的技术命门）3）02月23日，应验机 Chainlink 因一次功能升级时的人为错误，把黄金（XAU）的价格错误地标记出了白银（XAG）的价格，造成了大约四万美元损失。4）02月29日，去中心化平稳币交易平台 Curve 经常出现一笔出现异常交易，该笔交易使用价值8.9万美元的 USDC 外币了价值46.5万美元的 BUSD。

攻击者对 Curve 的 busd.curve.fi 以及 y.curve.fi 两种资金池展开一次钳形反击。PeckShield 评论：随着 DeFi 项目功能更加多样，其中隐蔽的安全性问题也渐渐曝露出来，鉴于其与用户资产的紧密联系，可见 DeFi 项目的安全性问题十分不利。

由于各项目由有所不同团队研发，对各自产品的设计与构建解读受限，构建的产品很有可能在与第三方平台交互的过程中经常出现安全性问题，进而腹背受敌。PeckShield 在此建议，DeFi 项目方在上线之前，应该尽量找寻对 DeFi 各环节产品设计有深入研究的团队做到一次原始的安全性审核，以防止潜在不存在的安全隐患。交易所安全性2月份共计再次发生 4 起交易所安全事件，其中包括两起黑客侵略：1）02月10日，Altsbit 交易所存放在热钱包私钥的服务器被侵略，热钱包私钥被盗导致用户资产遗失。2）02月17日，VBITEX 交易平台发布公告称之为被黑客侵略，造成平台数据被蓄意伪造、虚拟世界资产被盗。

3）02月17日，FCoin 交易所声称由于资金艰难造成资金储备无法兑付用户提现，且预计无法兑付的资金规模介于7,000-13,000 BTC之间。4）02月28日，OKEx、Bitfinex 等交易所频密遭到 DDoS 反击，涉及服务受到影响。其中针对 FCoin 交易所经常出现的资金艰难问题，PeckShield 安全性团队旗下可视化数字资产跟踪系统 CoinHolmes 对牵涉到的涉及地址进行了定向跟踪和剖析。

CoinHolmes 链上跟踪系统涵盖了数十个交易所，超强6,000万地址标签，牵涉到 BTC、ETH、USDT 等多种主流数字资产。利用 CoinHolmes 一图概览 FCoin 资产流向，如下图：融合数据分析和可视化图形展出，PeckShield 安全性人员猜测 FCoin 的资金链有可能在 2018年07月 就经常出现了问题。

（下文参看 PeckShield：图文报废FCoin资产流向，其鼎盛时期之后已贞颓势？）PeckShield 评论：利用 FCoin 此次事件，大家开始认识到中心化交易所因资产缺少透明性而潜在的危机。这是一次灾难，但同时期望也不会是一次拐点，期望更加多中心化交易所需要认识到资金透明性以及准备金支付机制的重要性。而对于交易所私钥被盗，服务器遭到侵略等问题，PeckShield 建议交易所用于更为安全性的防止系统，交给好自己的私钥，及时修复操作系统或第三方软件漏洞。

DApp 生态2月份共计再次发生 1 起 DApp 安全事件，不存在于 TRON 网络。明确而言，02月03日，TKnzni 地址结尾的黑客通过创立反击合约的方式对TGsyJF 结尾的 LuckLambo104 合约地址持续发动交易回滚反击，并利润 6,588 个 TRX。

PeckShield 评论：DApp 生态安全事件大多都是由合约玩家造成的，DApp 在接管玩家代币或者返利之前不应检查目标账户否为智能合约。同时开发者在合约上线前应作好安全性测试，防卫未知的攻击方式，适当时可谋求第三方安全性公司帮助，协助其已完成合约上线前反击测试及基础安全性防卫部署。SIM卡反击2月份再次发生了一起 BTC 巨鲸账号被盗大案，02月22日，一名自称为“zhoujianfu”的用户在 Reddit 发帖称之为遭到黑客攻击，损失了 1,547 个 BTC 和 60,000 个 BCH，价值大约 2.6 亿 人民币，这是近几年仅次于的个人被盗事件。

本文来源：太阳2007官网-www.zuanboke.com