作者：成都链安

据成都链安区块链安全态势感知平台（Beosin-Eagle Eye）统计数据显示，在过去2个月（因新冠肺炎疫情影响，将1&2月合并统计）中，共发生『13』起较典型的安全事件。

其中包括：

交易所方面，共发生『4』起较典型的安全事件。

1、FCcoin交易所入不敷出，兑付困难，交易所创始人称资金缺口在7000-13000BTC之间。

2、新加坡交易所Coinhako在遭受攻击后限制用户取款，Coinhako发言人实施账户限制是防止『未经授权的交易』，3月1日将恢复运营能力。

3、去中心化加密衍生品交易所Digitex对外表示，一名前雇员盗取8000多名用户的私人信息。

4、OKEx、Bitfinex等交易所相继遭到DDOS攻击，纷纷出现宕机等情况，OKEx宣称遭到至少600G流量DDOS。

Defi方面，共发生『3』起较典型的安全事件。

1、2月15日，BZX协议被爆出遭到可组合资产流动性套利攻击，攻击者通过闪贷从BZX借出ETH后通过一系列操作太抬高币价，套利ETH，获利1000多ETH。

2、2月18日，BZX再次遭到类似攻击，攻击者通过抬高币价对BZX合约进行『蒙骗』，BZX未对币种价格进行多次验证，导致损失2378ETH。

3、去中心化交易平台Curve出现异常交易，该笔交易使用价值8.9万美元的USDC兑换了价值46.5万美元的BUSD，攻击者对Curve的busd.curve.fi以及y.curve.fi两种资金池进行一次钳形攻击 （Pincer Attack）。

个人用户方面，发生『1』起巨鲸大户遭遇SIM卡攻击事件。

2月22日，巨鲸大户『zhoujianfu』在其推特称自己钱包遭遇黑客攻击，1547个BTC和60000BCH被盗，价值超过2亿人民币，成都链安迅速响应，根据其给出的地址对被盗资产流向展开追踪。

DApp方面，发生『1』起在波场上较典型的安全事件，LuckLambo104合约地址遭到交易回滚攻击，共计损失6588TRX。

其他方面发生的较典型的安全事件还有：

1、Kraken安全实验室找到Trezor硬件钱包物理漏洞，可通过打开物理外壳，访问STM32微芯片以获得用户私钥，进而实施盗币。

2、近期骗局勒索事件频发：美国加利福尼亚一学区系统遭到加密勒索软件而瘫痪；基于谷歌广告系统的骗局；OMG钓鱼网站空投诈骗，导致用户私钥被盗；比特币钱包Electrum『更新钓鱼』盗币行为仍在继续。

鉴于当前区块链安全领域的新形势，『成都链安』在此提醒：

可见，由1&2月的区块链安全事件所反映的现象中，『区块链安全』这个赛道仍然是2020年面临的严峻考验。面对1&2月频频发生的安全事件，有2点尤其值得我们注意和深思：

• 热门交易所FCoin的暴雷，ZG交易所平台币的暴跌以及多个交易平台的退场，再次提醒作为用户选择加密货币交易所时需谨慎。目前头部交易所占据了80%的市场用户，其余中小交易所争夺着剩余20%的市场。激烈的竞争下，使得较为年轻化的工作群体争相推出各种创新特色项目。然而，在通过创新特色项目吸引用户的同时却在安全以及长远发展方面重视不够，难以保证交易所资本稳定运营。

2、Defi项目开发者应重视合约安全问题，做好相关安全审计工作。近期频频爆出安全事件也说明Defi项目市场有所回暖，大量Defi项目相继推出，但很多智能合约仍然存在安全上的逻辑问题，很可能一个验证上的小疏漏就成了攻击者套利的突破点。

由此，成都链安认为，虽然当前大部分目光仍着眼在新冠肺炎阻击战上，但来自区块链安全领域的威胁同样不可小觑。稍有纰漏，就会造成巨额经济损失。因此，我们建议，无论是交易所方面，还是个人方面，都应时刻重视安全防御的部署，防微杜渐，警钟长鸣。若遭遇加密资产犯罪案件，第一时间向专注于区块链安全的公司寻求帮助，亡羊补牢，追回损失。