根据PeckShield态势感知平台的数据，在过去的一个月中，整个区块链生态共发生了14起突出的安全事件，危害程度评级为“中级”，损失金额近1800万美元，涉及6个DAPPs和2个smart合约，以及资金跑路、钓鱼欺诈等。 　　

　　

　　DApp 生态 　　

　　

　　9月份发生了6起DApp安全事件。其中EOS和TRON生态各出现3次。 　　

　　

　　1)EOS DApp 　　

　　

　　EOS游戏合约flagshipladd被假EOS攻击，损失近2,000 EOSSKReos游戏持续遭受交易阻塞攻击，损失近千EO；EOSPlay遭遇新型事务阻塞攻击，损失EO近3万个。有3次攻击，总共损失31，935 EOS。另外两次攻击是已知攻击，EOSPlay遭受了一次“新”攻击。 　　

　　

　　下面重点介绍EOSPlay遭受的新的事务阻塞攻击： 　　

　　

　　2008年9月14日，EOSPlay官方电报组宣布发现玩家投注行为异常，并伴随EOS网络CPU价格飙升。 　　

　　

　　PeckShield安全人员立即对此进行了分析，这与已知的事务阻塞攻击(CVE-2019-6199)不同。这是一种新型的事务阻塞攻击。 　　

　　

　　具体来说，攻击者借助REX平台，以较低的成本租用了大量的CPU，然后创建了大量的交易来提高CPU的价格，使得其他账户发起的交易会因为CPU不足而失败。由于EO play使用未来区块的哈希来抽奖，攻击者通过这种方式封锁网络，使得只有自己发起的交易才能成功执行，从而破解EO play的随机数算法来获利。 　　

　　

　　如下图所示，9月14日到9月16日有两个CPU价格的峰值点，这两个时间点就是攻击者发起攻击的时刻。除了EOSPlay，攻击者还试图攻击另一种DApp菠菜，但没有获利。 　　

　　

　　 　　

　　

　　2)创DApp 　　

　　

　　TRON生态的三起安全事件都是事务回滚攻击。 　　

　　

　　PeckShield安全人员在TUfAGY和TChuwC开头发现了两个攻击者的账户，撒网测试TRON的每个DApp是否存在事务回滚漏洞，成功攻击了几个DApp合约，共获利16654 TRX。 　　

　　

　　PeckShield点评：DApp各类生态安全事件发生的频率和危害较以往明显降低。 　　

　　

　　智能合约 　　

　　

　　9月份发生了两起智能合约安全事件，涉及DEX智能合约和最近流行的基金游戏FairWin。 　　

　　

　　1)空气搅拌 　　

　　

　　9月13日，AirSwap团队公布了其智能合约的一个致命缺陷。PeckShield安全人员独立分析了该漏洞的细节，将其命名为ItchySwap，并与AirSwap团队进行了沟通，以确认该漏洞的细节和修复案例。 　　

　　

　　该漏洞会导致攻击者恶意窃取用户资产，造成严重影响。受该漏洞影响的账户有18个，涉及数万甚至数十万美元的数字资产安全。PeckShield提醒相关账号尽快完成升级，避免数字资产丢失。 　　

　　

　　2)费尔温 　　

　　

　　近年来，一个名为FairWin的资助项目引起了特别的关注，其每天的用气量占以太坊网络可承载的总用气量的近一半。 　　

　　

　　2009年9月27日，PeckShield安全人员深入分析发现，FairWin smart contract存在一些管理权限问题导致的致命缺陷。旧合约中的余额可以被用户任意操作和转让，而升级后的新合约出现了新的问题，使得用户进行虚假投注以获得奖池中的剩余资金。 　　

　　

　　PeckShield推出提醒，虽然没有已知的攻击，并且费尔温智能合约的潜在威胁已经暂时消除，但是以太坊网络上仍然存在类似费尔温的模仿盘，可能存在这样的漏洞威胁。 　　

　　

　　PeckShield点评：随着以太坊网络中DeFi应用的不断发展，各类智能合约相关的安全事件趋于频繁。由于此类智能合约接近数字资产，其安全性不容忽视。 　　

　　

　　跑路事件 　　

　　

　　9月，媒体报道了瓦尔登街区狗、B91、ICC等多个捐赠项目的跑步赛事。 　　

　　

　　PeckShield的子公司CoinHolmes推出了可视化数字资产跟踪服务，以应对日益频繁的跑步事件。过去一个月，CoinHolmes的监测数据显示： 　　

　　

　　1)共计1 705万USDT转给霍比交易所，用于1)国际商会经营的项目； 　　

　　

　　2)邓华Block Dog项目共有138万美元流入交易所，其中103万美元转入盖特交易所，35万美元转入ZB交易所。 　　

　　

　　3)在3)Cryptopia中被盗资产的关键地址中，1,410 ETH通过中转流入Yobit Exchange 　　

　　

　　伊俄斯ECAF冰冷的黑色名字 　　

单 craigspys211 账号出现异动，转走19.9万 EOS，最终转移至 ChangeNow 交易所；

　　

5）PlusToken 跑路资金 ETH 部分 则有20,008枚发生首次异动后分散转移。

　　

以 craigspys211 黑名单账号为例，其被盗资产流向示意图如下：

　　

　　

PeckShield 点评：PlusToken 等各类以高回报投资为噱头的资金盘项目，吸引了大量用户参与投资，但随着该类项目相继暴雷跑路，也给广大投资者带来了巨大的损失和伤害。鉴于区块链的链上可追踪特性，如何帮助用户追踪还原资产转移路径，协同各方力量帮用户追踪和挽回数字资产损失，是 我们正在努力做的事。

　　

钓鱼攻击等其他类安全事件

　　

除上述之外，9月份还有一些安全事件同样值得警惕：

　　

1）比特币钱包 Electrum 钱包遭受黑客钓鱼攻击，损失了1,450个 BTC；

　　

2）Coinhouse 交易所遭黑客钓鱼攻击；

　　

3）Fusion 钱包被盗，其项目代币 FSN 大量被盗，损失557万美元。

　　

PeckShield 点评：因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷，钓鱼攻击、冒充客服诈骗等各类事件就是典型。在此提醒，参与数字资产投资的用户应谨慎保管各类私密信息，任何小的疏忽都可能造成不可挽回的损失。

　　

来源：PeckShield