10月份共发生29起安全事件，虚拟货币投资诈骗事件频发

根据PeckShield态势感知平台的数据，在过去的一个月里，整个区块链生态系统中又出现了29起比较突出的安全事件，危害程度被评为“高”，涉及4起DeFi事件，3起钱包安全事件和交易所。 2个相关，5个涉及敲诈勒索，15个涉及欺诈等

DeFi 安全

10月份共发生4起与DeFi相关的安全事件，具体如下：

1）10 月 11 日，以太坊项目 WLEO 合约被黑，导致价值 4.20,000 美元的资金被盗。黑客通过为自己铸造 WLEO 并将其换成以太币虚拟货币网站首选AAx，从去中心化交易所 Uniswap 池中窃取以太币。

2）10月26日，有用户发现DeFi挖矿项目Harvest.finance利用闪贷功能实现巨额套利。 Harvest官方推文解释称，套利攻击源于一笔巨额闪贷，通过多次操纵Curve y Pool价格套利fUSDT和fUSDC的价差获利。

3）加密钱包 ZenGo 的研究员 Ax Manuskin 透露，基于以太坊网络的所谓“收益农业平台”UniCats 据称至少窃取了 UNICats，包括 Uniswap 的治理令牌 UNI，来自多个用户。价值 20 万美元的加密资产。智能合约中的后门允许 UniCats 保留对用户代币的控制权，即使这些代币已从用户池中取出。之前针对 Bancor 的攻击中使用了类似的漏洞。

4）yearn.finance (YFI) 披露了一个新的闪贷安全漏洞，由安全研究员李文丁于 10 月 29 日通过 Yearn 的安全漏洞披露流程报告，<@Remove the1.5 小时后的漏洞。根据披露，闪贷攻击可能会对 TUSD 保险库资金构成安全风险，目前该问题已得到修复，TUSD 保险库已停止部署资金。

PeckShield 点评：随着 DeFi 项目的功能越来越多样化，隐藏的安全问题也逐渐暴露出来。鉴于其与用户资产的紧密联系，DeFi 项目的安全问题非常严重。由于每个项目由不同的团队开发，对各自产品的设计和实现了解有限，集成后的产品在与第三方平台交互的过程中很可能出现安全问题，从而遭殃。 PeckShield 特此建议，DeFi 项目方应尽量找一个对 DeFi 各方面的产品设计有深入研究的团队，在上线前做完整的安全审计，避免潜在的安全风险。

数字钱包安全

10 月份发生 3 起钱包安全事件：

1）硬件钱包制造商 Ledger 遭受网络钓鱼攻击。一些用户收到带有钓鱼软件的电子邮件，导致资金损失。此次黑客攻击可能与该公司 2020 年 7 月的用户数据泄露事件有关。

2）根据 ZDNet 的一项调查，黑客通过诱骗比特币钱包 Electrum 用户安装虚假软件更新，窃取了 2200 万美元。而这种方法出现在 2018 年最高。而且自从两年前首次发现该攻击以来，Electrum 团队已经采取了一些措施来阻止它。但这种攻击仍然适用于使用旧版应用的用户。

3）近日，网络犯罪情报公司 HudsonRock 首席技术官 Alon Gal 发推称，10 月 27 日，自称“以太坊最成熟、规模最大的赌博游戏”的 EtherCrash 冷钱包被盗，损失惨重约250美元10,000美元，怀疑是内部人士干的。

PeckShield 点评：作为管理私钥的工具，数字钱包是最接近加密资产的地方。冷钱包虽然是脱网的离线钱包，但也存在被物理攻击和被盗的风险。对于网页钱包等热钱包虚拟货币网站首选AAx，用户也要提防网络钓鱼、恶意代码注入等攻击。

交易所相关

10 月份发生 2 起与交易所相关的安全事件：

1)10月16日，OKEx发布“暂停退出公告”称，近日，公司部分私钥管理人正在配合公安机关调查，目前处于亏损状态联系方式，导致无法完成授权。两名接近OKEx的消息人士称，公告中“配合公安机关调查”的是OKEx创始人徐明星。其中一位知情人士还说，许星星至少一周前就被警察带走了，已经多日没有出现在工作组了。

2) imToken 钱包用户报告了 310,000 DAI 从与 DeFi Saver Exchange 漏洞相关的账户流出。早在今年 6 月 20 日，DeFiSaver 推特就报道称发现了 Exchange 中的漏洞。为了保护用户资金，我们进行了一次白黑客攻击，将受影响的资金（约 30,000 美元）转移到只有原始所有者可以提取的智能合约中。

PeckShield 评论：黑客窃取资产并进行洗钱活动。无论过程多么复杂，交易所通常都被用作兑现渠道的一部分。这无疑对各大数字资产交易所的KYC和KYT服务提出了更高的要求，交易所应加强对AML反洗钱和资金合规的审查。

勒索软件相关

10 月份发生了 5 起与勒索软件相关的安全事件：

1）意大利跨国能源巨头 Enel Group 近日遭遇勒索软件攻击，其计算机网络感染了名为 NetWalker 的 Windows 勒索软件。据报道，NetWalker 黑客发布了大约 5 TB 被盗数据的屏幕截图，并威胁要在一周内发布第一批数据，迫使 Enel Group 支付 1234 比特币（约合 1680 万美元）。

2）10 月 28 日，芬兰数万名接受心理治疗的患者的机密病历被黑，部分病历在网上泄露。芬兰警方透露，黑客侵入了私营公司 Vastaamo 的记录，该公司在芬兰经营着 25 个治疗中心。据报道，已有数千人就这一事件向警方投诉。许多患者报告说，他们收到了要求支付 200 欧元比特币的电子邮件，以防止他们与治疗师的讨论被公开。

3）10月14日消息，近日，全国首个比特币勒索软件开发商巨某在江苏南通被警方成功抓获。江苏省南通市当地警方通报，犯罪嫌疑人鞠作为多个比特币勒索病毒的制作者，已成功作案100余起，非法获得的比特币等值金额超过500万元。

4）最近，勒索软件攻击袭击了 eResearchTechnology (ERT)，这是一家为全球制药公司提供临床试验工具的医疗软件公司，包括 COVID-19 疫苗试验，目标公司包括Bristol-Myers Squibb，阿拉伯人 Stratix、辉瑞和强生等公司开展的多个 Covid-19 研究项目的潜在影响。

5）七国集团（G7）领导人周二警告全球勒索软件攻击激增，称黑客技术对世界主要经济体的关键基础设施构成威胁。勒索软件将渗透并G7 声明警告说：“犯罪分子经常要求以虚拟资产支付赎金，这一事实尤其令人担忧。”欧盟领导人表示，“虚拟资产”是黑客的一种方式洗钱。声明呼吁更多国家实施金融行动特别工作组 (FATF) 虚拟资产保护。

PeckShield点评：勒索软件安全事件一直是影响整个互联网生态的重大隐患，不仅限于区块链生态。而且，在区块链领域加密货币大行其道后，犯罪分子经常利用比特币等加密货币较好的匿名性进行敲诈勒索和诈骗。

其他骗局

除上述之外，10月份还有多起诈骗逃跑事件值得我们关注，比如：

1）Kusunose 用户在 Google 论坛上发帖称，他们因 Google 广告中的加密骗局而损失了 1.50,000 美元。这个名为 Coindaq.io 的可疑网站据称试图利用中国正在研究的数字人民币，声称用户可以在平台上存入资金以参与数字人民币的销售。受害者表示希望谷歌能够调查此事并为涉嫌诈骗设立网页。

2）广州市公安局官方发布声明称，10月3日，市民潘小姐到云浦派出所报案，称自己在9月份遇到了一名“网友”，被后来被对方指控投资数字货币。共投入232万元诱骗下载假冒APP，但已无法提现。黄浦公安紧急提醒，理性对待数字货币，如有疑问或发现被骗应立即报警。

3）近日，长沙市芙蓉区居民林某向警方报案，称自己因投资数字货币被骗320万元以上。据悉，林某通过微信群“老师”发送的网址链接下载了一款名为“AOC”的应用，并注册了账号。林某25次向对方提供的13个不同银行账户转账32多39万元。几天后，应用显示他购买的数字货币暴跌了 80%。林某报警时，APP无法登录，“老师”微信账号被屏蔽，失去联系。目前案件正在调查中。

4）近日，一名用户在访问 Curve 交易所网站时遭到钓鱼攻击，损失了 20 个比特币。据悉，诈骗团伙利用谷歌广告系统购买谷歌搜索广告，并伪装成Curve交易所进行诈骗广告。由于谷歌的新广告计划，广告通常显示在搜索的顶部，这导致许多用户上当受骗。降维安全实验室建议用户保持警惕，谨慎识别信息来源，谨慎识别域名，避免资产损失。

5）10 月 12 日，以太坊客户端 Geth 开发者 Marius 发推文称，以太坊开发社区发生了电子邮件钓鱼事件，具体是一个名为 get-eth.com 的网站，这表明最新的以太坊 Geth 客户端可以被下载。 geth客户端的下载地址是geth.ethereum.org，或者直接从github下载。

6）加密货币数据公司 CoinGecko 通过 Twitter 宣布遭遇 DDOS 攻击并暂时收紧安全措施。 CoinGecko 正在密切关注情况。官方正在努力解决问题，希望能迅速恢复正常运行。

7）徐州市公安局近日成功侦破一起“国开数字货币”特大号民族资产解冻诈骗案，抓获犯罪嫌疑人16名，缴获电脑、手机、银行卡60余台，冻结涉案资金超过150万元，创下全省查办此类案件一次性抓捕人数最多的记录。据悉，该团伙声称“国开数字货币”是央行发行的第一批数字货币。一份100元，每人限购7份。机构起诉。

8）日前，河北黄骅警方成功捣毁一个跨省电信诈骗团伙，抓获犯罪嫌疑人3名，涉案金额超过120万元。据悉，该犯罪团伙利用某投资APP利用虚拟货币买卖电子宠物实施诈骗

9）P2P 比特币市场 Paxful 在两个月内成功防御了一系列严重威胁，包括 220,000 次网络机器人攻击和各种社会工程策略。 Paxful 表示，攻击者试图使用自动机器人强行进入项目用户的账户。据 Paxful 称，据报道，世界上大约四分之一的网络流量是由机器人产生的，这些机器人实际上是模拟真实设备运动的程序。

10）根据美国检察官周一发布的起诉书，俄罗斯国家网络黑客使用比特币来掩盖他们与服务器和域名等关键黑客“基础设施”的联系。该诉讼点名俄罗斯国家黑客团队的六名成员，据称他们通过俄罗斯军事单位 7445 对公司、军队、政府和数千名 2018 年冬季奥运会的受害者进行了攻击。检察官还声称他们应对灾难性的“NotPetya”负责" 2017 年的恶意软件攻击造成了数十亿美元的损失。

11）日前，浦东警方成功捣毁一个虚拟货币投资诈骗窝点，抓获22名犯罪嫌疑人。该案涉案金额为790万元。据悉，涉案“HASTE”虚拟货币交易平台由犯罪嫌疑人吴某创办的一家科技公司的技术人员开发维护，并将使用权出售给境外人员。平台可以直接随意更改平台内用户的虚拟货币额度，通过交易“机器人”模拟和控制虚拟货币的汇率走势。

12）近期，一些与AAX无关或未经AAX授权的第三方试图通过邮件、微信、Telegram等方式冒充AAX客服，并在网上传播冒充AAX的虚假关联企图。进行欺诈活动。

Arbistar 2.0 首席执行官 Santiago Fuentes 最终于 10 月 22 日在西班牙南部特内里费岛地区被警方抓获并拘留，西班牙国家警察的消息人士称。 Fuentes 被指控在价值近 8.5 亿欧元（约 10 亿美元）的比特币庞氏骗局中欺骗近 3.20,000 名投资者。

14)根据美国检察官周一发布的起诉书，俄罗斯国家网络黑客使用比特币来掩盖他们与服务器和域名等关键黑客“基础设施”的联系。该诉讼点名了俄罗斯国家黑客团队的六名成员，据称他们通过俄罗斯军事单位 7445 对公司、军队、政治运动、政府和数千名 2018 年冬季奥运会的受害者进行了攻击。

15）渴望。金融作为一种分身骗局出现，旨在诱骗访问者共享其加密货币钱包的私钥。该骗局网站几乎可以复制原始 yearn.finance 网站的所有方面，包括其设计、网站副本甚至域名。

PeckShield点评：由于用户安全意识和操作规范的缺失，网络钓鱼攻击、诈骗等各种安全风险层出不穷。特此提醒，用户应妥善保管各类隐私信息，任何小疏忽都可能造成无法弥补的损失。