DeFi 安全

10 月份共发生 4 起 DeFi 相关安全事件，具体如下：

1）10 月 11 日，以太坊项目 WLEO 合约遭到黑客攻击，导致价值 4.2 万美元的资金被盗。黑客通过将向自己铸造 WLEO，并将其换成以太坊，从去中心化交易所 Uniswap 的池中窃取了以太坊。

2）10 月 26 日，有用户发现 DeFi 挖矿项目 Harvest.finance 被使用闪电贷功能实现了巨额套利。Harvest 官方发推解释称，这次套利攻击起源于一笔巨额闪电贷，并通过多次操纵 Curve y Pool 的价格，以套取 fUSDT、fUSDC 的价差进而获利。

3）加密钱包 ZenGo 的研究人员 Alex Manuskin 透露，一个所谓基于以太坊网络的「yield farming 平台」UniCats 涉嫌从几个用户那里窃取了包括 Uniswap 的治理代币 UNI 在内的至少价值 20 万美元的加密资产。智能合约中的一个后门允许 UniCats 保留对用户代币的控制权，即使这些代币已经从用户池中撤出。而此前针对 Bancor 的攻击也使用了类似的漏洞。

4）yearn.finance（YFI）披露一个新的闪电贷安全漏洞，该漏洞由安全研究员 Wen-Ding Li 于 10 月 29 日通过 Yearn 的安全漏洞披露流程报告，团队在 1.5 个小时后将该漏洞移除。根据该披露，闪电贷攻击可能会给 TUSD 保险库资金带来安全危险，目前该问题已被修复，同时 TUSD 保险库已被停止部署资金。

PeckShield 点评：随着 DeFi 项目功能越来越多样，其中隐藏的安全问题也逐渐暴露出来，鉴于其与用户资产的紧密联系，DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发，对各自产品的设计与实现理解有限，集成的产品很可能在与第三方平台交互的过程中出现安全问题，进而腹背受敌。PeckShield 在此建议，DeFi 项目方在上线之前，应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计，以避免潜在存在的安全隐患。

数字钱包安全

10 月份共发生 3 起钱包安全事件：

1）硬件钱包制造商 Ledger 遭受了网络钓鱼攻击。一些用户收到了带有钓鱼软件的电子邮件，导致资金损失。此次黑客攻击可能与该公司在 2020 年 7 月的用户数据泄露事件有关。

2）ZDNet 一项调查显示，黑客通过引诱用户安装假软件更新，从比特币钱包 Electrum 的用户那里窃取了 2200 万美元。而该手法最高出现在 2018 年。而自两年前首次发现这种攻击以来，Electrum 团队已经采取了一些措施来防止这种攻击。但这种攻击仍然适用于使用旧版本应用程序的用户。 (责任编辑：admin)