PeckShield：CEX公链DeFi风起，项目跑路谁向投资者负责？

据 PeckShield 态势感知平台数据显示，过去一个月，整个区块链生态共生 38 起较为突出的安全事件。涉及 DeFi 相关 21 起、交易所安全 6 起、勒索相关 1 起，诈骗事件 10 起。

CEX公链DeFi“土矿”跑路 谁向投资者负责？

自 2020 年 DeFi 点燃 FOMO 情绪后，曾经食物链顶端的 CEX（中心化交易所）的优势逐渐减弱，尤其是从增量市场变为存量市场以后，CEX 开始寻求新的突破点。公链作为区块链行业的发展基石，是交易所发力的重要突破点，它不仅能将交易所的各个生态布局连接到一起，同时也是与 DeFi 连接的契合点。 

2020 年下半年，币安、火币、OKEx 等各大中心化交易所纷纷加快布局自己的公链支持 DeFi 项目，为抢占 DeFi 市场分一杯羹。

2021 年起，CEX 公链上的 DeFi 项目陆续出现跑路的状况。据 PeckShield 统计，2 月 CEX 公链上的 DeFi “土矿”跑路项目至少有 4 起。

2 月 1 日，媒体报道称，币安智能链上的 DeFi “土矿” 项目 Popcornswap 和 Multi Financial 跑路，分别损失约 48,000 BNB 和 5,000 BNB。此前，币安智能链上的 Zap Finance、Tin Finance 和 SharkYield 等DeFi 项目被爆相继跑路。

2 月 8 日，火币公链 HECO 上的借贷项目 Filda 疑似被盗 580 万 HUST。

2 月 28 日，媒体报道称，火币公链 HECO 上的项目 tokenlink 疑似跑路，损失几百万 USDT。

CEX 公链上的 DeFi 项目已现跑路的态势，投资者该向谁问责？

对此，CEX 相关负责人曾表示 CEX 搭建的公链与以太坊等公链一样，不应该为构建在其上面可能存在问题的项目负责。

PeckShield 安全专家表示：“从 CEX 所推出的公链的定位上来看，它们致力于打造一条公有链，即非许可链（Permissionless Blockchain）。在理想状态下，任何人都可以参与区块链数据维护和读取，容易部署应用程序，完全去中心化不受任何机构控制。但值得注意的是，CEX 所推出的公链还处于发展初期，在构建生态的过程中，可能还需要有一个‘弱中心化’的过渡过程。从投资者角度来看，由于 CEX 的公链由 CEX 部署，虽然 CEX 可以对上线项目进行免责声明，但用户或将其品牌视作一种信用背书，改进和完善制度治理是 CEX 亟待解决的问题。”

诈骗蔓延至DeFi领域 DeFi可组合性漏洞持续凸显 

除了 CEX 公链上的 DeFi 项目跑路的安全事件外，据 PeckShield 统计，2 月共发生 21 起 DeFi 安全事件，诈骗事件已蔓延至 DeFi 领域，DeFi 的可组合性漏洞持续凸显。

2 月 5 日，Yearn v1 yDAI 保管库遭到攻击，保管库损失了1100万美元，攻击者窃取了280万美元。

2 月 5 日，DeFi 保险项目 ArmorFi 向白帽黑客支付 150 万美元的漏洞赏金。据悉，这名黑客发现了该协议的一个“关键漏洞”，该漏洞可能会导致该公司所有的承保资金被耗尽。

2 月 8 日，去中心化交易协议 Curve 表示发现聚合协议 Yearn 全新的 yv2 资金池存在问题，为了保护流动性提供者，该资金池已经关闭。

2 月 9 日，去中心化衍生品交易所 dYdX 官方推特表示，目前尚未发币，也没有进行预售或空投。用户需警惕相关骗局。

2 月 9 日，智能 DeFi 收益聚合器 BT.Finance 遭到黑客攻击，损失约 150 万美元。

2 月 13 日，DeFi 协议 Cream.Finance 以及 Alpha Finance 遭到闪电贷（Flash Loan）攻击，损失 3,750 万美元。

2 月 15 日，以太坊链上期权协议 Primitive Finance 发推称， Primitive Finance 没有协议代币，用户需警惕相关骗局。

2 月 20 日，基于 Tezos 构建的 DEX Dexter 被曝合约存在漏洞，该漏洞允许在未经授权的情况下提取资金，开发团队 Nomadic Labs 已重写合约。

2 月 21 日，DAO Maker 发推提醒用户，警惕冒充 DAO Maker 的骗局。

2 月 22 日，以太坊链上期权协议 Primitive Finance 智能合约中发现了一个严重漏洞。由于合约不可升级或暂停，官方利用自己的智能合约进行黑客攻击以保护用户资金。

2 月 22 日，去中心化借贷协议 ForTube 披露两周前的安全漏洞，暂无用户因漏洞而造成损失。

2 月 24 日，以太坊二层扩容解决方案开发团队 Matter Labs 发推质疑去中心化交易所 ZKSwap 的用户资金安全。

2 月 25 日，有报告指出，自动做市商在交易或代币互换之前使用的审批机制可能存在安全漏洞，报告称该功能允许第三方代表用户从其账户中发送代币。与此同时，报告发现有欺诈者正在使用该手法利用钓鱼邮件骗取 LINK。

2 月 26 日，DeFiBox 监测发现，上线火币生态链 Heco 的基金投资平台 MFD 存在预挖风险。 

2 月 27 日，DeFi 收益聚合器 Yeld.Finance 的 DAI 池遭到闪电贷攻击，损失 16 万 DAI。

2 月 28 日，DeFi 聚合平台 Furucombo 遭到黑客攻击，损失超过 1400 万美元。由于 Cream Finance 未及时从钱包里撤销所有对外部合约的授权，因此受到该漏洞的影响，造成损失约 110 万美元。 

2 月 28 日，DeFi 保险协议 Armor.Fi 发推表示，一名诈骗者从团队成员骗取 120 万枚 ARMOR 代币，目前已经以大约 600 ETH（约合85万美元）的价格抛售完毕。

PeckShield 发现，2 月所发生的 DeFi 项目 Furucombo、 Primitive Finance 遭攻击都与 DeFi 无限授权模式相关，该授权方式使得钱包无需经过用户任何许可，即可支配其所有资产，且不受用户私钥保管限制。PeckShield 提示用户切勿过度授权。

对于协议开发者而言，在尝试创新的基础上，需要提高安全意识，定位组合可能存在的问题，在做安全审计时充分考虑系统组合时存在的业务逻辑缺陷，进而做到安全防御为首。其次，由于 DeFi 项目与资产紧密相连，容易成为潜在的攻击对象，这就要求 DeFi 协议开发者提升安全防御等级，包括项目上线前的安全审计，项目运行中的异常数据预警和危机发生时及时的应急响应等等。

交易所攻击

据 PeckShield 统计，2 月共发生 6 起典型的交易所安全事件，包括英国加密货币交易所 Exmo 遭到 DDoS 攻击，服务器暂停使用。

影响较⼤的安全事件为 2 月 1 日交易所 Cryptopia 再次遭黑客入侵，被盗取约 62,000 新西兰元（合约 45,000 美元）的加密货币。调查显示，黑客访问了一个自 2019 年被盗后一直处于休眠状态的钱包，该钱包由 Cryptopia 的清算人 Grant Thornton 控制。

诈骗 & 勒索

据 PeckShield 旗下反欺诈态势感知系统 CoinHolmes 统计，2 月共计发生 10 起诈骗相关安全事件和 1 起勒索事件。

2 月 4 日，社交平台 Discord 上出现比特币赠送骗局，以收集加密用户数据。

2 月 5 日，澳大利亚男子被指通过加密货币对冲基金诈骗 9000 万美元，现已认罪。

2 月 5 日，德国检察官从一名诈骗者手中没收了价值超过 5,000 万欧元（约合 6,000 万美元）的比特币，但面临一个尴尬的问题，即无法破解密钥而不能解锁这笔资产。

2 月 6 日，美国司法部（DOJ）宣布，塞尔维亚公民 Antonije Stojilkovic 涉嫌诈骗加密货币投资者逾 7,000 万美元，已被引渡到美国，面临共谋实施欺诈和洗钱的指控。据称，Stojilkovic及其同伙在塞尔维亚等地建立了 20 多个虚假交易平台。

2月8日，美国佛罗里达州电信公司的 Stephen Dediore 被指控进行 SIM 交换诈骗，窃取加密货币。如果罪名成立，Dediore 将面临最高 5 年监禁和最高 25 万美元的罚款。

2 月 10 日，比利时能源部长 Tinne Van der Straeten 的推特帐户被黑。其推特账户被改名为“以太坊基金会”，并发布以太坊赠品骗局诱使其关注者进入欺诈网站。

2 月 11 日，欧盟执法机构逮捕通过 SIM 交换窃取价值 1 亿美元加密货币的黑客。

2 月 11 日，日本检察官已指控一群体涉嫌处理价值 1.8 亿美元 Coincheck 交易所被盗虚拟货币。

2 月 17 日，美政府起诉北朝鲜黑客组织 Lazarus Group 的三名成员，涉嫌窃取逾 13 亿美元的资金和虚拟货币。

2 月 18 日，汽车制造商起亚汽车（Kia Motors）遭到勒索攻击，黑客索要 600 枚比特币作为赎金（合计价值 3000 万美元）。

由于加密货币具有匿名性、链上资产转移路径复杂、技术追踪难度大，从而加大了相关部⻔执法的难度。除了完善相关的法律法规，全球执法机构亟待引⼊新的监管⼯具和技术。