序文
最初のレベルのタイトル
データ分析
データ分析
1. 割合分析:
分析の結果、9 月はフィッシング セキュリティ インシデントが最も多く、その割合は 44% にも達しました。フィッシングに警戒し、個人資産を保護してください。嬉しいのは、9 月に実行された詐欺の数が大幅に減少し、その数はわずか 8% に過ぎなかったことです。
2. 比較データ分析:
2. 比較データ分析:
比較すると、今月はフィッシングを除く他の種類のセキュリティ攻撃の数が減少しており、特にエスケープ詐欺の数が前月の 17 件から 2 件に減少していることがわかります。
3. 2022 年の月次セキュリティ傾向:
以下は、Known Chuangyu Blockchain Security Lab による 9 月のさまざまな種類のセキュリティ情報の概要と、それによって明らかになった問題についての説明です。
DeFiセキュリティタイプのイベント
副題
DeFiセキュリティタイプのイベント
9 月 2 日、プライバシー プロジェクト ShadowFi がハッキングされ、公式トークン SDF が 98.5% 減少しました。攻撃者は SDF の脆弱性を利用して誰でもトークンを書き込むことができ、約 1,078 BNB (約 30 万ドル) を獲得し、盗まれた資金は TornadoCash に送金されました。
9月4日、Rug Pull Finderの最新NFTプロジェクト「BadGuys」が無料鋳造期間中に悪用され、2人のユーザーがNFT契約の抜け穴を利用して、ウォレットごとに元のセットではなく450個のNFTを鋳造した 配布できるNFTは1つだけだった。この脆弱性は「ミント」機能で必要なセキュリティチェックが行われていないことが原因で、チームはソーシャルメディアで謝罪し、より多くのミントNFTを買い戻すために2.5ETHの報奨金を支払うと述べた。
9 月 4 日、BNB チェーン上の DAO コミュニティの集合体である DAO Officials が攻撃を受けた疑いがあり、さらにチェーン上のデータから、攻撃者が 50 万ドル以上の利益を得ていた可能性があることが判明しました。
9 月 7 日、攻撃者は AVAX フラッシュ ローン攻撃を通じて約 370,000 USDC の利益を得ました。攻撃者が影響を与えた可能性のあるプロトコルには、Nereus Finance、Trader Joe、Curve Finance などがあります。
9月20日、暗号通貨マーケットメーカーのWintermuteがハッキングされ、秘密鍵の漏洩により1億6000万ドルの損失を被った。
詐欺セキュリティ タイプのイベント
副題
9 月 26 日、BNB チェーンでフロントラン ボット詐欺が発見されました。この詐欺師は、詐欺師がユーザーにお金を稼ぐための「フロントラン ボット」の開発方法を教えましたが、提供された契約にはバックドアがありました。被害者のすべてのトークンが攻撃者のアドレスに転送されます。
フィッシングセキュリティタイプのイベント
副題
フィッシングセキュリティタイプのイベント
9月6日、Arts DAOプロジェクトのDiscordサーバーが攻撃されました。コミュニティ ユーザーは、取引をクリックしたり、ミントしたり、承認したりしないでください。
9 月 6 日、Dictators Project Discord サーバーがハッキングされました。コミュニティ ユーザーは、取引をクリックしたり、ミントしたり、承認したりしないでください。
9 月 8 日、Metaverse プラットフォーム The Sandbox プロジェクトの Instagram アカウントがハッキングされ、thesandboxesgame.com がフィッシング Web サイトになりました。フィッシングサイトをクリックしないようお願いいたします。
9 月 12 日、Alpha Centauri Kid の公式 Discord サーバーがフィッシングメール攻撃を受けました。トランザクションをクリックしたり、ミントしたり、承認したりしないでください。
9月14日、BAYC #8941が盗難された疑いがあり、NFTはフィッシングアドレスとしてマークされたアドレス0x18e541...D0F4に転送されました。
9 月 14 日、ID @FreddyAdu の認証済み Twitter アカウントがハッキングされ、攻撃者は LooksRare Twitter として偽造し、偽のエアドロップ Web サイト情報を投稿しましたが、まだ回収されていません。
9 月 18 日、Alter Ego Hunters は、Discord が攻撃されたと公式に発表しました。コミュニティ ユーザーは、取引をクリックしたり、ミントしたり、承認したりしないでください。
9 月 18 日、Dystians Discord がハッキングされました。コミュニティ ユーザーは、取引をクリックしたり、ミントしたり、承認したりしないでください。
9月18日、NFTプロジェクトpumpʂkinは、DiscordサーバーとDiscord管理アカウントが攻撃されたとツイートしました。コミュニティ ユーザーは、取引をクリックしたり、ミントしたり、承認したりしないでください。
9月28日、SOL DecoderプロジェクトのDiscordサーバーが攻撃されました。コミュニティ ユーザーは、取引をクリックしたり、ミントしたり、承認したりしないでください。
その他のセキュリティ イベント タイプ
副題
その他のセキュリティ イベント タイプ
9月2日、分散型流動性プロトコルであるKyber Networkは、フロントエンドの脆弱性の悪用によりユーザーが26万5,000ドルの資金を失ったことをTwitterで明らかにした(このデータは新しい情報が明らかになった場合に更新される)。この脆弱性は、KyberSwap Web サイト内の悪意のある Google タグ マネージャー コードに起因しており、攻撃者はクジラ ウォレットを標的とし、偽の承認を挿入することでユーザー資金を送金するためのアクセスを取得しました。
ゼロ知識証明の研究開発組織である StarkWare は 9 月 9 日、同社の拡張エンジン StarkEx V4.5 には抜け穴があると Vlad Bochok (Matter Labs エンジニア) と Ihor Barenblat によって指摘され、ユーザーがそれを利用できる可能性があるとツイートした。凍結されたシステム保管庫から二重に支出できる機能。ただし、この脆弱性は現在修正されています。
9 月 26 日、0x9731F で始まるアドレスは、Profanity ツールを使用して生成されたイーサリアム バニティ アドレスから 950,000 ドルの暗号通貨を盗み、攻撃者は 732 イーサリアムをコイン ミキサーに転送しました。
要約する
最初のレベルのタイトル
要約する
DeFiの観点から見ると、関連するセキュリティインシデントの中でフラッシュローン攻撃とリエントランシー攻撃が依然として最も一般的であるため、契約の監査は非常に類似しています。暗号化マーケットメーカーである Wintermute のセキュリティインシデントは、私たちに秘密鍵の重要性を思い出させます。私たちは自分自身の秘密鍵を保護する必要があるため、契約自体のセキュリティに加えて、コンプライアンスのセキュリティにも注意を払う必要があります。 Chuangyu Blockchain Security Lab は、契約を他の攻撃から守るために契約のセキュリティについて定期的な監査と複合監査を実施する必要があることを認識し、同時に、高い特権の関数が呼び出されないようにするために関数のアクセス許可を非常に重要視していることを思い出させます。勝手に。
