머리말
머리말
다음은 Know Chuangyu Blockchain Security Lab에서 5월에 발표한 다양한 유형의 보안 정보 요약과 이를 통해 드러난 문제에 대한 토론입니다.
DeFi 보안 유형 이벤트
DeFi 보안 유형 이벤트
5월 5일, Cronos 생태계 DEX MM.Finance는 프론트엔드 공격을 받았고, 해커들은 DNS 취약점을 이용하여 사용자로부터 200만 달러 이상의 CRO 토큰을 훔쳤습니다. 도난당한 자금은 Tornado Cash로 이체되었습니다.
5월 14일, BNBChain의 대출 계약인 Venus는 LUNA 오라클 사건에 대한 보충 발표를 통해 5월 12일 09:20 UTC 경에 LUNA에 대한 Chainlink의 가격 피드백이 최저 가격에 도달하여 0.107달러.비너스 루나 시장은 계속 운영됐지만 현물 가격은 계속 하락했다.4시간 후 현물 가격은 약 0.01달러였다.팀이 문제를 발견하고 계약을 중단했고 자금 손실 갭은 약 1420만달러였다.
5월 16일, BNB Chain의 Feminist Metaverse(FM_Token) 프로젝트가 공격을 받았습니다. 공격자는 약 $540,000에 해당하는 1,838 BNB의 수익을 올린 다음 BNB를 tornado.cash로 이체했습니다.
5월 16일 멀티체인 DeFi 프로토콜 FEG가 공격을 받아 총 144개의 이더리움과 3,280개의 BNB가 손실되어 약 130만 달러에 달했습니다.
5월 17일, 다중 체인 DeFi 프로토콜 FEG가 다시 공격을 받아 약 190만 달러(BNB 체인의 경우 130만 달러, 이더리움의 경우 60만 달러 포함)의 손실이 발생했습니다.
5월 21일, bDollar 프로젝트는 가격 조작 공격을 받았고, 공격자는 2,381WBNB(약 $730,000 상당)의 이익을 챙겼습니다.
5월 24일, hackerDao 프로젝트는 가격 조작의 공격을 받았고 공격자는 두 번의 공격을 수행하여 약 200 BNB(약 66,000 상당)의 총 이익을 얻었고 Tornado.cash로 이전되었습니다.
5월 25일 이더리움의 MVE 봇이 공격을 받은 것으로 의심되어 8.18 ETH, 약 $15971.72를 잃었습니다.
5월 30일, DeFi 프로젝트 Novo가 공격을 받은 것으로 의심되었고 해커들은 280 BNB(약 $89,600)를 Tornado.cash로 전송했습니다.
사기 보안 유형 이벤트
사기 보안 유형 이벤트
5월 11일 Diaos 프로젝트에서 Rug Pull이 발생하여 Diaos 가격이 폭락함 컨트랙트 소유자는 mint() 함수를 사용하여 100만 Diaos 토큰을 발행하여 다른 계정으로 보낸 후 토큰을 다른 주소로 분배 Pancake Swap 판매를 통과했습니다.
5월 16일 TOM 프로젝트에서 Rug Pulls가 발생하여 토큰이 99.94% 하락했습니다. 지금까지 1200 BNB가 TornadoCash로 이전되었습니다.
5월 17일 BSC 체인의 프로젝트인 Token ALG에서 Rug Pull이 발생하여 가격이 99.95% 하락했고 약 581.5 BNB가 Tornado Cash로 이전되었습니다.
5월 18일, JJH DAO 프로젝트에서 Rug Pull이 발생했습니다. 프로젝트 토큰 JJH의 가격은 94% 이상 하락했습니다.
5월 24일 KCT 토큰에서 Rug Pull이 발생하여 토큰 가격이 100% 하락했으며 607개 이상의 BNB가 Tornado.Cash로 이전되었습니다.
5월 25일, BNB Chian의 DecentraWorld 프로젝트에서 RugPull이 발생했고, DEWO 토큰이 97% 하락했고, DecentraWorld 소셜 계정이 취소되었으며, DecentraWorld 계약 배포자로부터 약 3,200 BNB(약 100만 달러)가 인출되었습니다.
5월 25일 BNB Chian에서 Starship 프로젝트에서 Rug Pull이 발생했고 토큰 가격이 거의 0으로 떨어졌고 약 715 BNB가 Tornado Cash로 이전되었습니다.
5월 27일, BNB Chain에서 애플리케이션 Sport를 획득하기 위한 Ecological Move는 사기였으며 SPORT 토큰은 94% 이상 하락했습니다.
피싱 보안 유형 이벤트
피싱 보안 유형 이벤트
수십 개의 YouTube 채널이 5월 9일 Musk와 Jack Dorsey 및 Ark Invest의 오래된 비디오를 스크랩하여 사기를 쳤습니다. 이 동영상에는 사기성 암호 경품 사이트에 대한 링크를 포함하여 사기성 암호 메시지가 포함되어 수백만 달러가 도난당했습니다.
5월 18일, 미국 배우 SethGreen이 피싱 공격을 받아 4개의 NFT(BAYC 1개, MAYC 2개, Doodle 1개 포함)를 도난당했으며, 피셔의 주소는 모든 NFT를 판매하고 거의 160 ETH(약 $330,000)의 수익을 냈습니다. ).
5월 18일 CyberConnect, Moonbirds, PROOF, Memeland, RTFKT의 공식 디스코드가 모두 해커의 공격을 받아 디스코드에 피싱 링크가 공개되었습니다.
5월 20일, Flare Community는 Twitter 사용자에게 FLR 사전 판매와 관련된 피싱 사기에 주의할 것을 상기시켰습니다. 지금까지 96개의 Flare Network 가짜 웹사이트가 Discord 사용자를 대상으로 발견되었으며 Flare Network의 FLR 사전 판매에 대한 허위 정보 및 피싱 링크를 게시했습니다.
5월 22일, 디지털 아티스트 Beeple의 트위터 계정이 해킹되어 피싱 사기를 조장하는 공격자에 의해 사용되었습니다. 사기꾼은 또한 계정을 사용하여 다른 가짜 NFT 시리즈에 대한 피싱 링크를 게시했습니다.
5월 23일 NFT 프로젝트인 APIENS의 Discord가 공격을 받아 Apiens 24개, ENS 1개 등 NFT 130개가 전송되었습니다.
5월 23일 NFT 프로젝트 The Fracture의 Discord가 공격을 받아 공격자는 455 SOL의 수익을 냈습니다.
5월 25일 트위터 사용자 @CirrusNFT는 29개의 Moonbirds NFT가 150만 달러의 해킹으로 도난당했다고 트윗했습니다.
5월 25일, NFT 희귀도 순위 도구인 Discord of Trait Sniper가 해킹되어 0x3E8Da로 시작하는 주소로 59개의 NFT가 전송되었습니다. 여기에는 3개의 Otherdeeds, 1개의 CloneX, 2개의 RTFKT-MNLTH 및 1개의 adidasoriginals Wait for NFT가 포함됩니다.
5월 26일 Chuangyu Blockchain Security Lab의 모니터링 결과 goblintown-claims[.]wtf가 피싱 웹사이트인 것으로 나타났습니다. 이 사이트는 NFT를 훔치기 위해 사용자를 연결 지갑으로 유인하며 피싱 사이트는 공식 사이트와 거의 동일하게 보입니다.
5월 27일 Zhichuangyu Blockchain Security Lab의 모니터링 결과 zed-run.info는 사용자의 개인 키를 훔칠 수 있는 피싱 사이트인 것으로 나타났습니다.
5월 27일 Zhichuangyu Blockchain Security Lab의 모니터링 결과 gunslingersnft[.]org가 피싱 웹사이트 링크이며 GunslingersNFT Discord가 공격을 받았을 가능성이 있는 것으로 나타났습니다.
5월 10일, 자본 포위와 부채 위기로 인해 Terra 생태학의 네이티브 알고리즘 스테이블 코인 UST는 심각한 디앵커링(de-anchoring) 사건을 겪었고, 이로 인해 Luna의 가격이 폭락하고 최대 400억 달러의 손실이 발생했습니다.
기타 보안 이벤트 유형
기타 보안 이벤트 유형
5월 24일, 이더리움의 2계층 확장 네트워크인 Optimism은 17,101개의 Sybil 공격자 주소에 대한 에어드랍 자격을 제거한다고 에어드랍의 최신 진행 상황을 발표했습니다. 위 주소에서 1,400만 개가 넘는 OP 토큰의 원래 에어드랍은 Airdrop #1의 나머지 적격 사용자에 비례하여 재분배됩니다.
5월 26일, KNOW Chuangyu Blockchain Security Lab은 사기꾼들이 Terra Deployer 주소로 Wrapped LUNA 2.0을 보내고 공식 Terra Deployer 에어드롭인 것처럼 가장하여 Vitalik Buterin 및 기타 관련 주소에 에어드롭한 것을 감지했습니다.
5월 29일, 교차 체인 브리지인 Hop Protocol은 Discord에서 제출 주소 양식의 허점으로 인해 탈중앙화 애플리케이션 플랫폼 Authereum 사용자가 6월 2일 이전에 에어드랍 청구 주소 양식을 다시 제출해야 한다고 밝혔습니다. 다음을 통해 토큰을 신청하십시오. 토큰이 온라인 상태가 된 후 6개월 이내에 거버넌스 제안.
5월 30일 Moonbirds는 Nesting 계약에 보안 문제가 있다는 보안 공지를 발표했습니다. 이러한 보안 문제는 OpenSea나 LooksRare와 같은 NFT 거래 플랫폼에서 발생하며, 사용자가 플랫폼에서 Pending 주문을 하여 매도를 할 경우 판매자는 네스팅(nesting) 기능을 실행하여 NFT 판매를 금지할 수 없으며 해당 NFT를 제거해야 합니다. 그렇게 하지 않으면 특정 시나리오의 구매자가 Moonbirds가 중첩 중에 거래할 수 없는 제한을 우회하기 때문입니다.
요약하다
요약하다
Defi 보안 상황의 관점에서 이달의 보안 사고에서 플래시 대출 공격 및 오라클 머신 조작이 빈번하게 발생했으며 점점 더 많은 공격 방법이 보편화되고 기술이 성숙해지는 경향이 있습니다. 동시에 비너스의 차이나링크 오라클 사고 등 예상치 못한 사건들이 많았고, 테라 생태계도 여러 가지 이유로 무너졌다. 이로써 Chuangyu 블록체인 보안 연구소는 다른 공격으로부터 계약을 보호하기 위해 계약 보안에 대한 정기적인 감사와 복합 감사를 수행해야 함을 상기시키는 동시에 권한 부여 문제를 중시하며 명확한 시간 제한이 있어야 합니다. 승인을 위해.
