Chuangyu Blockchain 7월 보안 월간 보고서

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

Chuangyu Blockchain 7월 보안 월간 보고서

创宇区块链安全实验室

2022-08-02 06:07

本文约4697字，阅读全文需要约19分钟

2022년 7월 블록체인 보안사고 분석 및 정리에 따르면 사기, 피싱 등이 빈번해지고 있어 보안에 대한 인식을 높이고 보안 이슈에 대한 민감도를 높였으면 합니다.

머리말

7월에는 화폐 가격이 회복되면서 보안 사고도 잦아졌고 공격자들도 이달 '완전 화력'으로 전방위 공격을 가하고 있다. Chuangyu Blockchain Security Lab [Hacked Incident Archives] 데이터에 따르면 이번 달에 발생한 보안 사고는 43건 이상이며 그 중 사기 및 피싱으로 인한 개인 손실이 더욱 심각해졌습니다. V3 피싱 공격과 DRAC Network의 Rug Pull, 이달 초 DeFi 프로토콜 Crema Finance에 대한 공격은 특히 큰 피해를 입혔습니다. 이번 달 보안 사고로 인한 총 손실액은 약 $29,000,000입니다.https://fishalert.knownseclab.com이번 달 각종 보안 사고 건수와 비율을 분석한 결과 여전히 피싱 보안 사고가 가장 많은 비중을 차지하고 있음을 어렵지 않게 알 수 있다. 다시 한 번 모든 사람이 피싱에 대해 경계할 것을 상기시키며 다음과 같은 일부 도구를 사용하여 피싱 위험을 줄일 수 있습니다.

) 피싱 위험을 줄일 수 있는 플러그인.

다음은 Know-Chuangyu Blockchain Security Lab에서 7월에 발표한 다양한 유형의 보안 정보 요약 및 그에 의해 노출된 문제에 대한 토론입니다.

DeFi 보안 유형 이벤트

첫 번째 레벨 제목

DeFi 보안 유형 이벤트

• 7월 3일, Solana의 생태 유동성 프로토콜인 Crema Finance가 해킹을 당해 600만 달러 이상의 손실을 입었습니다.

• 7월 7일 ProjectX 프로젝트의 PXT 토큰 가격이 하락했으며 관계자는 가격 하락이 해커의 공격(착용) 때문이라고 말했습니다. 공격자는 약 $19,000를 벌었습니다.

• 7월 10일 탈중앙화 NFT 금융화 프로토콜인 Omni X가 공격을 받아 공격자가 ERC721의 재진입 결제 기능을 악용했습니다. 손실액은 100만 달러를 넘어섰다.

• 7월 11일, DeFi 플랫폼 Parallel Finance는 재진입 공격을 받아 약 200만 달러의 손실을 입었습니다.

• 7월 12일 스테이킹 마이닝 프로젝트가 해커의 공격을 받았고, 공격자는 컨트랙트 내 updateBalance 기능의 추가 오버플로우 취약점을 이용하여 공격 계정의 스테이킹 금액을 수정했으며, 총 수익은 약 110,000달러였습니다.

• 7월 12일 다중 체인 NFT 프로토콜인 Citizen Finance가 공격을 받아 CIFI 토큰 가격이 50% 이상 떨어졌고 244 BNB와 57,600 MATIC이 도난당했습니다.

• 7월 14일, BNB 체인의 SpaceGodzilla 프로젝트가 번개 대출을 받은 해커의 공격을 받았습니다. 해커들은 플래시론을 통해 거액의 자금을 차입하고 Pancake의 트레이딩 풀에서 SpaceGodzilla의 가격을 조작하여 총 25,378.78 BUSD의 이익을 챙겼습니다.

• 7월 24일 Web3 음악 스트리밍 서비스 플랫폼의 Audius 커뮤니티 금고가 악용되어 1,850만 AUDIO Token이 유실되었고, 해커들은 자금을 Uniswap에서 705 ETH로 교환하여 총 약 110,000달러의 수익을 냈습니다.

• 7월 25일 LPC 프로젝트가 플래시론 공격을 받았는데, _transfer함수에서 계좌잔액이 갱신되지 않고 원래 수취인 잔고의 recipientBalance 값에 직접 수정되어 공격자의 잔고가 증가하였다. 공격자는 총 178 BNB의 이익을 얻었으며 이는 약 $45,715입니다.

• 7월 28일 솔라나를 기반으로 한 탈중앙화 알고리즘 기반 스테이블코인 프로토콜 너바나(Nirvana)가 플래시론의 공격을 받아 스테이블코인 NIRV 가격이 한때 1달러에서 0.09달러로 최대 90% 이상 하락했다. 공격자는 총 3,490,563.69 USDT, 21,902.48 USDC 및 393,230.32 ANA 토큰(약 357만 달러)의 수익을 올렸습니다.

• 7월 3일, Solana의 생태 유동성 프로토콜인 Crema Finance가 해킹을 당해 600만 달러 이상의 손실을 입었습니다.

• 7월 10일 탈중앙화 NFT 금융화 프로토콜인 Omni X가 공격을 받아 공격자가 ERC721의 재진입 결제 기능을 악용했습니다. 손실액은 100만 달러를 넘어섰다.

• 7월 11일, DeFi 플랫폼 Parallel Finance는 재진입 공격을 받아 약 200만 달러의 손실을 입었습니다.

• 7월 12일 다중 체인 NFT 프로토콜인 Citizen Finance가 공격을 받아 CIFI 토큰 가격이 50% 이상 떨어졌고 244 BNB와 57,600 MATIC이 도난당했습니다.

• 7월 28일 솔라나를 기반으로 한 탈중앙화 알고리즘 기반 스테이블코인 프로토콜 너바나(Nirvana)가 플래시론의 공격을 받아 스테이블코인 NIRV 가격이 한때 1달러에서 0.09달러로 최대 90% 이상 하락했다. 공격자는 총 3,490,563.69 USDT, 21,902.48 USDC 및 393,230.32 ANA 토큰(약 357만 달러)의 수익을 올렸습니다.

첫 번째 레벨 제목

사기 보안 유형 이벤트

• 7월 4일, 분산 노드 인프라 프로젝트인 Nody(NODY)에서 Rug Pull이 발생하여 NODY 토큰의 현재 가격이 93% 하락했습니다.

• 7월 6일, BNB 체인 프로젝트 BabyDAO에서 Rug Pull이 있었고 토큰이 99.9% 하락했으며 약 773 BNB(약 180,000 USD)가 Tornado Cash로 이전되었습니다.

• 7월 20일 RacKiller에서 RugPull이 발생하여 토큰 가격이 70% 이상 하락했습니다.

• 7월 20일 NumberSwap에서 RugPull이 발생하여 토큰 가격이 96% 이상 하락했습니다.

• 7월 20일 Neoteric.finance에서 Rug Pull이 발생하여 NTRC 토큰 가격이 91.6% 이상 하락했습니다. 현재 보고서에 따르면 약 $100,000의 손실이 발생했습니다.

• 7월 20일 Angels To Miracles 프로젝트에서 Rug Pull이 발생하여 ATM 토큰 가격이 46% 하락했고 1943.3 BNB가 TornadoCash로 이전되었으며 손실은 미화 약 530,000달러였습니다.

• 7월 20일 ORCHID 프로젝트에서 Rug Pull이 발생하여 ORCHID 토큰의 가격이 96.4% 이상 하락했으며, 현재 보고서에 따르면 약 50,000달러의 손실이 발생했습니다.

• 7월 25일 DeFi 프로젝트 DRAC 네트워크에서 RugPull이 발생하여 토큰 TEDDY의 가격이 99.4% 하락했으며 10,000 BNB와 200만 BUSD가 바이낸스로 이전되었습니다. 손실은 약 450만 달러에 달했습니다.

• 7월 29일 2차 엉클코인 풀에서 러그풀 발생 컨트랙트 전개자가 도난당한 돈을 Tornado Cash를 통해 세탁 현재까지 토큰 SUC의 가격은 99.7% 하락. 통계에 따르면 이 사기의 총 수익은 미화 130만 달러에 이릅니다.

피싱 보안 유형 이벤트

첫 번째 레벨 제목

피싱 보안 유형 이벤트

• 7월 6일, NFT 프로젝트인 Spiky Space Fish의 Discord 서버가 해킹당했습니다. 사용자는 어떠한 링크도 클릭하지 말 것을 당부받았으며, 발행 또는 거래 승인에 참여하지 마십시오.

• 7월 6일, 공식 Otherside Twitter 계정(@scottehartley)이 해킹을 당했다고 주장하며 그의 프로필은 OthersideMeta NFT 이미지를 표시하고 사기를 조장하도록 변경되었습니다.

• 7월 9일 뉴스에 따르면 NFT 프로젝트 Dope Ape Club의 Discord 서버가 공격을 받았습니다. 채팅이 잠겼고 공격자는 피싱 링크를 게시했습니다. 커뮤니티 사용자는 링크를 클릭하거나 거래를 발행하거나 승인하지 마십시오.

• 7월 12일 해커가 피싱 공격을 통해 Uniswap V3에서 7,500 ETH를 훔쳤으며 프로토콜 자체에는 보안 문제가 없습니다.

• 7월 14일, NFT 프로젝트 AzukiArt의 Discord 서버가 해킹당했습니다. 사용자는 링크를 클릭하거나 트랜잭션을 발행하거나 승인하지 않도록 요청받았습니다.

• 7월 15일, NFT 프로젝트 Lonely Alien Space Club의 Discord 서버가 손상되었으며, 사용자는 링크를 클릭하거나 거래를 생성하거나 승인하지 않도록 요청받습니다.

• 7월 16일 P2E 메타버스 프로젝트인 Botborgs의 Discord 서버가 공격을 받아 사용자는 링크를 클릭하거나 트랜잭션을 발행하거나 승인하지 않도록 요청받았습니다.

• 7월 17일, NFT 관리 플랫폼인 NFTY Dash의 Discord 서버와 Twitter 계정이 공격을 받았고, 사용자는 링크를 클릭하거나 거래를 생성하거나 승인하지 않도록 요청받았습니다.

• 7월 17일 premint.xyz가 해커의 공격을 받음 해커는 premint.xyz 웹사이트에 악성 JS 파일을 삽입하여 피싱 공격을 수행하고 사용자를 속여 setApprovalForAll(address, bool) 트랜잭션에 서명하도록 하여 NFT와 같은 사용자 자산을 훔쳤습니다. .

• 7월 18일 originals-adidas.com이 피싱 사이트로 확인되었으며, 사기꾼의 주소로 19 ETH와 17 NFT가 입력되었습니다.

• 7월 19일, NFT 프로젝트 Maximalist의 Discord 서버가 공격을 받았고, 공격자는 피싱 링크를 게시하여 사용자에게 링크를 클릭하거나 거래를 생성하거나 승인하지 말 것을 요청했습니다.

• 7월 20일 DerpyPunkz의 Discord 서버가 손상되었고 공격자는 이전 Maximalist 프로젝트 공격자와 마찬가지로 피싱 링크를 게시했습니다. 사용자는 링크를 클릭하거나 거래를 생성하거나 승인해서는 안 됩니다.

• 7월 21일 NFT 프로젝트 Tableland Discord가 공격을 받아 게시판에 피싱 링크가 게시되어 일부 팀원이 퇴출당함. 사용자는 링크를 클릭하거나 거래를 발행하거나 승인하지 않도록 요청받습니다.

• 7월 25일, NFT 프로젝트 NEN Studio의 Discord 서버가 공격을 받았습니다. 커뮤니티 사용자는 링크를 클릭하지 말고 거래를 발행하고 승인하십시오.

• 7월 27일 NFT 프로젝트 The Americans NFT의 Discord 서버가 공격을 받았고, 공격자는 피싱 링크를 게시했습니다. 커뮤니티 사용자는 거래를 클릭하거나 생성하거나 승인하지 마십시오.

• 7월 29일 DAISUKI 프로젝트의 Discord 서버가 공격을 받았습니다. 커뮤니티 사용자는 거래를 클릭하거나 생성하거나 승인하지 마십시오.

기타 보안 이벤트 유형

첫 번째 레벨 제목

기타 보안 이벤트 유형

• 7월 26일 윈도우 버전 Coremail 메일 클라이언트에 RCE(Remote Code Execution) 취약점이 발생하여 공격자가 악성 프로그램이 포함된 이메일을 사용자에게 전송하여 사용자의 호스트를 제어할 수 있어 지갑 개인 키가 유출될 수 있음 .

요약하다

첫 번째 레벨 제목

요약하다

안전

创宇区块链安全实验室

作者文库