머리말
첫 번째 레벨 제목
데이터 분석
데이터 분석
1. 비율 분석:
9월에는 피싱 보안 사고가 44%로 가장 많은 것으로 분석되었으니, 피싱에 각별히 주의하시고 개인 자산을 보호하시기 바랍니다. 반가운 것은 9월에 실행 중인 사기 건수가 8%로 크게 감소했다는 것입니다.
2. 비교 데이터 분석:
2. 비교 데이터 분석:
비교를 통해 이번 달에는 피싱을 제외한 다른 유형의 보안 공격이 감소한 것을 알 수 있으며, 특히 탈주 사기는 전월 17건에서 2건으로 줄었습니다.
3. 2022년 월별 보안 동향:
다음은 Known Chuangyu Blockchain Security Lab에서 9월에 발표한 다양한 유형의 보안 정보와 이를 통해 드러난 문제에 대한 토론 내용입니다.
DeFi 보안 유형 이벤트
보조 제목
DeFi 보안 유형 이벤트
9월 2일, 개인 정보 보호 프로젝트인 ShadowFi가 해킹당했고 공식 Token SDF가 98.5% 하락했습니다. 공격자는 SDF 취약성을 이용하여 누구나 토큰을 소각할 수 있도록 하여 약 1,078 BNB(약 $300,000)를 얻었고 도난당한 자금은 TornadoCash로 이체되었습니다.
9월 4일 Rug Pull Finder의 최신 NFT 프로젝트 "BadGuys"는 무료 채굴 기간 동안 악용되었으며, 두 명의 사용자가 NFT 계약 허점을 이용하여 지갑당 원래 세트 대신 450 NFT를 채굴하여 1 NFT만 배포할 수 있습니다. 이 취약점은 "mint" 기능에 필요한 보안 검사가 없기 때문에 발생했습니다. 팀은 소셜 미디어에 사과하고 더 많은 발행된 NFT를 다시 구매하기 위해 2.5 ETH 현상금을 지불할 것이라고 말했습니다.
9월 4일, BNB Chain의 집합 DAO 커뮤니티인 DAO Officials가 공격을 받은 것으로 의심되었으며, 체인의 데이터에 따르면 공격자는 $500,000 이상의 수익을 올렸을 수 있습니다.
9월 7일 공격자는 AVAX 플래시론 공격을 통해 약 370,000 USDC의 수익을 냈습니다. 공격자가 영향을 미쳤을 수 있는 프로토콜에는 Nereus Finance, Trader Joe, Curve Finance가 포함됩니다.
9월 20일, 암호화폐 마켓 메이커인 Wintermute가 개인 키 유출로 인해 해킹을 당해 1억 6천만 달러의 손실을 입었습니다.
사기 보안 유형 이벤트
보조 제목
9월 26일, BNB Chain에서 프론트런 봇 사기가 발견되었는데, 사기꾼들은 사용자들에게 돈을 벌기 위해 "프론트런 봇"을 개발하는 방법을 가르쳤지만 그것이 제공한 계약에는 백도어가 있었습니다. 배포가 완료된 후, 피해자의 모든 토큰은 공격자의 주소로 전송됩니다.
피싱 보안 유형 이벤트
보조 제목
피싱 보안 유형 이벤트
9월 6일, Arts DAO 프로젝트의 Discord 서버가 공격을 받았습니다. 커뮤니티 사용자는 거래를 클릭하거나 생성하거나 승인하지 마십시오.
9월 6일, Dictators Project Discord 서버가 해킹당했습니다. 커뮤니티 사용자는 거래를 클릭하거나 생성하거나 승인하지 마십시오.
지난 9월 8일 메타버스 플랫폼 더샌드박스 프로젝트의 인스타그램 계정이 해킹당했고, thesandboxesgame.com은 피싱사이트였다. 사용자는 피싱 웹사이트를 클릭하지 않도록 요청됩니다.
9월 12일, Alpha Centauri Kid 공식 Discord 서버는 피싱 이메일 공격을 받았습니다. 거래를 클릭하거나 발행하거나 승인하지 마십시오.
9월 14일 BAYC #8941이 도난당한 것으로 의심되어 피싱 주소로 표시된 0x18e541...D0F4 주소로 NFT가 전송되었습니다.
9월 14일 @FreddyAdu라는 아이디로 인증된 트위터 계정이 해킹당했고, 공격자는 이를 LooksRare Twitter로 위조해 가짜 에어드랍 사이트 정보를 게시했지만 아직 복구되지 않았다.
9월 18일, Alter Ego Hunters는 Discord가 공격을 받았다고 공식적으로 밝혔습니다. 커뮤니티 사용자는 거래를 클릭하거나 생성하거나 승인하지 마십시오.
9월 18일, Dystians Discord가 해킹당했습니다. 커뮤니티 사용자는 거래를 클릭하거나 생성하거나 승인하지 마십시오.
9월 18일, NFT 프로젝트 펌프킨은 디스코드 서버와 디스코드 관리 계정이 공격당했다고 트윗했다. 커뮤니티 사용자는 거래를 클릭하거나 생성하거나 승인하지 마십시오.
9월 28일 SOL Decoder 프로젝트의 Discord 서버가 공격을 받았습니다. 커뮤니티 사용자는 거래를 클릭하거나 생성하거나 승인하지 마십시오.
기타 보안 이벤트 유형
보조 제목
기타 보안 이벤트 유형
9월 2일, 분산형 유동성 프로토콜인 Kyber Network는 사용자가 프론트엔드 취약점 악용으로 인해 265,000달러의 자금 손실을 입었다고 트위터에 공개했습니다(이 데이터는 새로운 정보가 나오면 업데이트될 예정입니다). 이 취약점은 KyberSwap 웹사이트의 악성 Google 태그 관리자 코드에서 비롯되었으며, 공격자는 가짜 승인을 삽입하여 사용자 자금을 이체할 수 있는 액세스 권한을 얻은 Whale Wallet을 표적으로 삼았습니다.
9월 9일, 영지식 증명을 위한 연구 개발 조직인 StarkWare는 자사의 확장 엔진인 StarkEx V4.5에 Vlad Bochok(Matter Labs 엔지니어)와 Ihor Barenblat이 지적한 허점이 있다고 트윗했습니다. 동결된 시스템 보관소에서 두 배로 지출할 수 있는 기능. 그러나 현재 취약점이 수정되었습니다.
9월 26일 0x9731F로 시작하는 주소는 욕설 도구를 사용하여 생성된 이더리움 베니티 주소에서 $950,000의 암호화폐를 훔쳤고, 공격자는 732 이더리움을 코인 믹서로 전송했습니다.
요약하다
첫 번째 레벨 제목
요약하다
DeFi의 관점에서 관련 보안 사고 중 플래시 론 공격과 재진입 공격이 여전히 가장 일반적이므로 계약 감사는 매우 비슷합니다. 암호화 마켓 메이커인 Wintermute 보안 사건은 개인 키의 중요성을 상기시켜 주며, 우리는 우리 자신의 개인 키를 보호해야 하므로 계약 자체의 보안과 함께 컴플라이언스 보안에도 주의를 기울여야 합니다. 이에 Chuangyu Blockchain Security Lab은 다른 공격으로부터 계약을 보호하기 위해 계약 보안에 대한 정기적인 감사와 복합 감사를 수행할 필요가 있음을 상기시키는 동시에 높은 권한 기능이 호출되지 않도록 기능 권한을 중요하게 생각합니다. 임의로.
