Đã đến lúc kiểm tra lại bảo mật hàng tháng! Theo dữ liệu giám sát dư luận về an ninh của Thành Đô Lianan [Nền tảng nhận thức tình hình bảo mật chuỗi Bing-Blockchain]: Vào tháng 3 năm 2022, các sự cố bảo mật khác nhau vẫn thỉnh thoảng xảy ra và hơn "30" sự cố bảo mật điển hình khác đã xảy ra vào tháng 3.

[DeFi] Các rủi ro bảo mật lộ diện đã đạt mức cao mới kể từ đầu năm 2022. Cuộc tấn công cầu Ronin xuyên chuỗi xảy ra trong tháng này có thể là cuộc tấn công tốn kém nhất trong lịch sử của DeFi, với thiệt hại hơn 600 triệu đô la Mỹ.(bấm vào để đọc)tiêu đề phụ

Khía cạnh DeFi

Tổng số "13" sự cố an ninh điển hình đã xảy ra

Số 1 Vào ngày 5 tháng 3, thỏa thuận cho vay thế chấp Giao thức Bacon đã bị tấn công cho vay chớp nhoáng và mất khoảng 960.000 USD.

Số 2 Vào ngày 10 tháng 3, giao thức tài sản thuật toán Fantasm Finance đã bị tấn công do sơ hở trong hợp đồng, dẫn đến thiệt hại khoảng 2,62 triệu đô la Mỹ.

Số 3 Vào ngày 15 tháng 3, các giao thức DeFi Hundred Finance và Agave đã gặp phải các cuộc tấn công cho vay chớp nhoáng. Tin tặc đã đánh cắp hơn 11 triệu đô la bằng cách khai thác lỗ hổng reentrancy trong hai giao thức.

Số 4 Vào ngày 15 tháng 3, nền tảng phái sinh đa chuỗi Deus Finance đã bị hack ở Fantom và thiệt hại có thể vượt quá 3 triệu đô la Mỹ.

Số 5 Vào ngày 20 tháng 3, nhóm phần thưởng của Umbrella Network trên BNB Chain và Ethereum đã được rút ra và hacker đã kiếm được 700.000 đô la Mỹ.

Số 6 Vào ngày 20 tháng 3, li.finance, một giao thức tổng hợp DEX xuyên chuỗi, đã bị tấn công bằng lệnh gọi và mất khoảng 600.000 đô la.

Tin tức số 7 vào ngày 22 tháng 3, OneRing, công cụ tối ưu hóa doanh thu cho stablecoin sinh thái của Fantom, đã đưa ra một bài đăng nói rằng nó đã bị tấn công bởi các khoản vay chớp nhoáng và tin tặc đã đánh cắp hơn 1,45 triệu đô la Mỹ.

Số 8 Vào ngày 23 tháng 3, Cashio Dollar, một stablecoin thuật toán trên chuỗi Solana, đã bị hack và mất khoảng 48 triệu đô la.

Số 9 Vào ngày 26 tháng 3, InuSaitama bị nghi ngờ gặp phải một cuộc tấn công chênh lệch giá, với tổng lợi nhuận khoảng 430 ETH.

Số 10 Vào ngày 29 tháng 3, có một lỗ hổng trong hợp đồng Auctus thỏa thuận tùy chọn và tin tặc đã khai thác lỗ hổng này để kiếm lợi nhuận khoảng 720.000 đô la Mỹ từ những người dùng chưa hủy ủy quyền của họ.

Số 11 Vào ngày 30 tháng 3, Ronin sidechain của Axie Infinity đã bị hack. Những kẻ tấn công đã kiểm soát 5 trong số 9 nút xác thực và sử dụng các khóa cá nhân bị đánh cắp để thực hiện các giao dịch rút tiền giả, cuối cùng kiếm được khoảng 620 triệu đô la. Đây có thể là cuộc tấn công lớn nhất trong lịch sử của DeFi. Số 12 Vào ngày 30 tháng 3, BMZapper của dự án DeFi BasketDAO trên Ethereum đã bị tấn công do một lỗ hổng và các tin tặc đã kiếm được khoảng 1,2 triệu đô la Mỹ.

tiêu đề phụ

Lừa đảo chạy trốn/Lừa đảo tiền điện tử

Tổng số "7" sự cố an ninh điển hình đã xảy ra

Cơ quan an ninh số 1 đã phát hiện ra rằng $DAOKing-Lucky DAO là một dự án lừa đảo. Quản trị viên của nó đã gửi 505 BNB vào Tornado.cash và thực hiện nâng cấp hợp đồng thông minh giả trước.

Dự án NFT số 2 NFTflow đã ngừng hoạt động và tài khoản xã hội chính thức của nó (@NftflowStarkNet) đã bị hủy.

Dự án NFT số 3 WW3Apes có Rug Pull và tài khoản mạng xã hội của nó đã bị hủy. Dự án GodZape, sử dụng cùng một địa chỉ IP với trang web WW3Apes, cũng đã có Rug Pull và chuyển khoảng 20 ETH tiền.

Dự án NFT số 4 REALSWAK đã ngừng hoạt động và tài khoản xã hội chính thức của nó (@REALSWAK) đã bị hủy. Những kẻ lừa đảo đã chuyển 1.300 BNB sang TornadoCash.

Dự án DeFi BNB DEFI trên Chuỗi BNB số 5 đã biến mất. Dự án đã đóng nhóm truyền thông xã hội của mình và chuyển khoảng 255 BNB.

Số 6 Theo dõi của cơ quan an ninh cho thấy @BinanceNFT_BFT là một tài khoản Twitter Binance NFT giả mạo đang quảng cáo cho trò lừa đảo "Đĩa Pixiu".

tiêu đề phụ

Khía cạnh NFT/Metaverse

Tổng số "6" sự cố an ninh điển hình đã xảy ra

Số 1 Vào ngày 13 tháng 3, dự án tài chính metaverse Paraluni trên Chuỗi BNB đã bị tấn công và các tin tặc đã kiếm được lợi nhuận hơn 1,7 triệu đô la Mỹ. Khoảng 1/3 số tiền bị đánh cắp (230 ETH) đã chảy vào Tornado.

Số 2 Thị trường giao dịch NFT của TreasureDAO dựa trên Arbitrum đã bị lộ lỗ hổng và tin tặc đã lấy được hơn 100 NFT với chi phí gần như bằng không.

Số 3 Vào ngày 14 tháng 3, cộng đồng Discord của dự án NFT Wizard Pass đã bị những kẻ lừa đảo xâm nhập. Những kẻ lừa đảo đã gửi thông tin sai lệch để có toàn quyền truy cập vào NFT của người dùng, dẫn đến việc đánh cắp nhiều NFT.

Số 4 Vào ngày 27 tháng 3, dự án tài chính NFT Revest Finance đã bị tấn công, tin tặc đã đánh cắp một số lượng lớn mã thông báo liên quan và kiếm được lợi nhuận khoảng 2 triệu đô la Mỹ.

Airdrop số 5 APECoin đã bị một cuộc tấn công flash loan và kẻ tấn công đã kiếm được khoảng 820.000 đô la Mỹ.

tiêu đề phụ

Những khía cạnh khác

Tổng số "4" sự cố an ninh điển hình đã xảy ra

Số 1 Convex Finance đã đăng một blog nói rằng có những kẽ hở trong hợp đồng CVX (vlCVX) bị khóa bằng phiếu bầu và tiền gửi của người dùng được an toàn mà không có bất kỳ rủi ro nào.

Số 2 Vào ngày 7 tháng 3, một giám đốc điều hành nhà phát triển mã thông báo của Hàn Quốc đã bị kết án 5 năm tù vì ăn cắp tiền điện tử bằng cách chuyển tiền điện tử bất hợp pháp được đầu tư bằng tiền kinh doanh vào tài khoản cá nhân của anh ta.

Số 3 Ba người đàn ông đã bị Bộ Tư pháp Hoa Kỳ truy tố vì cáo buộc gian lận đầu tư tiền điện tử trị giá 40 triệu đô la.

tiêu đề phụ

🌀Chú ý 🌀

Trước tình hình mới trong lĩnh vực bảo mật chuỗi khối hiện tại, "Thành Đô Lianan" tóm tắt tại đây:

Nhìn chung, các sự cố bảo mật chuỗi khối vào tháng 3 năm 2022 đã tăng mạnh so với tháng 2 và tổng số tiền bị đánh cắp trong các sự cố bảo mật tấn công đã vượt quá 700 triệu đô la Mỹ. Để đối phó với các cuộc tấn công bất tận, "Chengdu Lianan" cũng cung cấp các đề xuất bảo mật sau cho các nhà phát triển.

Sự kiện tấn công cầu liên chuỗi Ronin: 1. Chú ý đến tính bảo mật của máy chủ chữ ký 2. Khi dịch vụ chữ ký ngoại tuyến, chính sách phải được cập nhật kịp thời, đóng mô-đun dịch vụ tương ứng và tài khoản chữ ký tương ứng 3. Trong quá trình xác minh đa chữ ký, các dịch vụ đa chữ ký phải được cách ly hợp lý và nội dung chữ ký phải được xác minh độc lập 4. Bên dự án nên theo dõi sự bất thường của quỹ dự án trong thời gian thực.

Revest Finance đã bị tấn công: Chúng tôi khuyến nghị rằng thiết kế của hợp đồng phải tuân thủ nghiêm ngặt mô hình tương tác kiểm tra-xác thực-tương tác và chức năng chống truy cập lại nên được thêm vào các dự án DeFi liên quan đến mã thông báo ERC1155.

Sự cố bảo mật Paraluni: Các nhà phát triển hợp đồng tiến hành kiểm tra hoàn chỉnh và kiểm toán của bên thứ ba trong quá trình phát triển, đồng thời phát triển việc sử dụng hợp đồng ReentrancyGuard của thư viện Openzeppelin để ngăn chặn các cuộc tấn công vào lại.

Sự cố bảo mật TreasureDAO: Các nhà phát triển nên thiết kế logic kinh doanh cho các tình huống khác nhau tùy theo đặc điểm của các mã thông báo khác nhau khi phát triển hợp đồng mua bán cho nhiều mã thông báo.