*1. Giới thiệu*

Trong tháng 8, số lượng sự cố bảo mật web3.0 vẫn ở mức cao và không có xu hướng giảm. Theo Phòng thí nghiệm bảo mật chuỗi khối Biết Chuangyu【Lưu trữ sự kiện bị tấn công】Dữ liệu cho thấy đã có hơn 42 sự cố bảo mật trong tháng này, về cơ bản giống như tháng trước và tổng thiệt hại gây ra là khoảng 244 triệu đô la Mỹ.

Qua phân tích số lượng và tỷ lệ các loại sự cố an ninh trong tháng 8, sự cố an ninh lừa đảo, bỏ trốn vẫn nghiêm trọng nhất, điều này cho thấy phần lớn nhà đầu tư vẫn chưa xác định được bản chất của dự án trước khi đầu tư dự án. và do đó đã bị lừa dối. Điều đáng nói là Nomad, một giao thức liên lạc xuyên chuỗi, đã phải hứng chịu một vụ hack hỗn loạn nhất từ ​​trước đến nay trong tháng này, dẫn đến khoản lỗ gần 190 triệu đô la.

Xu hướng các sự cố an ninh tháng này không có nhiều thay đổi so với tháng trước và các sự cố an ninh vẫn thường xuyên xảy ra. Bờ kè dài hàng nghìn dặm đã bị tổ kiến ​​phá hủy, điều này đòi hỏi mọi người và bên dự án phải luôn chuẩn bị an toàn để tránh thiệt hại về người.

Sau đây làBiết Phòng thí nghiệm bảo mật chuỗi khối ChuangyuMột bản tóm tắt các loại thông tin bảo mật khác nhau trong tháng 8 và một cuộc thảo luận về các vấn đề mà thông tin đó đưa ra.

*2. Sự kiện loại bảo mật DeFi*

Vào ngày 2 tháng 8, Phòng thí nghiệm bảo mật chuỗi khối Zhichuangyu đã phát hiện ra rằng giao thức liên lạc xuyên chuỗi Nomad đã bị tấn công, dẫn đến việc loại bỏ gần 190 triệu đô la tiền điện tử.

Vào ngày 2 tháng 8, công cụ tổng hợp doanh thu Reaper Farm đã bị tấn công và kẻ tấn công đã chuyển 1,6 triệu DAI và 62 ETH sang Tornado.Cash.

Vào ngày 5 tháng 8, dự án EtnProduct đã bị tấn công bởi một khoản vay chớp nhoáng.Những kẻ tấn công đã kiếm được tổng lợi nhuận khoảng 3.074 đô la và một NFT trị giá 7.380 đô la.

Vào ngày 5 tháng 8, dự án ANCHStakePool đã bị tấn công bằng thao túng giá và những kẻ tấn công đã kiếm được tổng lợi nhuận là 106.931 USDT.

Vào ngày 8 tháng 8, dự án EGD Finance trên BSC đã bị hack, khiến giá của mã thông báo bị thao túng bởi các khoản vay chớp nhoáng để kiếm lời. Các tin tặc đã kiếm được tổng lợi nhuận khoảng 36.000 BUSD.

Vào ngày 14 tháng 8, Acala đã bị tấn công do lỗ hổng trong nhóm iBTC/aUSD. Nhóm đang thông qua một cuộc bỏ phiếu khẩn cấp để tạm dừng hoạt động trên Acala trong khi điều tra và giải quyết vấn đề.

Vào ngày 17 tháng 8, Stader.Near đã đăng trên phương tiện truyền thông xã hội chính thức của mình rằng tin tặc đã khai thác lỗ hổng trong hợp đồng thông minh NearX, gây thiệt hại khoảng 165.000 NEAR (khoảng 880.000 USD). Stader.Near đã tạm dừng các hợp đồng thông minh của mình và người dùng không thể đặt cược, bỏ đặt cược hoặc rút tiền trong thời gian này.

Vào ngày 22 tháng 8, Cream Finance, một thỏa thuận cho vay DeFi trên BNB Chain, đã phải đối mặt với cuộc khủng hoảng thanh khoản.

Vào ngày 24 tháng 8, giao thức DeFi KaoyaSwap trên BNB Chain đã bị tấn công do sai logic của chức năng giao dịch và lợi nhuận sau cuộc tấn công vào khoảng 37.294 BUSD và 271,2 WBNB (khoảng 80.000 USD).

Vào ngày 31 tháng 8, hợp đồng mã thông báo CUPID trên Chuỗi BNB đã gặp phải một cuộc tấn công cho vay nhanh. Cả mã thông báo CUPID và mã thông báo VENUS đều giảm mạnh và kẻ tấn công đã kiếm được khoản lợi nhuận là 78.622 đô la.

*3. Sự kiện loại bảo mật lừa đảo*

Vào ngày 3 tháng 8, một Rug Pull đã xảy ra trên dự án mã hóa TiFi Token và giá của token TiFi đã giảm 20%, với tổng lợi nhuận khoảng 700 BNB.

Vào ngày 7 tháng 8, dự án mã hóa Saxon James Musk bị nghi ngờ có Rug Pull và mã thông báo SJMUSK đã giảm hơn 68%.Các địa chỉ EOA bắt đầu bằng 0x53a tiếp tục được bán và thu được lợi nhuận khoảng 1355 BNB (khoảng 420.000 đô la Mỹ) đã được thực hiện.

Vào ngày 8 tháng 8, trò chơi chuỗi Polygon Dragoma bị nghi ngờ là RugPull và mã thông báo DMA của nó giảm mạnh từ 1,8 đô la xuống khoảng 0,003 đô la, giảm hơn 99%. Thiệt hại khoảng 2,7 triệu đô la Mỹ.

Vào ngày 10 tháng 8, một Rug Pull đã xảy ra trên XSTABLE.PROTOCOL và giá của mã thông báo XST đã giảm 98,4%.Trang web chính thức xstable.finance bị nghi ngờ đã bị đóng và tài khoản Twitter đã bị xóa.

Vào ngày 10 tháng 8, dự án DeFi Blur Finance bị nghi ngờ có Rug Pull và giá Token BLR của nó đã giảm 99%. Ngoài ra, các tài khoản mạng xã hội của dự án đã bị xóa và tài sản trị giá 600.000 đô la trên chuỗi Polygon và BNB đã được chuyển.

Vào ngày 11 tháng 8, Wuliangye, một dự án NFT có cùng tên với Wuliangye, bị nghi ngờ có Rug Pull Hiện tại, trang web chính thức và cộng đồng Discord đã bị đóng cửa. Dự án không liên quan gì đến thương hiệu rượu nổi tiếng Wuliangye, chỉ là trùng tên. Nhóm dự án đã kiếm được tổng cộng 70,5 ETH.

Vào ngày 12 tháng 8, một Rug Pull đã xảy ra trên mã thông báo BNBGrowth và người triển khai hợp đồng đã bán mã thông báo này với mức giá 393 BNB (khoảng 127.000 USD) và gửi nó đến một tài khoản bên ngoài (EOA).

Vào ngày 12 tháng 8, dự án GameFi DL World bị nghi ngờ có Rug Pull, giá GSG giảm hơn 97% và khoảng 183.000 đô la tài sản đã được chuyển nhượng.

Vào ngày 12 tháng 8, những kẻ lừa đảo được tài trợ bởi địa chỉ 0xea16 với 400 BNB đã tạo ra khoảng 20 hợp đồng bao gồm Bitnity, ACKToken, v.v.

Vào ngày 14 tháng 8, một Rug Pull đã xảy ra trên GEMDAO và phía dự án đã lấy đi tổng cộng 322 BNB (khoảng $105.553,49).

Vào ngày 14 tháng 8, Rug Pull đã xảy ra đối với dự án MMFinance trên Chuỗi BNB và mã thông báo MMF đã giảm hơn 93%.

Vào ngày 14 tháng 8, nền tảng cho vay mã hóa BlueBenx của Brazil đã cấm tất cả 22.000 người dùng của họ rút tiền, tuyên bố rằng họ đã bị tin tặc tấn công và mất 32 triệu đô la. BlueBenx không cung cấp thông tin chi tiết về vụ tấn công và một số nhà đầu tư đã đặt câu hỏi liệu vụ tấn công có phải là lừa đảo hay không.

Vào ngày 15 tháng 8, Rug Pull đã xảy ra trên Giao thức FIO của dự án chuỗi đa giác và giá của FIO Token đã giảm 100%.

Vào ngày 15 tháng 8, một Rug Pull bị nghi ngờ đã xảy ra trong dự án Go Coin trên BNB Chain và Go Coin đã giảm 95%. Người triển khai hợp đồng đã đặt mức phí cao nhất và đưa vào danh sách đen các địa chỉ bị cấm bán.

Vào ngày 23 tháng 8, đĩa giả sudoswap của nền tảng giao dịch NFT SudoRare bị nghi ngờ là Rug Pull và 519 ETH ($815.000) đã bị đánh cắp.

Vào ngày 25 tháng 8, Rug Pull đã xảy ra đối với dự án RSHIB trên Chuỗi BNB và giá của mã thông báo RSHIB giảm mạnh 92%. Người triển khai hợp đồng loại bỏ thanh khoản và gửi ~47 BNB đến địa chỉ tài khoản bên ngoài (EOA). Tài khoản Twitter của dự án cũng đã bị xóa.

Vào ngày 27 tháng 8, một Rug Pull đã xảy ra trong dự án ArcadeEarn trên BNB Chain và giá mã thông báo đã giảm hơn 59%. Người triển khai đã gửi 40.000 mã thông báo ArcadeEarn đến một tài khoản bên ngoài (EOA) và bán chúng với giá khoảng 15.300 USD.

*4. Sự kiện loại bảo mật lừa đảo*

Vào ngày 2 tháng 8, máy chủ Discord của dự án Gas Guzzlers đã bị tấn công. Người dùng được yêu cầu không nhấp vào liên kết, đúc hoặc phê duyệt bất kỳ giao dịch nào.

Vào ngày 2 tháng 8, máy chủ Discord của dự án Cyber ​​Crew đã bị tấn công. Người dùng được yêu cầu không nhấp vào liên kết, đúc hoặc phê duyệt bất kỳ giao dịch nào.

Vào ngày 2 tháng 8, máy chủ Discord của dự án Miningverse đã bị tấn công. Người dùng được yêu cầu không nhấp vào liên kết, đúc hoặc phê duyệt bất kỳ giao dịch nào.

Vào ngày 3 tháng 8, máy chủ Discord của dự án NFT dTweenies đã bị tấn công, người dùng được yêu cầu không nhấp vào liên kết, tạo hoặc phê duyệt bất kỳ giao dịch nào.

Vào ngày 5 tháng 8, máy chủ Discord của dự án Doge Capital đã bị tấn công. Người dùng được yêu cầu không nhấp vào liên kết, đúc hoặc phê duyệt bất kỳ giao dịch nào.

Vào ngày 11 tháng 8, máy chủ Discord của dự án Mogul Productions đã bị tấn công, người dùng được yêu cầu không nhấp vào liên kết, tạo hoặc phê duyệt bất kỳ giao dịch nào.

Vào ngày 15 tháng 8, máy chủ Discord của dự án NFT Pirate Apes đã bị tấn công.Người dùng được yêu cầu không nhấp vào liên kết, tạo hoặc phê duyệt bất kỳ giao dịch nào.

Vào ngày 29 tháng 8, máy chủ Floaties Project Discord đã bị tấn công. Người dùng được yêu cầu không nhấp vào liên kết, đúc hoặc phê duyệt bất kỳ giao dịch nào.

Vào ngày 31 tháng 8, tài khoản Twitter @WJahitucker đã bị tin tặc chiếm đoạt. Tin tặc đã sử dụng tài khoản này để mạo danh tài khoản củaLookRare, một thị trường giao dịch NFT và tung ra một trò lừa đảo airdrop.

*5. Các loại sự kiện bảo mật khác*

Vào ngày 3 tháng 8, chiếc ví Phantom của Solana bị nghi ngờ bị hack, với thiệt hại ước tính lên tới 8 triệu USD.

Vào ngày 3 tháng 8, ví nóng của ZB, một nền tảng giao dịch mã hóa, dường như đã bị tấn công do rò rỉ khóa riêng tư và tin tặc đã kiếm được tổng lợi nhuận khoảng 4,8 triệu đô la Mỹ.

Vào ngày 4 tháng 8, dịch vụ gửi của Slope Wallet (Android, Phiên bản: 2.2.2) đã bị rò rỉ khóa riêng tư.

Vào ngày 10 tháng 8, nền tảng giao dịch phi tập trung Curve Finance đã tuyên bố trên phương tiện truyền thông xã hội rằng giao diện người dùng của trang web của họ đã bị tấn công, nhắc nhở người dùng rằng nếu họ đã sử dụng Curve trong vòng vài giờ, vui lòng hủy ủy quyền ngay lập tức. Các tin tặc tấn công đã đánh cắp ETH trị giá 570.000 đô la, đã được chuyển sang FixedFloat.

Vào ngày 18 tháng 8, cầu nối chuỗi chéo cBridge do Celer Network khởi chạy đã bị tấn công bằng cách chiếm quyền điều khiển DNS, chuyển hướng hoạt động của người dùng để tương tác với các hợp đồng độc hại nhằm đánh cắp tài sản của người dùng. Hiện tại, kẻ tấn công đã đổi cặp tài sản mã hóa thu được trong cuộc tấn công lấy 127 ETH và đã chuyển nó sang Tornado Cash.

Vào ngày 21 tháng 8, tin tặc đã khai thác lỗ hổng zero-day trong máy chủ của máy ATM Bitcoin thuộc sở hữu của General Bytes để đánh cắp tiền điện tử của khách hàng. Khi người dùng gửi tiền hoặc mua tiền điện tử thông qua máy ATM, tiền sẽ bị tin tặc đánh cắp.

*6. Tóm tắt*

Từ góc độ của tình hình bảo mật DeFi, các cuộc tấn công flash loan và sơ hở logic là những sự cố bảo mật thường xuyên nhất trong tháng này và các sự cố bảo mật khác đã trở nên đa dạng hơn về các loại tấn công. Nhìn vào hình thức của DeFi trong năm nay, các dự án chuỗi chéo ngày càng được ưa chuộng bởi tin tặc và thiệt hại do mỗi sự cố bảo mật chuỗi chéo gây ra là vô cùng nghiêm trọng, vì vậy chúng ta cần suy nghĩ sâu sắc về cách sử dụng chuỗi chéo một cách an toàn. Biết rằng Phòng thí nghiệm bảo mật chuỗi khối Chuangyu xin nhắc nhở mọi người rằng để bảo mật hợp đồng, cần phải tiến hành kiểm toán thường xuyên và kiểm toán tổng hợp để bảo vệ hợp đồng khỏi các cuộc tấn công khác. Đồng thời, chúng ta cũng phải hết sức coi trọng vấn đề ủy quyền. Đối với ủy quyền Phải có phải có thời hạn rõ ràng.

Từ góc độ lừa đảo và lừa đảo, lý do tại sao hai loại sự cố bảo mật này thường xuyên xảy ra là do phương thức tấn công đơn giản và dễ vận hành, đồng thời người dùng tham gia hầu như không có kiến ​​thức kỹ thuật nên dễ bị lừa hơn . Hy vọng rằng người dùng cũng sẽ tìm hiểu thêm về kiến ​​​​thức liên quan đến blockchain trong quá trình đầu tư và điều tra dự án, để giảm thiểu tổn thất tiềm năng của họ càng nhiều càng tốt; tất nhiên, người dùng cũng có thể sử dụng một số công cụ để giảm nguy cơ bị lừa đảo , chẳng hạn như FishAlert （https://fishalert.knownseclab.com）Đối với plug-in, nếu bạn gặp một tên miền lạ, hãy hỏi "nó" trước, điều này có thể giảm thiểu rủi ro rất nhiều.