1. Giới thiệu

Với sự cải thiện dần dần của thị trường, đã có sự gia tăng đột ngột trong các cuộc tấn công khác nhau vào tháng 10 và số tiền tham gia là khá lớn, thật đáng kinh ngạc. Theo dữ liệu của Phòng thí nghiệm bảo mật chuỗi khối Chuangyu [Kho lưu trữ sự cố bị hack], đã có hơn 53 sự cố bảo mật trong tháng này, với tổng thiệt hại hơn 850 triệu đô la Mỹ. Trong số đó, sự cố bảo mật DeFi gia tăng nhanh chóng, tiêu biểu nhất là hợp đồng hệ thống Token Hub (trung tâm mã thông báo) cầu nối chuỗi chéo BNB Chain đã bị hack và thiệt hại lên tới 560 triệu đô la Mỹ.

2. Phân tích dữ liệu

1. Phân tích tỷ trọng:

Thông qua phân tích số lượng và tỷ lệ các loại sự cố bảo mật trong tháng này, có thể thấy rằng gần một nửa số vụ tấn công đến từ các cuộc tấn công DeFi và lừa đảo vẫn là một loại tấn công có tỷ lệ xảy ra cao.

2. Phân tích dữ liệu so sánh:

Qua so sánh, người ta thấy rằng các sự cố bảo mật DeFi và lừa đảo đang chạy đã tăng gấp đôi trong tháng này, trong khi các sự cố bảo mật khác cũng tăng nhẹ hoặc không thay đổi.

3. Xu hướng bảo mật hàng tháng trong năm 2022:

Trong tháng này, tổng số sự cố bảo mật đã tăng lên đáng kể, so với số sự cố bảo mật của tháng trước đã tăng hơn gấp đôi, có thể thấy thị trường đang dần phục hồi và kéo theo đó là các mối đe dọa bảo mật lớn.

3. Sự kiện loại bảo mật DeFi

• Vào ngày 2 tháng 10, Transit Swap, một công cụ tổng hợp DEX xuyên chuỗi, đã bị tấn công, tính đến thời điểm hiện tại, thiệt hại ước tính đã vượt quá 28 triệu đô la Mỹ. Cuộc tấn công này chủ yếu nhằm vào các địa chỉ đã phê duyệt hợp đồng Transit Swap&Cross Approve Proxy.

• Vào ngày 7 tháng 10, hợp đồng hệ thống Token Hub (trung tâm mã thông báo) cầu liên chuỗi BNB Chain đã bị tin tặc tấn công và 2 triệu BNB đã bị rút hai lần, tương đương khoảng 560 triệu đô la Mỹ.

• Vào ngày 9 tháng 10, dự án XaveFinance đã bị tấn công, dẫn đến việc phát hành RNBW tăng gấp 1.000 lần.

• Vào ngày 11 tháng 10, hợp đồng thông minh của cầu QANplatform đã bị tấn công.Kẻ tấn công đã kiếm được khoảng 960.000 đô la trên Ethereum và khoảng 1.140.000 đô la trên Chuỗi BNB.

• Vào ngày 11 tháng 10, giao thức DeFi TempleDAO bị nghi ngờ bị tấn công và mất khoảng 2,34 triệu đô la.

• Vào ngày 11 tháng 10, dự án Rabby đã bị tấn công, liên quan đến số tiền khoảng 200.000 USD.

• Vào ngày 12 tháng 10, Mango, một nền tảng tài chính phi tập trung dựa trên Solana, đã bị tấn công với một cuộc tấn công tiềm năng trị giá 100 triệu đô la.

• Vào ngày 12 tháng 10, dự án ATK đã bị một cuộc tấn công cho vay nhanh và kẻ tấn công đã kiếm được 120.000 đô la Mỹ.

• Vào ngày 14 tháng 10, robot MEV (0x00000.....be0d72) đã được khai thác và tổn thất khoảng 187,75 WETH.

• Vào ngày 17 tháng 10, hợp đồng không nguồn mở của bên dự án MTDAO đã bị tấn công cho vay nhanh, dẫn đến thiệt hại gần 500.000 đô la Mỹ.

• Vào ngày 18 tháng 10, BitKeep Swap đã bị tin tặc tấn công. Nhóm phát triển đã tiến hành xử lý khẩn cấp và cuộc tấn công của tin tặc đã bị chặn lại. Cuộc tấn công tập trung vào Chuỗi BNB, gây thiệt hại khoảng 1 triệu đô la Mỹ.

• Vào ngày 18 tháng 10, dự án PLTD đã bị tin tặc tấn công và tất cả BUSD trong nhóm giao dịch của nó đều đã được bán hết và những kẻ tấn công đã kiếm được tổng lợi nhuận là 24.497 BUSD.

• Vào ngày 19 tháng 10, giao thức Moola trên Celo đã bị tấn công và các tin tặc đã kiếm được khoảng 9 triệu USD.

• Vào ngày 20 tháng 10, hợp đồng mã thông báo GEO đã bị tấn công, vui lòng không mua GEO trên BNB Chain.

• Ngày 20/10, một dịch vụ có tên “Ethereum Alarm Clock” (Đồng hồ báo thức Ethereum) bị khai thác do lỗ hổng hợp đồng thông minh, hacker đã lấy được 204 ETH trị giá khoảng 259.800 USD.

• Vào ngày 20 tháng 10, người dùng Twitter đã tiết lộ rằng có một lỗ hổng "đúc tiền sai" trong cầu nối chuỗi chéo giữa BitBTC và Optimism, lỗ hổng này hiện đã được sửa.

• Vào ngày 21 tháng 10, OlympusDAO đã mất khoảng 292.000 đô la do lỗ hổng mã.

• Vào ngày 23 tháng 10, Layer2DAO, một dự án đầu tư sinh thái của Optimism, đã bị tin tặc tấn công. Tin tặc đã đánh cắp khoảng 49,95 triệu L2DAO Token bằng cách lấy quyền đa chữ ký của Layer2DAO và bán một số trong số chúng. Thiệt hại khoảng 320.000 USD.

• Vào ngày 24 tháng 10, QuickSwap đã mất 220.000 đô la do một cuộc tấn công cho vay chớp nhoáng và sẽ tạm thời đóng cửa thị trường cho vay.

• Vào ngày 25 tháng 10, dự án mã thông báo ULME đã bị hack và mất 50.646 BUSD.

• Vào ngày 25 tháng 10, hợp đồng Nâng cấp tiền gửi tài sản của dự án Melody SGS bị nghi ngờ bị hack, gây thiệt hại tổng cộng 2.225 BNB. Thiệt hại khoảng 640.000 đô la Mỹ.

• Vào ngày 27 tháng 10, ví đa chuỗi UvToken đã bị tấn công và giá của các mã thông báo UVT đã giảm 99%.Kẻ tấn công đã chuyển khoảng 5.011 BNB (trị giá khoảng 1,5 triệu đô la Mỹ) bị đánh cắp vào Tornado Cash.

• Vào ngày 27 tháng 10, nhóm Tài chính nhóm tuyên bố rằng số tiền do giao thức quản lý đã bị hack trong quá trình di chuyển từ Uniswap v2 sang v3 và khoản lỗ được xác nhận là 14,5 triệu đô la.

• Vào ngày 27 tháng 10, dự án TrustSwap đã bị tấn công, ảnh hưởng đến ít nhất 7,79 triệu USD (880,2554 ETH, DAI 6.429.327,65).

• Vào ngày 27 tháng 10, dự án Victor the Fortune đã bị tấn công bởi một khoản vay chớp nhoáng và kẻ tấn công đã kiếm được khoảng 58.000 đô la Mỹ.

• Vào ngày 28 tháng 10, FriesDAO đã bị tấn công do lỗ hổng Thô tục và mất khoảng 2,3 triệu USD.

4. Sự kiện loại bảo mật lừa đảo

• Vào ngày 2 tháng 10, dự án BTU (BTU) đã giảm hơn 88% và đã được xác nhận rằng dự án này là một dự án Rug Pull.

• Vào ngày 6 tháng 10, Easier (EAI) đã giảm hơn 66% và dự án đã được xác nhận là dự án Rug Pull.

• Vào ngày 7 tháng 10, dự án giả mạo GMX (GMX) đã giảm hơn 88% và đã được xác nhận rằng dự án này là một dự án Rug Pull.

• Vào ngày 9 tháng 10, một Rugpull đã xảy ra trong dự án Jumpnfinance. Hiện tại, 2.100 BNB ($581.700) trong số tiền bị đánh cắp đã được chuyển sang Tornado.Cash và 2.058 BNB ($571.128) còn lại vẫn được lưu trữ trong địa chỉ của kẻ tấn công.

• Vào ngày 16 tháng 10, giá của dự án SHOK đã giảm hơn 83% và nó đã được xác nhận là Rug Pull, vụ lừa đảo đã kiếm được lợi nhuận khoảng 71.400 đô la Mỹ.

• Vào ngày 20 tháng 10, dự án Mango INU đã được xác nhận là Rug Pull và giá tiền tệ đã giảm hơn 80%, vụ lừa đảo đã thu được lợi nhuận khoảng 48.500 đô la Mỹ.

• Vào ngày 20 tháng 10, giá của dự án DD đã giảm hơn 87% và được xác nhận là Rug Pull, vụ lừa đảo đã kiếm được lợi nhuận khoảng 109.000 đô la Mỹ.

• Vào ngày 24 tháng 10, bên dự án Freeway đã xóa danh sách chính thức và thực hiện Rug Pull, liên quan đến số tiền hơn 100 triệu đô la Mỹ.

• Vào ngày 24 tháng 10, những kẻ tấn công Mango đã kiếm được 100.000 đô la bằng cách triển khai dự án Rug Pull Mango Inu.

• Vào ngày 28 tháng 10, một vụ lừa đảo airdrop giả danh Aptos chính thức đã kiếm được 114,8 ETH. Đừng nhấp vào trang web lừa đảo airdrop.aptlabs.fi.

5. Sự kiện loại bảo mật lừa đảo

• Vào ngày 9 tháng 10, Mel B, thành viên của nhóm nhạc nữ nổi tiếng người Anh Spice Girls, đã báo cáo với cảnh sát địa phương rằng Whatsapp của cô đã bị tin tặc mã hóa tấn công.

• Vào ngày 8 tháng 10, máy chủ Discord của dự án Flaskies đã bị tấn công. Người dùng cộng đồng vui lòng không nhấp, tạo hoặc phê duyệt bất kỳ giao dịch nào.

• Vào ngày 9 tháng 10, bảy chiếc BAYC “vượn nhàm chán” trị giá hơn 700.000 USD (khoảng 540 ETH) đã bị đánh cắp, đó là BAYC 4317, 755, 6567, 8761, 2951, 9611 và 8274. Nạn nhân đã bị lừa phê duyệt một hợp đồng độc hại, dẫn đến việc BAYC bị đánh cắp khỏi ví.

• Vào ngày 15 tháng 10, máy chủ Discord của dự án Whisbe Vandalz đã bị tấn công. Người dùng cộng đồng vui lòng không nhấp, tạo hoặc phê duyệt bất kỳ giao dịch nào.

• Vào ngày 16 tháng 10, máy chủ Discord của dự án Project Kaito đã bị tấn công. Người dùng cộng đồng vui lòng không nhấp, tạo hoặc phê duyệt bất kỳ giao dịch nào.

• Vào ngày 18 tháng 10, máy chủ XANA Project Discord đã bị tấn công. Người dùng cộng đồng vui lòng không nhấp, tạo hoặc phê duyệt bất kỳ giao dịch nào.

• Vào ngày 22 tháng 10, tài khoản Twitter chính thức của Gate bị nghi ngờ bị tấn công và gửi tin nhắn lừa đảo, người dùng được nhắc nhở chú ý đến bảo mật tài sản.

• Vào ngày 22 tháng 10, máy chủ Vivity Project Discord đã bị tấn công. Người dùng cộng đồng vui lòng không nhấp, tạo hoặc phê duyệt bất kỳ giao dịch nào.

• Vào ngày 22 tháng 10, máy chủ Discord của dự án Project Shojira đã bị tấn công. Người dùng cộng đồng vui lòng không nhấp, tạo hoặc phê duyệt bất kỳ giao dịch nào.

• Vào ngày 25 tháng 10, những kẻ tấn công liên quan đến các sự cố lừa đảo liên quan đến khóa API FTX và 3Commas cũng đã tấn công các sàn giao dịch Binance US và Bittrex, đánh cắp lần lượt 1.053 ETH và 301 ETH.

• Vào ngày 26 tháng 10, máy chủ Discord của dự án NFT ban đầu đã bị tấn công. Người dùng cộng đồng vui lòng không nhấp, tạo hoặc phê duyệt bất kỳ giao dịch nào.

• Vào ngày 28 tháng 10, máy chủ Discord của dự án NFT Oxya Origin đã bị tấn công. Người dùng cộng đồng vui lòng không nhấp, tạo hoặc phê duyệt bất kỳ giao dịch nào.

6. Các loại sự kiện bảo mật khác

• Vào ngày 11 tháng 10, khóa riêng tư của người triển khai paraswap bị nghi ngờ đã bị rò rỉ và tiền đã bị đánh cắp trên nhiều chuỗi.

• Vào ngày 11 tháng 10, trang web chính thức của TokenPocket đã bị tấn công bởi lưu lượng truy cập bất thường và nhóm kỹ thuật đang tiến hành bảo trì khẩn cấp.

• Vào ngày 17 tháng 10, các sàn giao dịch của Nhật Bản đã bị tấn công mạng bởi Tập đoàn Lazarus, được cho là do chính phủ Bắc Triều Tiên kiểm soát trực tiếp.

• Vào ngày 25 tháng 10, địa chỉ mã thông báo của Melody, một ứng dụng xã hội và giải trí Web3, đã bị tin tặc đánh cắp và nhóm đã tạm thời đóng chức năng rút tiền.

• Vào ngày 26 tháng 10, giao diện người dùng của Spookie Finance bị nghi ngờ là đã bị tấn công và giá của GHOST gần như giảm xuống bằng không.

7. Tóm tắt

Từ quan điểm của DeFi, trong số các sự cố bảo mật liên quan, ngoài các cuộc tấn công flash loan phổ biến nhất, các cuộc tấn công cầu nối chuỗi cũng đang trở nên thường xuyên hơn. Ở đây một lần nữa, tôi muốn nhắc nhở mọi người về tầm quan trọng của việc kiểm tra hợp đồng: trong khá nhiều sự kiện tấn công, các vấn đề logic về cơ bản là tác động nghiêm trọng nhất, vì vậy các nhà phát triển cần nghiêm ngặt phát triển logic chức năng hợp đồng khi phát triển. Đồng thời, cần tiến hành kiểm toán thường xuyên và kiểm toán tổng hợp để bảo mật hợp đồng nhằm bảo vệ hợp đồng khỏi các cuộc tấn công khác và hết sức coi trọng các khoản vay chớp nhoáng và hợp đồng cầu nối chuỗi chéo.

Từ góc độ lừa đảo và lừa đảo bỏ chạy, lừa đảo bỏ chạy đã tăng đáng kể so với tháng trước, điều này cảnh báo các nhà đầu tư rằng họ cần tiến hành điều tra toàn diện về mọi mặt của dự án và các bên tham gia dự án, đồng thời thận trọng với mọi dự án để ngăn chặn những hành vi vô đạo đức. dự án Fang lừa tiền rồi bỏ trốn, lừa đảo về cơ bản vẫn giống như tháng trước, mức tăng không lớn nhưng số vụ không hề giảm, có thể thấy những kẻ tấn công vẫn cho rằng lừa đảo dễ lừa người dùng hơn và kiếm lợi nhuận, trong khi đầu tư thông thường Độc giả thực sự dễ dàng xem nhẹ vấn đề này.Biết rằng Phòng thí nghiệm bảo mật chuỗi khối Chuangyu nhắc nhở mọi người không nhấp, đúc hoặc ủy quyền cho bất kỳ giao dịch không xác định nào, hãy chú ý đến lời nhắc của ví hoặc trình duyệt trong quá trình tương tác, và đặc biệt chú ý đến thao tác cấp quyền Approve.