*1. 前言*
*1. 前言*八月,web3.0方面安全事件數量依舊高居不下,沒有下降趨勢。根據知道創宇區塊鏈安全實驗室【被黑事件檔案庫】
數據顯示:該月發生的安全事件超42 起,和上月基本持平,造成的損失總金額共計約2.44 億美元。
本月安全事件趨勢相比上月未出現明顯變化,安全事件仍頻頻發生。千里之堤毀於蟻穴,這需要大家和項目方時刻都做好安全準備,避免造成個人損失。
以下是以下是知道創宇區塊鏈安全實驗室
對八月各類型安全資訊的總結,並就其暴露出的問題進行探討。
*2. DeFi 安全類型事件*
8 月2 日,知道創宇區塊鏈安全實驗室檢測到,跨鏈通訊協議Nomad 遭到攻擊,導致近1.9 億美元的加密貨幣被移除。
8 月2 日,收益聚合器Reaper Farm 遭到攻擊,攻擊者已轉移160 萬DAI 和62 枚ETH 至Tornado.Cash。
8 月5 日,EtnProduct 項目遭到閃電貸攻擊,攻擊者總共獲利約3074 美元和一個價值7380 美元的NFT。
8 月5 日,ANCHStakePool 項目遭到價格操縱攻擊,攻擊者共獲利106931 USDT。
8 月8 日,BSC 上的EGD Finance 項目遭到黑客攻擊,導致代幣價格被閃電貸操控從而獲利。黑客共獲利約36000 BUSD。
8 月14 日,Acala 因iBTC/aUSD 池的漏洞遭到黑客攻擊,團隊正在通過一項緊急投票,暫停Acala 上的操作,同時正調查並解決這個問題。
8 月17 日,Stader.Near 在其官方社交媒體發文表示,黑客利用了NearX 智能合約中的一個漏洞,造成約165,000 枚NEAR(約合88 萬美元)損失。 Stader.Near 已暫停其智能合約,用戶在此期間無法質押、解除質押或提款。
8 月22 日,BNB Chain 上DeFi 借貸協議Cream Finance 正面臨流動性危機,造成此次危機的原因主要是協議允許某用戶(0xE94f7a43d3fD2A159952a28B23D3A181564B7baA)在無抵押物的情況下最多藉貸10.7 萬枚BNB。
8 月24 日,BNB Chain上DeFi 協議KaoyaSwap 遭到交易函數的錯誤邏輯引起的攻擊,攻擊利潤在37294 枚BUSD 和271.2 枚WBNB(約8 萬美元)左右。
8 月31 日,BNB Chain 上CUPID 代幣合約遭遇閃電貸攻擊, CUPID 代幣和VENUS 代幣均暴跌,攻擊者獲利78622 美元。
*3. 騙局安全類型事件*
8 月3 日,加密項目TiFi Token 發生Rug Pull,代幣TiFi 價格下跌20%,共獲利約700 BNB。
8 月7 日,加密項目Saxon James Musk 疑似發生Rug Pull,代幣SJMUSK 下跌逾68%,0x53a 開頭的EOA 地址不斷賣出,已獲利約1355 BNB(約42 萬美元)。
8 月8 日,Polygon 鏈遊Dragoma 疑似發生RugPull,其代幣DMA 從1.8 美元暴跌至0.003 美元左右,跌幅超99%。損失約為270 萬美元。
8 月10 日,XSTABLE.PROTOCOL 發生Rug Pull,代幣XST 價格下跌98.4%,官網xstable.finance 疑似已被關閉,推特賬號則已被刪除。
8 月10 日,DeFi 項目Blur Finance 疑似發生Rug Pull,其Token BLR 價格下跌99%。此外,該項目的社交媒體賬號已刪除,並且Polygon 和BNB 鏈上價值60 萬美元資產被轉移。
8 月11 日,與五糧液同名的NFT 項目Wuliangye 疑似發生Rug Pull,目前官網與Discord 社群已關閉。該項目與名酒品牌五糧液無關,僅為同名。項目方共獲利70.5 枚ETH。
8 月12 日,BNBGrowth 代幣發生Rug Pull,合約部署者將代幣以393 BNB(約12.7 萬美元)的價格售出,並發送到外部賬戶(EOA)。
8 月12 日,GameFi 項目DL World 疑似發生Rug Pull,GSG 價格下跌超97%,約183000 美元的資產被轉移。
8 月12 日,由0xea16 地址以400 枚BNB 資助的詐騙者創建了包括Bitnity、ACKToken 等約20 個合約發生Rug Pull,他們抬高價格後抽空合約資金,3900 枚BNB 被轉移。
8 月14 日,GEMDAO 發生Rug Pull,項目方共捲走322 BNB (約105,553.49 美元)。
8 月14 日,BNB Chain 上項目MMFinance 發生Rug Pull,MMF 代幣下跌超過93%。
8 月14 日,巴西加密借貸平台BlueBenx 禁止其所有22000 名用戶提取資金,稱遭遇黑客攻擊損失達3200 萬美元。 BlueBenx 未提供黑客攻擊細節,有投資者質疑黑客攻擊或為騙局。
8 月15 日,Polygon 鏈上項目FIO Protocol 發生Rug Pull,FIO Token 價格下跌100%。
8 月15 日,BNB Chain 上Go Coin 項目疑似發生Rug Pull,Go 代幣下跌95%,合約部署者將費用設置為最高,並將禁止出售的地址列入黑名單。
8 月23 日,NFT 交易平台sudoswap 仿盤SudoRare 疑似Rug Pull,被盜519 枚ETH(81.5 萬美元),目前官方社交賬號已註銷。
8 月25 日,BNB Chain 上RSHIB 項目發生Rug Pull,RSHIB 代幣價格暴跌92%。合約部署者移除流動性並向外部賬戶(EOA) 地址發送約47 枚BNB。該項目的推特帳戶也已被刪除。
8 月27 日,BNB Chain 上項目ArcadeEarn 發生Rug Pull,代幣價格下跌超過59%。部署者將40000 枚ArcadeEarn 代幣發送至一個外部賬戶(EOA),並以約15300 美元的價格出售。
*4. 網絡釣魚安全類型事件*
8 月2 日,Gas Guzzlers 項目Discord 服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批准任何交易。
8 月2 日,Cyber Crew 項目Discord 服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批准任何交易。
8 月2 日,Miningverse 項目Discord 服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批准任何交易。
8 月3 日,NFT 項目dTweenies 的Discord 服務器遭到攻擊,請用戶不要點擊鏈接、鑄造或批准任何交易。
8 月5 日,Doge Capital 項目Discord 服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批准任何交易。
8 月11 日,Mogul Productions 項目的Discord 服務器遭到攻擊,請用戶不要點擊鏈接、鑄造或批准任何交易。
8 月15 日,NFT 項目Pirate Apes 的Discord 服務器遭到攻擊,請用戶不要點擊鏈接、鑄造或批准任何交易。
8 月29 日,Floaties 項目Discord 服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批准任何交易。
8 月31 日,推特帳戶@WJahitucker 被黑客劫持,黑客使用其冒充NFT 交易市場LooksRare 的帳戶,並發布了空投騙局。
*5. 其他安全事件類型*
8 月3 日,Solana 錢包Phantom 疑似遭到黑客攻擊,估計損失為800 萬美元。
8 月3 日,加密交易平台中幣的熱錢包似乎因私鑰洩露而被黑客攻擊,黑客共計獲利約合480 萬美元。
8 月4 日,Slope Wallet (Android, Version: 2.2.2) 的sentry 服務存在私鑰洩露。
8 月10 日,去中心化交易平台Curve Finance 在社交媒體表示其網站前端被攻擊,提醒用戶如果在數小時內使用過Curve 請立即解除授權。此次攻擊黑客已竊取價值570,000 美元的ETH,並已轉移到FixedFloat。
8 月18 日,Celer Network 推出的跨鏈橋cBridge 遭到DNS 劫持攻擊,重定向用戶操作與惡意合約進行交互從而盜取用戶資產。目前該攻擊者,已經將攻擊獲取的加密資產對換成127 ETH,並且已轉入Tornado Cash。
8 月21 日,黑客利用General Bytes 旗下比特幣ATM 服務器中的零日漏洞(zero-day vulnerability) 從客戶那裡竊取加密貨幣。當用戶通過ATM存款或購買加密貨幣時,資金反而會被黑客竊取。
*6. 總結*
從DeFi 安全形勢來看,本月安全事件中閃電貸攻擊和邏輯漏洞最為頻繁,其他安全事件攻擊類型形式也變得更加多樣化。縱觀今年的DeFi 形式,跨鏈項目越來越受到黑客的青睞,同時每次跨鏈安全事件所造成的損失也是極為嚴重,所以我們需要深思如何安全的利用跨鏈。知道創宇區塊鏈安全實驗室在此提醒大家,合約安全對於安全來說有必要進行常規審計和復合審計,以此來保障合約免受其他攻擊影響,同時也要高度重視授權問題,對於授權要有明確的時間限制。 FishAlert (https://fishalert.knownseclab.com)從網絡釣魚以及騙局跑路來看,這兩種類型的安全事件之所以一直很多,一方面是攻擊手法簡單容易操作,另一方面是所涉及的用戶幾乎沒有技術背景因此更加容易被騙。希望用戶在進行投資和項目考察的過程中也要多學習區塊鏈相關知識,盡可能減少自己的潛在損失;當然用戶也可以藉助一些工具來減少被釣魚的風險,比如
