据成都链安态势感知平台BeosinEagle-Eye统计数据显示,在过去一个月中,各类攻击事件、丢币事件频发,共发生9起较为典型的安全事件。其中包括:1.EOS链上发生3起安全事件,黑客攻击获利超22万EOS,其中主要包括曾被仲裁冻结的craigspys211账号向外转出19.9万EOS,并逐步流向交易所。2.比特币钱包Electrum用户面临钓鱼攻击,当用户更新了带有后门的客户端之后,私钥将会被盗,目前为止已经被盗1450BTC。3.波场链上这月发生两起DApp攻击事件,被盗数千TRX,攻击手法仍为交易回滚。4.以太坊资金盘项目FAIRWIN合约被曝存在严重安全漏洞,任意用户可调用接口伪造投注数据,然后提取余额,虽然漏洞接口已关闭,但在关闭之前已经被插入500条投注数据,约5093个ETH。5.数字货币交易所使用的某第三方JS服务存在被植入恶意代码的风险,直接威胁到交易所的资金安全,导致用户丢币。6.Fusion钱包被攻击,导致1000万本机FSN和350万ERC20FSN令牌被盗,价值约557万美元。在可统计的范围内,9月所发生的安全事件损失超过1.3亿人民币。虽较上月情况来看,本月安全事件数量略有减少,但是损失金额却更多,交易所和钱包安全事件的发生仍呈上升趋势,且黑客主要攻击方式是漏洞利用,说明交易所安全意识仍需加强。鉴于当前区块链安全新形势,成都链安在此提醒项目方重视安全风险,特别是交易所,往往交易所安全事件涉及金额巨大,更加需要增强安全意识,做好项目安全方面的审查。建议区块链项目加强技术能力,在系统设计、开发时就有意识增强系统架构安全性,建立完善的安全架构体系及应急处理机制。必要时可找安全公司合作,通过第三方技术支持、安全检测、安全加固,减少漏洞,以避免不必要的损失。项目运行时可借助安全态势感知系统,实时监控、预警报警;借助防火墙有效抵挡安全攻击。如有资产损失,可借助安全公司进行链上资产溯源追踪。
成都链安:BAYC项目具有被无限铸币的风险:据成都链安安全舆情监控数据显示,BAYC项目具有被无限铸币的风险。成都链安安全团队分析发现,合约的拥有者并非多签钱包,合约拥有者可以任意调用reserveApes()函数进行铸币,每次调用函数可以直接铸造30枚无聊猿NFT,如果合约所有者遭到钓鱼攻击或私钥泄露等,可能会导致大量无聊猿NFT被铸造并售卖。后面成都链安会持续监控该合约拥有者的动向。[2022/6/6 4:04:55]
成都链安:Li.Finance遭受攻击事件分析:金色财经消息,据成都链安链必应-区块链安全态势感知平台舆情监测显示,DEX聚合协议Li.Finance遭黑客攻击损失约60万美元,关于本次攻击,成都链安团队第一时间进行了分析发现:被攻击合约中的swapAndStartBridgeTokensViaCBridge函数中存在call注入攻击,可通过构造恶意的数据(_swapData)控制call调用的参数。在本次攻击事件中,攻击者恶意构建callTo地址为对应的代币合约地址,并调用代币合约的transferFrom函数转走受害地址的代币。[2022/3/21 14:08:55]
成都链安:Visor Finance遭受攻击事件分析:据成都链安监测显示,Visor Finance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析,本次攻击利用了Visor Finance项目抵押挖矿合约RewardsHypervisor的两个漏洞:
1.call调用未对目标合约进行限制,攻击者可以调用任意合约,并接管了抵押挖矿合约的执行流程;<- 主要漏洞,造成本次攻击的根本原因。2.函数未做防重入攻击;<- 次要漏洞,导致了抵押凭证数量计算错误,不是本次攻击的主要利用点,不过也可凭此漏洞单独发起攻击。针对这两个问题,成都链安在此建议项目方应做好下面两方面:1.进行外部合约调用时,建议增加白名单,禁止任意的合约调用,特别是能够控制合约执行流程的关键合约调用;2.函数做好防重入,推荐使用openzeppelin的ReentrancyGuard合约。[2021/12/22 7:55:18]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。