1.前言
随着行情逐渐的好转,十月各类攻击事件也突增并且涉及金额相当巨大,令人瞠目结舌。据知道创宇区块链安全实验室数据显示:该月发生的安全事件超53起,总损失高达超8.5亿美元。其中DeFi安全事件飞速增加,最具代表性的当属BNBChain跨链桥TokenHub系统合约遭到黑客攻击事件,损失高达5.6亿美元。
2.数据分析
1、占比分析:
通过对本月各类型安全事件的数量和占比分析,可以发现几乎一半攻击都来自DeFi攻击,而网络钓鱼也仍然是高事件攻击类型。
2、对比数据分析:
BitBoy被禁止在推特上威胁FTX的集体诉讼律师:金色财经报道,“BitBoy Crypto”YouTube网红Ben Armstrong被禁止在推特上对起诉他的集体诉讼律师发表负面评论,此前他与FTX诉讼相关的威胁邮件让他陷入了困境。Armstrong涉嫌宣传FTX,他多次以充满亵渎的电子邮件和社交媒体帖子来攻击处理该诉讼的律师。
由于Armstrong的不良行为,一名法官命令他停止在推特上发布对律师亚当·莫斯科维茨及其公司客户的负面评论。莫斯科维茨证实了法官Melissa Damian命令的细节,该命令将于周四下午晚些时候提交。[2023/4/21 14:17:05]
通过对比发现,本月DeFi安全以及跑路局事件翻倍增加,而其他安全事件也处于小幅度增长或持平状态。
3、2022年月安全趋势:
本月,安全事件数量总体明显上升,对比上月安全事件数量上升超一倍,可见行情逐渐的回暖同时也带来了极大的安全威胁。
英国立法者投票扩大当局扣押加密货币相关财产的权力:金色财经报道,英国议员周二投票授予当局更大的权力,以没收含有信息的财产,这些信息可以帮助识别与犯罪有关的加密资产。正在议会辩论的《经济犯罪和企业透明度法案》(Economic Crime and Corporate Transparency Bill)已经包含了一些规则,赋予当局没收和拘留与犯罪活动有关的加密货币的权力。下议院议员接受的新修正案寻求赋予地方执法部门权力,也可以扣押“与加密资产相关的项目”,这是指包含或提供访问信息的财产项目,可能有助于协助扣押目标加密资产。该法案在成为法律之前还需获得下议院和议会上院的通过。(coindesk)[2022/11/22 7:57:10]
3.DeFi安全类型事件
10月2日,跨链DEX聚合器TransitSwap遭到攻击,截至目前,损失估计已超过2800万美元。此次攻击,主要是针对那些已经批准TransitSwap&CrossApproveProxy合约的地址。
10月7日,BNBChain跨链桥TokenHub系统合约遭到黑客攻击,被分两次提取200万枚BNB,约合5.6亿美元。
10月9日,XaveFinance项目遭到黑客攻击,导致RNBW增发了1000倍。
10月11日,QANplatform桥智能合约遭到攻击,攻击者在以太坊上获利资产约960,000美元,在BNBChain上获利资产约1,140,000美元。
Nomad:代码进行了重大更改,桥接用户将获得代表资产访问权的NFT:9月21日消息,跨链互操作性协议Nomad发布跨链桥重启更新,称为支持重启对代码进行了重大更改,包括针对漏洞利用修复、桥接GUI的补丁、处理收回的资金等,审计完成后将发布代码。
Nomad称回收的资金桥接回madAssets并不是一个简单的过程,用户将遵循以下流程:1.将madAssets桥接回以太坊,可获得一个NFT,该NFT说明了桥接资产的类型和数量。2.使用NFT(例如:100USDC)该NFT授予对该资产的一部分的访问权,该部分相当于已收回资产的百分比。
此外,被添加到白名单中的用户才能获得被追回的资金,回收的资金将以代币为单位进行核算,以不同形式归还的代币将被释放,Nomad将与区块链取证公司合作,以确定哪些代币受到影响。[2022/9/21 7:10:10]
10月11日,DeFi协议TempleDAO疑似遭到攻击,损失约234万美元。
10月11日,Rabby项目遭到黑客攻击,涉及金额约20万美元。
10月12日,基于Solana的去中心化金融平台Mango遭到潜在1亿美元的攻击。
10月12日,ATK项目遭受闪电贷攻击,攻击者获利12万美元。
10月14日,MEV机器人(0x00000.....be0d72)被利用,损失约为187.75WETH。
末日博士:美国的麻烦将比1970年代更大 有人却还在痴心妄想:金色财经报道,知名经济学家“末日博士”鲁比尼表示,利率上升和沉重债务负担令美国面临严重衰退,那些预计经济只是小幅滑坡的人“纯属痴心妄想”。鲁比尼称,现在的情况与1970年代不同,当时尽管经济滞胀,但负债率处于低位。而自08年金融危机以来,美国的债务激增,紧随其后的是信贷危机和需求冲击导致的低通胀或通缩。这一次,美国遭遇的是滞胀环境下总供给负面冲击和处于历史高位的负债比。在过去的两次衰退中,美国实施了大规模的货币和财政宽松政策。这一次美国却在收紧政策,缺乏财政腾挪空间。[2022/7/26 2:37:23]
10月17日,MTDAO项目方的未开源合约遭受闪电贷攻击,损失近50万美元。
10月18日,BitKeepSwap遭到黑客攻击,开发团队已进行紧急处理,黑客的攻击行为已被阻止,攻击集中于BNBChain,造成约100万美元的损失。
10月18日,PLTD项目遭到黑客攻击,其交易池中的所有BUSD被全部兑空,攻击者共获利24,497枚BUSD。
10月19日,Celo上的Moola协议遭受攻击,黑客获利约900万美元。
10月20日,代币GEO合约被攻击,请勿在BNBChain上购买GEO。
10月20日,一项名为「以太坊闹钟」(EthereumAlarmClock)的服务因智能合约漏洞而被利用,目前黑客已经获取了204个ETH,价值约259800美元。
Polygon上线Layer2 Rollup解决方案Nightfall主网Beta版:金色财经消息,Polygon宣布上线Layer2 Rollup解决方案Polygon Nightfall主网Beta版,并表示,将在主网正式启动前消除网络限制,之后还计划将Nightfall转换为Polygon DAO,以实现最大程度的去中心化。Polygon Nightfall结合了Optimistic Rollup和零知识(ZK)密码学的概念,可为希望采用以太坊的公司提供可访问性和隐私性。(polygon.technology)[2022/5/17 3:23:04]
10月20日,推特用户披露BitBTC和Optimism之间的跨链桥存在「虚假铸币」漏洞,现已修复。
10月21日,OlympusDAO因代码漏洞导致约29.2万美元损失。
10月23日,Optimism生态投资项目Layer2DAO遭遇黑客攻击,黑客通过获取了Layer2DAO的多重签名权限盗走约4995万枚L2DAOToken并将部分抛售。损失约为32万美元。
10月24日,QuickSwap因闪电贷攻击损失22万美元,将暂时关闭借贷市场。
10月25日,ULME代币项目遭黑客攻击,损失50646BUSD。
10月25日,MelodySGS项目的AssetsDepositUpgrade合约疑似遭受黑客攻击,攻击共造成2225枚BNB损失。损失约为64万美元。
10月27日,多链钱包UvToken遭遇攻击,UVT代币价格下跌99%,攻击者已将盗取的约5011枚BNB转入TornadoCash。
10月27日,TeamFinance团队表示,该协议管理资金在由Uniswapv2迁移至v3的过程中遭到黑客攻击,已确定的损失为1450万美元。
10月27日,TrustSwap项目遭受黑客攻击,影响金额至少约779万美元。
10月27日,项目VictortheFortune遭闪电贷攻击,攻击者已获利约5.8万美元。
10月28日,FriesDAO因Profanity漏洞遭到攻击,损失约230万美元。
4.局安全类型事件
10月2日,BTU(BTU)项目出现88%以上的跌幅,已确认该项目为RugPull项目。
10月6日,Easier(EAI)出现66%以上的跌幅,已确认该项目为RugPull项目。
10月7日,山寨项目GMX(GMX)出现88%以上的跌幅,已确认该项目为RugPull项目。
10月9日,Jumpnfinance项目发生Rugpull,目前被盗资金中2100BNB已转入Tornado.Cash,剩余部分2,058BNB还存放在攻击者地址。
10月16日,SHOK项目价格跌幅超过83%,已被确认为RugPull,该局已获利约7.14万美元。
10月20日,MangoINU项目已确认是RugPull,币价跌幅超过80%,该局已获利约4.85万美元。
10月20日,DD项目价格跌幅超过87%,已被确认为RugPull,该局已获利约10.9万美元。
10月24日,Freeway项目方删除了官方名单并且实施了RugPull,涉及金额或超1亿美元。
10月24日,Mango攻击者通过部署RugPull项目MangoInu获利10万美元。
10月28日,一伪装成Aptos官方的空投局已获利114.8枚ETH,切勿点击钓鱼网站airdrop.aptlabs.fi。
5.网络钓鱼安全类型事件
10月9日,英国知名女子组合辣妹合唱团(SpiceGirls)成员MelB已向当地报警,称其Whatsapp遭加密黑客攻击,黑客向MelB的社交网络好友发布了一个慈善比特币捐款项目请求,她的家人和名人朋友收到了大量虚假加密货币捐赠请求。
10月8日,Flaskies项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
10月9日,价值超过70万美元的七只「无聊猿」BAYC已经被盗,分别是BAYC4317、755、6567、8761、2951、9611、8274。受害者被诱批准了一个恶意合约,导致钱包内BAYC被盗。
10月15日,WhisbeVandalz项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
10月16日,ProjectKaito项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
10月18日,XANA项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
10月22日,Gate官方推特账号疑似被黑,并发送钓鱼信息,请用户注意资产安全。
10月22日,Vivity项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
10月22日,ProjectShojira项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
10月25日,FTX和3CommasAPI密钥相关钓鱼事件的攻击者还攻击了BinanceUS和Bittrex交易所,分别盗取了1053枚ETH和301枚ETH。
10月26日,NFT项目primordials的Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
10月28日,NFT项目OxyaOrigin的Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
6.其他安全事件类型
10月11日,paraswap部署者私钥疑似泄露,资金在多个链上被盗。
10月11日,TokenPocket官网遭受异常流量攻击,技术团队正在进行紧急维护。
10月17日,日本多家交易所遭到LazarusGroup发起的网络攻击,据信该集团由朝鲜政府直接控制。
10月25日,Web3娱乐社交应用Melody代币地址被黑客盗用,团队暂时关闭提现功能。
10月26日,SpookieFinance前端疑似遭到攻击,GHOST币价几乎归零。
7.总结
从DeFi的角度看所涉及的安全事件中,除最常见的闪电贷攻击外,跨链桥攻击也愈发频繁。这里再次提醒大家合约审计的重要性:在相当多的攻击事件中,逻辑问题基本上是影响最为严重的,所以开发人员在开发时,需要对合约功能逻辑进行严谨开发。同时对合约安全有必要做到常规审计和复合审计,保障合约免受其他攻击影响,同时高度重视闪电贷和跨链桥合约。
从网络钓鱼以及局跑路角度来看,跑路局相比于上月大量增加,这警示着投资者需要对项目及项目方各个方面都进行全面考察,谨慎对待没一个项目,防止无良项目方钱跑路;网络钓鱼相比于上月基本持平,增加幅度不大,但事件数量却丝毫不减,可以看出攻击者仍然认为网络钓鱼更容易到用户从而获利,而普通投资者也确实在这方面容易掉以轻心,知道创宇区块链安全实验室提醒大家不要点击、铸造或授权任何不明交易,交互过程中注意钱包或者浏览器提示信息,涉及Approve授权操作应格外注意。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。