前言
七月随着币价的回升,安全事件也变的频繁发生,攻击者在本月也是“火力全开”,从各个方面进行攻击。据知道创宇区块链安全实验室数据显示:该月发生的安全事件超43起,其中跑路局和钓鱼造成的单个损失也愈发严重,代表事件为UniswapV3钓鱼攻击和DRACNetwork的RugPull,而月初DeFi协议CremaFinance被攻击造成的损失尤为惨重。本月安全事件造成的损失总金额共计约29,000,000美元。
通过对本月各类型安全事件的数量和占比分析,不难发现网络钓鱼安全事件仍然占比最多。再次提醒大家要对网络钓鱼提高警惕,可借助一些工具来减少被钓鱼的风险,如:FishAlert插件,可减少被钓鱼风险。
本月安全事件对比6月数量虽然略有下降,但整体局势仍处在安全事件高发期。再此提醒大家,对于安全应持续提高安全意识,保持对安全问题的敏锐性。
a16z、区块链协会均致函质疑美SEC拟议的收紧加密货币托管规则:5月9日消息,美国证券监管机构提出的一项收紧加密货币托管规则的提议遭到了至少两名业内支持者的反对。5月8日,加密行业倡导机构区块链协会(Blockchain Association)向SEC提交了一封信,批评其修改其监管规则的提议。3天前,Web3风险投资基金Andreessen Horowitz(a16z)也发出了一封类似的信函。区块链协会政策律师Marisa Tashman Coppel于5月8日在推特上表示,SEC拟议的规定将“大幅减少对数字资产的投资”,并声称以目前的形式,该规定是“非法的”。在信中,区块链协会提供了十几个单独的论据来反驳SEC。在其他声明中,它表示该规则超出了SEC权限,将禁止顾问与加密货币交易所进行交易,并使投资者的资产面临更大的风险。同一天,a16z总法律顾问Miles Jennings在推特上发布了其致SEC的信函,称该公司“没有含糊其词”,并称SEC的提议是“对加密货币发动战争的误导和明显的企图。”a16z在其信中详述了与区块链协会类似的论点,但更侧重于其对注册投资顾问的影响,即顾问将被禁止使用加密货币,并且这些规则可能违反SEC对此类公司的注意义务。[2023/5/9 14:51:45]
以下是知道创宇区块链安全实验室对七月各类型安全资讯的总结,并就其暴露出的问题进行探讨。
DeFi安全类型事件
?7月3日,Solana生态流动性协议CremaFinance遭黑客攻击中损失超600万美元,黑客使用Solend闪电贷耗尽资金池。
?7月7日,ProjectX项目PXT代币价格下跌,官方称价格下降是由于黑客攻击造成的。攻击者获利约1.9万美元。
比特币期货电子合约未平仓15899张,较上一日上涨74张:金色财经报道,2023年2月24日芝加哥商业交易所(CME)比特币成交量报告如下:比特币期货电子合约成交13594张,场外成交合约为104张,成交量13698张,未平仓合约15899张,持仓较上一日上涨74张。
比特币期权合约成交54份,其中看涨合约16份,看跌38份。看涨期权未平仓合约4273张,持仓较上一日上涨46张。看跌期权未平仓合约6142张,持仓较上一日上涨349张。
微型比特币期货电子合约成交量12850张,未平仓合约15531张,持仓上涨1269张。
金色财经此前报道,CME比特币期货溢价超过Binance。[2023/2/25 12:29:08]
?7月10日,去中心化NFT金融化协议OmniX遭到攻击,攻击者利用ERC721的重入了清算函数。损失超100万美元。
?7月11日,DeFi平台ParallelFinance遭到重入攻击,导致了约200万美元的损失。
?7月12日,质押挖矿项目遭到黑客攻击,攻击者利用合约中updateBalance函数的加法溢出漏洞,修改攻击账户的质押量,总计获利约为11万美元。
?7月12日,多链NFT协议CitizenFinance被攻击,CIFI代币价格已下跌逾50%,244枚BNB和5.76万枚MATIC被盗。
?7月14日,BNBChain上项目SpaceGodzilla遭到了黑客的闪电贷攻击。黑客通过闪电贷借取大量资金并在Pancake上操纵交易池中SpaceGodzilla的价格,攻击共获利25,378.78BUSD。
美股三大指数集体收涨,标普500指数涨0.66%:金色财经报道,美股三大指数集体收涨,标普500指数涨0.66%,道指涨0.61%,纳指涨0.6%。[2022/9/9 13:18:24]
?7月24日,Web3音乐流媒体服务平台Audius社区金库被利用,损失1850万枚AUDIOToken,黑客将资金在Uniswap兑换为705枚ETH,共获利约11万美元。
?7月25日,LPC项目遭受闪电贷攻击,由于_transfer函数中未更新账本余额,而是直接在原接收者余额recipientBalance值上进行修改,导致攻击者余额增加。攻击者共获利178BNB,约为45715美元。
?7月28日,基于Solana的去中心化算法稳定币协议Nirvana遭到闪电贷攻击,其稳定币NIRV价格从1美元一度跌至0.09美元,最大跌幅超过90%,攻击者共获利3,490,563.69USDT,21,902.48USDC及393,230.32ANA代币,价值约357万美元。
?7月3日,Solana生态流动性协议CremaFinance遭黑客攻击中损失超600万美元,黑客使用Solend闪电贷耗尽资金池。
?7月7日,ProjectX项目PXT代币价格下跌,官方称价格下降是由于黑客攻击造成的。攻击者获利约1.9万美元。
?7月10日,去中心化NFT金融化协议OmniX遭到攻击,攻击者利用ERC721的重入了清算函数。损失超100万美元。
?7月11日,DeFi平台ParallelFinance遭到重入攻击,导致了约200万美元的损失。
Revv发布基于以太坊钱包的电子签名Beta版产品:6月27日消息,文档工作流程自动化平台Revv宣布发布由以太坊钱包提供支持的电子签名解决方案的Beta版产品,Revv用户可以选择他们的以太坊钱包来验证身份、电子签名文档,并使用钱包相关的审计跟踪来强化签名证明。
据悉,该功能结合了电子签名技术和区块链基础设施的力量,并将文档签名功能扩展到去中心化网络。Revv将使用以太坊钱包进行文档签名成为链外过程,这意味着不涉及区块链交互,而只涉及其加密功能,这也意味着执行这些电子交易不需要gas费。(Business Wire)[2022/6/27 1:34:08]
?7月12日,质押挖矿项目遭到黑客攻击,攻击者利用合约中updateBalance函数的加法溢出漏洞,修改攻击账户的质押量,总计获利约为11万美元。
?7月12日,多链NFT协议CitizenFinance被攻击,CIFI代币价格已下跌逾50%,244枚BNB和5.76万枚MATIC被盗。
?7月14日,BNBChain上项目SpaceGodzilla遭到了黑客的闪电贷攻击。黑客通过闪电贷借取大量资金并在Pancake上操纵交易池中SpaceGodzilla的价格,攻击共获利25,378.78BUSD。
?7月24日,Web3音乐流媒体服务平台Audius社区金库被利用,损失1850万枚AUDIOToken,黑客将资金在Uniswap兑换为705枚ETH,共获利约11万美元。
?7月25日,LPC项目遭受闪电贷攻击,由于_transfer函数中未更新账本余额,而是直接在原接收者余额recipientBalance值上进行修改,导致攻击者余额增加。攻击者共获利178BNB,约为45715美元。
马斯克暗示回应更换BAYC头像:我不知道,似乎有点同质化:金色财经报道,马斯克5月4日将推特头像更换为BAYC NFT,针对此事,苏富比副总裁在社交媒体@马斯克称,我很欣赏你的作品,我希望你能把我为我们的苏富比拍卖会创作的pfp删除。或者你如果相信我,我很高兴把经买方同意的原始文件发给你。
马斯克随后发文暗示回应更换BAYC头像,他表示:我不知道,似乎有点同质化。(注:NFT意为非同质化代币,即不可替代)[2022/5/4 2:49:39]
?7月28日,基于Solana的去中心化算法稳定币协议Nirvana遭到闪电贷攻击,其稳定币NIRV价格从1美元一度跌至0.09美元,最大跌幅超过90%,攻击者共获利3,490,563.69USDT,21,902.48USDC及393,230.32ANA代币,价值约357万美元。
局安全类型事件
?7月4日,分布式节点基础设施项目Nody(NODY)发生RugPull,当前NODYToken价格下跌93%。
?7月6日,BNBChain项目BabyDAO发生RugPull,代币下跌99.9%,约773枚BNB被转移至TornadoCash。
?7月20日,RacKiller发生RugPull,代币价格下跌超70%。
?7月20日,NumberSwap发生RugPull,代币价格下跌超96%。
?7月20日,Neoteric.finance发生RugPull,其NTRC代币价格下跌超91.6%。目前的报告显示损失约为10万美元。
?7月20日,AngelsToMiracles项目发生RugPull,ATM代币价格下跌46%,有1943.3枚BNB转移至TornadoCash,损失约53万美元。
?7月20日,ORCHID项目发生RugPull,ORCHID代币价格下跌超96.4%,目前的报告显示损失约为5万美元。
?7月25日,DeFi项目DRACNetwork发生RugPull,代币TEDDY价格下跌99.4%,1万枚BNB和200万枚BUSD转入币安。损失约为450万美元。
?7月26日,SKG代币项目RugPull,价格下跌超过80%。超过10万枚SKG被出售,资产利润超过7万美元。
?7月27日,LarpFinance项目发生RugPull,LARP代币跌幅超过80%。合约部署者出售了最初铸造的LARP代币并获利2.8万美元。
?7月29日,secondunclecoin二舅币池发生Rugpull,合约部署者已通过TornadoCash清洗赃款,截至目前代币SUC价格已下跌99.7%。据统计,本次事件的利润总额高达130万美元。
网络钓鱼安全类型事件
?7月6日,NFT项目SpikySpaceFish的Discord服务器遭黑客攻击,请用户不要点击任何链接,且不要参与铸造或批准任何交易。
?7月6日,Otherside官方推特帐号疑似被盗,其个人资料已更改为展示OthersideMetaNFT图像并推销局。
?7月9日消息,NFT项目DopeApeClub的Discord服务器遭到攻击。聊天被锁定,攻击者发布了一个钓鱼链接。请社区用户不要点击链接、铸造或批准任何交易。
?7月12日,黑客通过钓鱼攻击在UniswapV3上窃取7500ETH,协议本身并无安全问题。
?7月14日,NFT项目AzukiArt的Discord服务器遭到了黑客攻击,请用户不要点击链接、铸造或批准任何交易。
?7月15日,NFT项目LonelyAlienSpaceClub的Discord服务器遭到入侵,请用户不要点击链接、铸造或批准任何交易。
?7月16日,P2E元宇宙项目Botborgs的Discord服务器遭到攻击,请用户不要点击链接、铸造或批准任何交易。
?7月17日,NFT管理平台NFTYDash的Discord服务器和Twitter账号遭到攻击,请用户不要点击链接、铸造或批准任何交易。
?7月17日,premint.xyz遭到黑客攻击,黑客在premint.xyz网站中通过植入恶意的JS文件来实施钓鱼攻击,户签名setApprovalForAll(address,bool)的交易,从而盗取用户的NFT等资产。
?7月18日,originals-adidas.com被证实是一个钓鱼网站,19枚ETH和17枚NFT已进入者地址。
?7月19日,NFT项目Maximalist的Discord服务器遭到攻击,攻击者发布了钓鱼链接,请用户不要点击链接、铸造或批准任何交易。
?7月20日,DerpyPunkz的Discord服务器遭到攻击,攻击者发布了钓鱼链接,与此前Maximalist项目攻击者相同,用户不要点击链接、铸造或批准任何交易。
?7月20日,DerpyPunkz的Discord服务器遭到攻击,攻击者发布了钓鱼链接,与此前Maximalist项目攻击者相同,用户不要点击链接、铸造或批准任何交易。
?7月21日,NFT项目TablelandDiscord遭遇攻击,公告板块发布钓鱼链接,团队部分成员已被踢出。请用户不要点击链接、铸造或批准任何交易。
?7月25日,NFT项目NENStudio的Discord服务器遭受攻击。请社区用户不要点击链接、铸造以及批准任何交易。
?7月27日,NFT项目TheAmericansNFT的Discord服务器遭到攻击,攻击者发布了钓鱼链接。请社区用户不要点击、铸造或批准任何交易。
?7月29日,NFT项目OldSport的Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
?7月29日,ApachesNFT项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
?7月29日,DAISUKI项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
其他安全事件类型
?7月4日,英国陆军的官方推特账户和YouTube帐户遭到黑客攻击,并发布了有关加密货币和NFT的帖子。
?7月4日,多名用户加密钱包MetaMask的POAP被盗,建议提醒用户撤销之前与NFT市场Eporio交互的所有POAP批准。
?7月26日,Windows版Coremail邮件客户端存在RCE漏洞,攻击者可通过给用户发送含有恶意程序的邮件从而控制用户主机,可能导致钱包私钥泄露。
总结
从Defi安全形势来看,本月安全事件中闪电贷攻击和重入攻击较为普遍,逻辑漏洞也是频现,项目方对于此类攻击事件应做好提前防护。特别是CremaFinance安全事件提醒我们攻击者能通过闪电贷进行花式攻击,所以对于闪电贷的安全性项目方一定要深思熟虑。知道创宇区块链安全实验室在此提醒,对合约安全有必要做到常规审计和复合审计,保障合约免受其他攻击影响,同时高度重视授权问题,对于授权要有明确的时间限制。
从网络钓鱼以及局跑来看,网络钓鱼和局跑路所造成的损失也在逐月加重,一方面是数量增多,另一方面单个事件造成的金额损失也增多,所以用户在投资之余也要多学习区块链知识和防意识,确保自己的资产不会不翼而飞。
本文来自PythNetwork,由Odaily星球日报译者Katie辜编译。 目前,已有八家区块链基础设施公司增加了对PythNetwork的支持,其中包括新加入的Syndica,还有Everstake、P2P、Syndica、Fig.
1900/1/1 0:00:00原文作者:DanielLi三箭资本,我们一般称他为3AC,是世界上最大的以加密货币为重点的对冲基金公司之一。由SuZhu和KyleDavies于2012年创立,两人是高中同学,均为投行背景.
1900/1/1 0:00:00首批产品Keet将点对点视频聊天带入大众视野2022年7月25日,英属维尔京群岛电讯,用于构建点对点应用的完全加密平台Holepunch今日宣布推出一款名为Keet的全加密视频通话应用,并进行阿尔法版本测试.
1900/1/1 0:00:00据最新消息,JustLendDAO已成功通过区块链安全公司CertiK的安全审计。 SUN.io现已完成对JustSwap的收购,品牌升级为SUNSwap:据官方消息,SUN.io现已完成对JustSwap的收购,完成品牌升级全力打造.
1900/1/1 0:00:00Bitfinex上架土耳其体育俱乐部Fenerbah?e(FB)的粉丝代币最先进的数字代币交易平台Bitfinex(https://www.bitfinex.com/)已宣布上市Fenerbah?e代币(FB).
1900/1/1 0:00:00TigerVCDAO是属于所有人的去中心化VC。它由一些早期的加密从业者、知名VC、经验丰富的加密投资研究人员、合同审计机构和KOL共同建立。他们是各自领域的“老虎”.
1900/1/1 0:00:00