前言
六月以来,安全事件仍层出不穷,即使币价下跌,攻击者却没有停下攻击的脚步。据知道创宇区块链安全实验室数据显示:该月发生的安全事件超46起,其中跑路局变得更加严重,而跨链桥HarmonyBridge由于验证者节点的私钥泄露损失高达1亿美元。本月安全事件造成的损失总金额共计约1.21亿美元。
以下是知道创宇区块链安全实验室对六月各类型安全资讯的总结,并就其暴露出的问题进行探讨。
DeFi安全类型事件
6月2日,BNBChian上项目CoFiXProtocol遭受价格操控攻击,攻击者获利约14万美元。
6月4日,fomo-dao项目遭到攻击,目前攻击者获利11万美元,已经转至Tornado.cash。
6月7日,EqualizerFinance遭受闪电贷攻击。此次攻击的主要原因在于EqualizerFinance协议的FlashLoanProvider合约与Vault合约不兼容。损失约为831美元。
6月9日,部署在Osmosis区块链上的678号池遭到攻击,金额或涉及500万美元。通过利用此漏洞,用户可以退出池并获得最初存入池中的额外50%的资产。
以太坊L2网络总锁仓量突破50亿美元,近7日上涨7.58%:金色财经报道,根据L2BEAT数据,以太坊Layer2上总锁仓量为52.6亿美元,近7日上涨7.58%。其中锁仓量最高的为Arbitrum One,达到26.7亿美元,占比50.81%;其次是Optimism,锁仓量为16.7亿美元,占比31.8%;第三为dYdX,锁仓量为4亿美元,占比7.62%。[2023/1/22 11:26:04]
6月14日,Fswap官方表示,其于6月13日22:08遭到黑客攻击,此次攻击为非被攻击项目漏洞事件,是恶意借贷攻击事件。损失1751BNB,价值约为39万美元。
6月21日,whaleswap.finance项目遭受攻击,至少损失5946个BUSD和5964个USDT,价值约11910美元。
6月23日,pandorachainDAO项目遭受闪电贷攻击,导致了价值约12.8万美元的资产损失。
6月24日,由Layer1公链Harmony开发的以太坊与Harmony间的资产跨链桥Horizon遭到攻击,损失金额约为1亿美元。
6月26日,NFT借贷协议XCarnival遭到攻击,黑客获利3087枚以太坊,而协议损失可能更高。
Circle CEO:2023年将出现另一场类似FTX的破产:金色财经报道,Circle 首席执行官 Jeremy Allaire 周二表示,随着公司在早期继续苦苦挣扎,加密货币市场将在 2023 年见证更多破产。然而,由于监管框架和规则的进步,他仍然对市场的技术发展以及 2023 年加密货币采用率的上升持乐观态度。[2023/1/17 11:16:51]
6月28日,Goldfinch项目的SeniorPool合约遭受攻击,攻击者通过套利累计获利28523个USDC,项目方累计损失541158个USDC。
局安全类型事件
6月1日,BNBChian上项目ArmadilloCoin发生RugPull,者已将663.4枚BNB转入TornadoCash。损失价值约21万美元。
6月3日,StarMan发生RugPull,币价下跌99.5%,者已将约640.4枚BNB转移至TornadoCash。损失价值约19.6万美元。
6月6日,ACC代币暴跌超70%,近期交易中有7笔被认定为可疑的RugPull,损失达12万美元。
万事达卡已与多家公司进行合作支持万事达卡购买NFT:金色财经报道,万事达卡已与 Immutable X、Candy Digital、The Sandbox、Mintable、Spring、Nifty Gateway 和 Web3 基础设施提供商 MoonPay 达成交易。消费者将能够购买 NFT,无论是在这些公司的市场之一还是使用他们的加密服务。此外,万事达卡已经与 Coinbase 联手,使人们能够使用他们的借记卡和信用卡在加密公司的去中心化市场上购买 NFT。
万事达卡最近提交了 15 项 NFT 和 Metaverse 商标申请,作为将其支付处理系统、口号和品牌推广到新虚拟经济的广泛计划的一部分。
万事达卡表示,它正在为人们提供他们想要的东西。最近发布了一项针对 40 个国家/地区的 35,000 多人的调查,显示 45% 的人已经购买或考虑购买 NFT,大约一半的人寻求更大的灵活性,能够使用加密货币进行日常购买或使用信用卡或借记卡支付购买 NFT 的卡。(finextra)[2022/6/10 4:15:26]
6月8日,BNBChian上项目BabyElon发生RugPull,代币下跌98%,者已将623枚BNB转入TornadoCash,损失约为18万美元。
TPS Capital正式成为TRON DAO Reserve的成员和白名单机构:据官方消息,TPS Capital正式成为TRON DAO Reserve的成员和白名单机构。
TPS Capital是三箭资本(Three Arrows Capital)官方OTC平台,其提供渐进式交易经纪服务,开发和部署自己专有交易算法,以利用各个维度的套利机会。其重点包括但不限于场外交易流动性提供、做市、跨各种资产类别的借贷等。
波场联合储备(TRON DAO Reserve)由波场网络牵头成立,主要目的为保护区块链行业与市场,缓解极端与长期下行行情,解决金融危机来所带来的恐慌性问题。同时,波场联合储备也将作为初期托管人来维护波场去中心化稳定币 Decentralized USD (USDD) 的权限管理并以其储备金融资产担保,保证 USDD 汇率稳定。[2022/5/31 3:52:46]
6月12日,HEGECoin已被确认为RugPull跑路项目,HEGE代币的价格暴跌超过97%。目前损失金额约为43万USC-USD。
6月13日,ElonMVP代币发生RugPull,代币价格下跌99%,超622枚BNB转入Tornado.Cash,损失约为13万美元。
Masa Finance完成350万美元融资,Unshackled Ventures等参投:5月4日消息,DeFi 借贷协议 Masa Finance 宣布完成 350 万美元种子轮融资,本轮融资由 Unshackled Ventures 和 Lateral Capital、GoldenTree Asset Management、Decentranet Intersect VC、Peer VC、Alves Ventures 等参投。
目前 Masa Finance 正在 Celo 和 Ethereum 上构建,将于近期推出测试版,注册用户已达 36,000 人。[2022/5/4 2:49:33]
6月14日,区块链云基础设施Chain或发生RugPull,Token价格24小时下跌96.28%。
6月20日,MoveToEarn应用StepUpGames发生RugPull,Token价格下跌84%,部署者铸造大量STP并进行抛售。
6月21日,DHE项目发生RugPull,导致DHE代币价格下跌超过91%。目前损失总额约为14.2万美元。
6月22日,LVPLUS项目已被确认为跑路项目。北京时间2022年6月21日,该项目因RugPull攻击损失了约150万美元。
6月29日,LVMetaverse(代币LVP)项目再次发生RugPull,合约部署者再次拿走价值5万美元的代币。
网络钓鱼安全类型事件
6月4日,HomelessFriendsNFT的Discord遭到攻击,homelessfriendsnet系钓鱼网站。
6月4日,NFT项目NotBoredApes的Discord遭到攻击,一个mod账户似乎被黑,开始频繁发布网络钓鱼链接。请对官方未公布的Mint保持警惕。
6月4日,NFT项目WibinWolves的Discord服务器遭到攻击,社区用户被踢,所有服务器邀请链接被关闭。
6月5日,NFT项目「无聊猿」的Discord服务器遭到短暂攻击,有价值约200ETH的NFT被盗。
6月6日,NFT项目Aiternate的Discord已被攻击,请用户不要点击任何Discord私信或链接。
6月7日,Elrond网络近日遭黑客攻击,超165万美元EGLD被盗,部分并已通过去中心化交易平台Maiar出售,引发Maiar停机维护,部分发送至Binance。
6月7日,专注于女性赋权的NFT系列BossBeauties的Discord被攻击,截至目前仍在频繁转入转出NFT,总量已达40余枚。
6月8日,NFT项目DapperDinos的Discord遭遇攻击,http://dapperdrop.com是钓鱼网站。
6月9日,http://mint-samsung.com是一个钓鱼网站。该钓鱼网站冒充三星(Samsung)铸造网站盗取了VeeFriendsSeries2#44451NFT。
6月9日,NFT项目AlphaKongsClub的Discord遭到攻击,http://alphakongsclubnft.org是钓鱼网站,用户不要与该项目的Discord发送的任何链接互动。
6月12日,NFT项目GooniezGang的Discord遭到攻击并发布了网络钓鱼链接。
6月12日消息,科幻NFT卡牌游戏Parallel发推称,其Discord遭到攻击,团队正在恢复。请用户不要点击任何Mint链接。
6月14日,NFT发现和交易平台KnownOrigin的Discord已被攻击,http://knownoriginpass.io是钓鱼网站,请用户不要点击任何Discord私信或链接。
6月21日,NFT项目NeoHunters官方推特发文称,其官方Discord遭遇黑客攻击,提醒用户不要点击任何链接。
6月22日,rrbayc.art系钓鱼网站,谨防上当受。真正的RR/BAYC项目页面已被OpenSea下架。
6月23日,http://punkcomics.net网站被认定为网站,者已经以0美元的价格获得了Otherdeed、TheSandboxLAND等100多个NFT。
6月26日,Cardano链上NFT项目UglyBros的Discord遭到攻击并发布包括网络钓鱼链接的公告。请社区用户不要点击任何链接与之交互。
6月26日,Web3安全分析师Serpent表示,已发现一种将盗取钱包内NFT的恶意文件伪装成PDF文件的攻击形式,目前TwitterID为@RabbitinM的艺术家已因此遭到了损失。
6月27日,加密KOLZachXBT在其社交网站发文表示,Nouns官方推特账号被盗,黑客借机发布钓鱼网站信息,提醒用户谨慎点击相关链接。
其他安全事件类型
6月9日,去中心化交易平台ApolloX发布针对黑客攻击事件的最新声明,「一名黑客利用ApolloX的交易奖励合约中的一个漏洞积累了255个签名,然后使用这些签名从提款合约中盗取了5300万枚APXToken。
6月16日,包括MetaMask和Phantom在内的至少10款浏览器插件钱包由于Javascript语言中的某个问题导致可能存在暴露登录信息的可能性,该漏洞会使得助记词在内存中存储一段时间从而被攻击者利用。目前MetaMask及Phantom已修复了该漏洞。
6月24日消息,RibbonFinance发推表示遭遇DNS攻击,某用户损失16.5WBTC。
总结
从Defi安全形势来看,本月安全事件中闪电贷攻击和预?机操控仍然是常客,对于这些方面的安全需要项目方着重注意。同时跨链桥HarmonyBridge安全事件也提醒我们要保护好自己的私钥,以及如何针对私钥泄漏做到更好的安全防护。知道创宇区块链安全实验室在此提醒,对合约安全有必要做到常规审计和复合审计,保障合约免受其他攻击影响,同时高度重视授权问题,对于授权要有明确的时间限制。
从网络钓鱼以及局跑日渐频繁来看,用户对于项目的鉴别能力弱,容易被项目方的高回报给进去,同样的,钓鱼事件也会利用各种免费馅饼勾引用户进入他们设置的全套。用户在进行投资的过程中也要多学习区块链相关知识,尽可能减少自己的潜在损失。
近日,微软Office中一个被称为"Follina"的零日漏洞被发现。攻击者可使用微软的微软支持诊断工具,从远程URL检索并执行恶意代码.
1900/1/1 0:00:00据最新消息,5月13日,波场去中心化算法稳定币USDD已正式登陆Huobi。 Tether于波场网络增发10亿枚USDT:10月31日消息,据Whale Alert数据显示,Stablecoin发行商Tether于北京时间10月31日.
1900/1/1 0:00:002022年5月20日,中国上海——由以太坊上海筹委会成员主办,中国生物多样性保护与绿色发展基金会和通商中国协办,并获得以太坊基金会大力支持的以太坊上海Web3.0开发者峰会已于5月20日在线上成功举办.
1900/1/1 0:00:00在以太坊上执行复杂的函数一直是一个大忌,永远不应该这么做。区块链计算是非常昂贵的,因为需要所有节点执行相同的计算来验证其正确性。StarkWare是以太坊扩展服务之一,它试图使用STARK证明来扩展以太坊.
1900/1/1 0:00:00通证化所有权和治理是我们努力创造的这个分权未来1的关键。该行业将超越简单可替代的“代币投票”,此风险在于治理通证的巨鲸持有者占据主导地位。因此,这一领域的创新将大放异彩.
1900/1/1 0:00:00目前,Chainlink一共建立了900多个独特的预言机网络,为多链生态中的各个智能合约保障了数百亿美元的价值.
1900/1/1 0:00:00