前言
三月以来发生的安全事件数量之多、涉及到的金额之高令人沉默,据知道创宇区块链安全实验室数据显示:该月发生的安全事件超34起,其中跨链桥Ronin攻击事件涉及金额更是足以媲美去年跨链桥ploynetwork攻击事件,损失超6.2亿美元,而本月安全事件涉及到的总金额更是高达7亿美元。
以下是知道创宇区块链安全实验室对三月各类型安全资讯的总结,并就其暴露出的问题进行探讨。
Defi安全类型事件
3月5日,BaconProtocol遭受黑客攻击损失约958,166美元,本次攻击利用重入漏洞,并凭借闪电贷扩大收益额。
CoinShares调查:资产管理公司支持比特币但持有更多以太坊:金色财经报道,CoinShares对资产管理公司的一项调查报告显示,比特币被认为是增长潜力最大的加密货币,但以太坊仍然在其投资组合中占据最大地位。共有51家管理资产规模总计9000亿美元的投资者参与了此次季度调查,其中43%的投资者表示BTC的上涨潜力优于ETH,但鉴于70%的受访者来自欧洲和中东,其中约25%来自北美,约5%来自亚洲,这项调查可能无法准确反映美国投资者目前的情绪。
此外,托管问题和可用性是机构投资者不愿配置数字资产的原因。[2023/7/19 11:03:20]
3月16日,xDaiChain上Agave合约因为一个非信任的外部调用遭受攻击,黑客获得约raluni,获利逾170万美元,约1/3已流入Tornado。
3月16日,xDaiChain上Agave合约因为一个非信任的外部调用遭受攻击,黑客获得约540万美元的利润。
3月16日,多链衍生品协议DeusFinance被监控到在Fantom网络上被黑客攻击,黑客共计盗走20万枚DAI和1,101.8枚ETH,总价值约300万美元。
Oxbridge通过在Avalanche区块链出售代币化再保险债券完成240万美元融资:金色财经报道,总部位于开曼群岛的再保险公司Oxbridge Re Ltd.宣布已通过销售数字及代币化再保险债券“DeltaCat Re”完成240万美元融资,据悉总计出售了244,776份代币化再保险证券。此前Oxbridge Re Ltd公司就计划利用其注册子公司 SurancePlus Inc.推出基于Avalanche区块链发行的代币化再保险证券,旨在代表签订的再保险合同中的部分权益,投资者可以通过执行附属再保险合同中的基础再保险合同来获得回报。(artemis)[2023/6/29 22:07:05]
3月21日,BNBChain和以太坊上的UmbrellaNetwork由于合约存在整型溢出问题导致奖励池被抽取,黑客获利70万美元。
3月22日,跨链DEX聚合协议Li.Finance发推表示,攻击者利用了Li.Finance的智能合约,约60万美元从29个钱包中被盗,错误已修复并进行重新部署。
德勤集成Polkadot生态身份协议KILT Protocol,发行可重复使用的数字证书:5月4日消息,会计师事务所德勤宣布正在集成Polkadot生态身份协议KILT Protocol,用于发行可重复使用的数字证书,以支持其了解你的客户 / 了解你的业务 (KYC/KYB) 流程, KILT的技术可消除围绕KYC/KYB流程现有效率低的问题。这些凭证有多个用例,包括银行和DeFi的监管合规、电子商务的年龄验证、私人登录和筹款等。[2023/5/4 14:43:05]
3月24日,Solana上的稳定币项目Cashio遭遇黑客攻击。黑客利用了协议无限铸造漏洞,并通过绕过一个未被验证的账号,非法增发了20亿个CASH代币,获利总价值约
3月24日,Solana上的稳定币项目Cashio遭遇黑客攻击。黑客利用了协议无限铸造漏洞,并通过绕过一个未被验证的账号,非法增发了20亿个CASH代币,获利总价值约5000万美金。
3月29日,AxieInfinity侧链Ronin发文表示验证者节点遭入侵,17.36万枚ETH和2550万USDC被盗,总金额约合6.2亿美元。
新一届美国众议院金融服务委员会主席:有必要“将个人不良行为与加密行业创新区分开”:金色财经报道,在FTX事件之后,新一届美国众议院金融服务委员会主席帕特里克·麦克亨利表示,有必要“将个人的不良行为与加密行业创新创造的利益区分开” ,此前SBF在华盛顿的游说团体致力于美国国会通过一项赋予美国商品期货交易委员会 (CFTC) 监管加密货币权力的法案,预计将被纳入 2023 年的预算支出方案,但由于过去几周的事态发展,现在已不太可能推进。此外,美国国会区块链核心小组成员的众议员 Jake Auchincloss 指出,与2014年时的加密行业不同,现在是区块链投资者和企业家需要重新建立信誉的时候。(Cointelegraph)[2023/1/1 22:19:41]
3月30日,去中心化期权协议Acutus的ACOWriter合约存在外部调用风险,攻击者可以通过此漏洞进行任意外部调用。目前攻击者利用该手法已经盗取了部分授权过该合约的用户的资产约72.6万美金。
美股区块链概念股盘前普涨 Riot Blockchain涨近9%:行情显示,美股区块链概念股盘前普涨,Riot Blockchain(RIOT.O)涨近9%,Marathon Digital(MARA.O)涨7.71%,Coinbase(COIN.O)涨6.47%,MicroStrategy(MSTR.O)涨5.15%。[2022/7/18 2:21:00]
3月31日,BasketDAO遭到攻击,导致用户损失约120万美元。目前发现大部分被盗资金都被存入了TornadoCash。
3月31日,去中心化借贷网络OlaFinance遭遇黑客攻击,损失约470万美元。
3月31日,Fuse链上借贷协议VoltageFinance借贷平台被攻击,损失约为400万美元。
3月31日,CastleFinance开发者发现Solana生态DeFi借贷协议JetProtocol存在重大漏洞,该漏洞可以使得攻击者从任意账户中提取代币。
局安全类型事件
3月10日,$DAOKing-LuckyDAO被监测到为项目,其管理员已将505枚BNB存入Tornado.cash,并事先进行了虚假的智能合约升级。
3月15日,NFT项目NFTflow发生RugPull,目前其官方社交账号已注销。
3月22日,NFT项目WW3Apes发生RugPull,目前已删除其社交媒体账号。其另一关联项目GodZape也发生了RugPull,损失约20ETH,并已在数天前删除其社交媒体账号。
3月28日,DeFi项目BuccaneerFinance发生RugPull,目前其官方社交账号已注销,者已将841枚BNB转移至TornadoCash混币。
3月29日,BNBDEFI发生RugPull,DEFI代币短时下跌68%。目前该项目已关闭其社交媒体群组,损失达255枚BNB。
3月31日,@BinanceNFT_BFT系伪造的BinanceNFTTwitter账户,正在推广“貔貅盘”局。BinanceNFT官方Twitter账户,请认准@TheBinanceNFT。
网络钓鱼安全类型事件
3月7日,Solana上出现多起授权钓鱼事件。攻击者批量给用户空投NFT,用户通过空投NFT描述内容里的链接进入目标网站,连接钱包,点击批准后该钱包里的所有原生资产都会被转走。
3月15日,者入侵NFT项目WizardPass社群,被盗NFT包括BAYC、Doodles等。
3月18日,NFT项目RareBears官方Discord遭遇攻击,提醒用户不要点击任何钓鱼链接或随意连接钱包,注意资产安全。
3月24日,高达元素NFT项目MekaVerse发推表示,官方Discord被黑,社区其他用户反映,疑似有数十万机器人的钱包已经被盗,似乎没有真实用户影响。
3月28日,有攻击者冒充Cryptovoxel官方进行钓鱼攻击,诱导用户进行授权,偷走了多个NFT然后在opensea上出售。
3月29日,智能元宇宙项目AletheaAI发推称其Discord被黑客攻击,目前正在评估情况。
3月29日,TheDronesNFT项目discord遭受黑客攻击,黑客在discord中发布了一个伪造的mint链接,项目方发布公告愿意赔偿投资者因mint带来的损失。
3月31日,由于涉及被黑推特账户的广泛网络钓鱼攻击,至少有35个NFT被盗。包括BoredApe、MutantApe以及BoredApeKennelClubNFT,价值达90多万美元。
其他安全事件类型
3月4日,在TreasureDAO代码漏洞导致其NFT市场100多个NFT被盗数小时后,开发人员证实黑客已开始归还被盗的“SmolBrains”和其他NFT。
3月23日,主要加密投资公司DeFianceCapital的创始人“Arthur_0x”的一个热钱包遭到黑客攻击,损失超过160万美元的非同质化代币(NFT)和加密货币。
3月25日,LidoDAO已销毁DeFianceCapital创始人价值1330万美元被盗LidoToken,并将它们铸造到由DeFianceCapital控制的新钱包中。
3月28日,谷歌研究人员发现有2个朝鲜黑客组织利用了Chrome浏览器中的一个远程代码执行0day漏洞超过1月,用于攻击新闻媒体、IT公司、加密货币和金融科技机构。
3月31日,Tezos开发团队NomadicLabs今日凌晨在推特上表示,已发布TezosOctez套件的新版本v12.1,修复了Ithaca2Baker软件中可能导致崩溃的漏洞。
总结
从Defi安全形势来看,重入漏洞和外部危险调用成为常客,Solana生态也被黑客觊觎,当然重中之重依然是跨链桥安全问题。知道创宇区块链安全实验室在此提醒,对合约安全有必要做到常规审计和复合审计,保障合约免受其他攻击影响,同时高度重视授权问题,对于授权要有明确的时间限制。
从网络钓鱼以及局跑路频发来看,黑客和子们对于区块链用户更加青睐,对此用户需要提示自身安全意识,做到拒绝陌生链接以及不合理请求,不可以盲目信服他人,这样才能保障自身财产安全。
WorldMobileToken很高兴地宣布我们与行业领先的去中心化预言机网络Chainlink达成技术合作.
1900/1/1 0:00:00总有一天我们会回顾20世纪,想知道为什么我们会拥有这么多东西。 这是《时代》杂志上一篇名为“改变世界的10个想法”的文章的第一行,该文章写于2011年。所讨论的重心是共享经济,十年后,此观点被证明是正确的.
1900/1/1 0:00:00合作社和DAOs可以互相学习什么协调和发挥作用的最佳框架可能不是在这两种模式之间做出选择,而是两者的结合。 2014年,也就是以太坊推出的前一年,纽约新学院的学者活动家和教授TreborScholz创造了一个新术语:“平台合作主义”.
1900/1/1 0:00:00CertiK在KYC过程中发现,SAFUU协议创始人与CleverDeFi及TagzExchange高风险项目相关.
1900/1/1 0:00:00市场观点 宏观流动性 货币流动性更趋紧张。周四美联储主席鲍威尔称5月会议将加息50BP,并确认了市场多次加息50BP的预期。回顾上轮缩表周期,美联储从17年10月一直持续到19年9月;本轮月度缩表规模上限或是上轮的两倍.
1900/1/1 0:00:00伴随着DeFi的繁荣,加密数据分析的市场也方兴未艾。已实现对一个DeFi项目的初步解析。笔者在使用诸多分析工具后,整理了比较好用的,且市面上推荐度比较高的五类DeFi数据分析工具:看DeFiToken数据类:CoinGecko&.
1900/1/1 0:00:00