前言
9月結束后我們迎來了十一小長假。長假過后10月工作日第一天,知道創宇區塊鏈安全實驗室為大家整理了9月安全攻擊事件。
9月,攻擊事件雖然大量減少,但所涉及金額卻并未減少。據知道創宇區塊鏈安全實驗室數據顯示:該月發生的安全事件超26起,其中釣魚攻擊事件增加迅猛,本月造成損失最為嚴重的當為加密做市商Wintermute因私鑰泄露事件,損失高達1.6億美元。本月安全事件造成的損失總金額共計約167,400,000美元。
數據分析
1、占比分析:
分析發現,網絡釣魚安全事件在9月占比最多,高達44%,請大家警惕釣魚注意保護個人資產。值得高興的是,9月跑路騙局大幅度減少僅占比8%。
2、對比數據分析:
歐洲系統性風險委員會對加密貨幣和DeFi發出警告:金色財經報道,歐洲系統性風險委員會(ESRB)發布報告表示,盡管加密貨幣經歷了動蕩的一年,但它對傳統金融系統的影響微乎其微。即便如此,該委員會仍告誡要進行進一步監督。報告稱,鑒于加密市場令人印象深刻的增長軌跡和不可預測的未來,潛在的系統性風險不容忽視。
ESRB表示,雖然歐洲立法者最終在4月份通過加密資產市場(MiCA)監管法規,但還需要更多的工作。報告建議政策制定者實施多項改革,以平息現有的監管擔憂,其中包括對具有加密風險敞口的金融機構的定期報告要求。報告寫道,例如,如果隨著時間的推移與傳統金融體系的相互聯系增加,系統性風險可能會出現。[2023/5/26 10:40:38]
通過對比我們可以發現,本月安全攻擊事件除了網絡釣魚類,其他類型數量均為減少,尤其是跑路騙局由上月17起減少至2起。
3、2022年月安全趨勢:
Coinbase:為了進一步加快采用速度,行業需要簡化投資概念,提高可及性:金色財經報道,Coinbase Institutional發推稱,機構一直在加速采用數字資產,特別是與他們開始使用衍生品所花費的時間相比,為了進一步加快采用速度,行業需要簡化投資概念,提高可及性,并將技術更好地集成到現有系統中。不同國家監管特殊資產類別的方式一直存在差異。但是,國家與國家之間的差異從來沒有像今天的加密貨幣那樣大。
此外,BTC 和 ETH 上周都在今年最窄的區間內交易,并且實現了各自的 30 天波動率均降至 36% 左右。在宏觀方面,我們的研究團隊認為,在市場關注債務上限的同時,美國銀行體系的動蕩更值得關注。我們的交易團隊認為,如果美國在沒有就提高債務上限達成協議的情況下接近違約邊緣,BTC 可能會突破其交易區間。[2023/5/25 10:38:24]
本月安全數量大幅度下降,成為下半年以來最少攻擊事件月,應該與以太坊POS共識機制合并有較大的關系,后續如何發展我們將持續關注。
本屆超級碗總計鑄造超150萬枚Reddit Avatar:金色財經報道,從Reddit與NFL合作為本屆超級碗鑄造Avatar頭像以來,通過Polygon區塊鏈已鑄造了 1,562,389 個頭像,過去 8 天平均每天鑄造了 195,000 個頭像。數據顯示,堪薩斯城酋長隊的藏品最少,僅占超級碗Reddit Avatar鑄造總數的 13.5%,而費城老鷹隊的Reddit Avatar鑄造數量是其兩倍,共 413,317 枚。[2023/2/14 12:04:38]
以下是知道創宇區塊鏈安全實驗室對9月各類型安全資訊的總結,并就其暴露出的問題進行探討。
DeFi安全類型事件
9月2日,隱私項目ShadowFi遭遇黑客攻擊,其官方TokenSDF下跌98.5%。攻擊者利用SDF的漏洞允許任何人燒毀Token,獲利約1078枚BNB,目前被盜資金已被轉入TornadoCash。
9月4日,RugPullFinder最新推出的NFT項目「BadGuys」在免費鑄造期間遭到漏洞利用攻擊,兩名用戶利用其NFT合約漏洞鑄造了450枚NFT,而不是按照最初設定的每個錢包僅能分配1枚NFT。這次漏洞是因為「mint」函數缺少所需的安全檢查導致,該團隊已在社交媒體上做出道歉并稱將支付2.5ETH賞金來回購多鑄造的NFT。
Bitfinex今日宣布開放Harmony(ONE)交易:金色財經報道,加密平臺Bitfinex發布公告稱,經過近一年的等待,Harmony(ONE)交易現已開放,用戶可以選擇用美元或者USDT進行交易。此前消息,Harmony (ONE) 存款于2022年2月12日開放。[2023/2/1 11:41:38]
9月4日,BNBChain上聚合DAO社區DAOOfficials疑似被攻擊,此外鏈上數據顯示攻擊者或獲利逾50萬美元。
9月7日,攻擊者通過AVAX閃電貸攻擊獲利約37萬USDC。攻擊者可能影響的協議包括NereusFinance、TraderJoe、CurveFinance。
9月8日,BNBChian鏈上NewFreeDao項目遭到閃電貸攻擊,NFD價格下跌超99%,損失4500枚BNB
9月18日,攻擊者首先在ETH主網上通過omniBridge轉移WETH,隨后將相同的交易內容在ETHW鏈上進行了重放,獲取了等額的ETHW。目前攻擊者已經轉移了741ETHW到交易所。Beosin安全團隊建議如果項目方合約里面預設了chainID,請先手動將chainId更新,即使項目方決定不支持ETHW,但是由于無法徹底隔絕通過跨鏈橋之間的資產流動,建議都在ETHW鏈上更新。
Ripple在SEC案中獲得主要新市場參與者的支持:金色財經報道,根據CryptoLawUS分享的一條推文,另外兩家大型市場參與者已決定支持Ripple在其針對SEC的訴訟案件中。 Phillip Goldstein和ICAN(投資者選擇倡導者網絡)打算向法院提交一份法庭之友簡報。 Goldstein 是 Bulldog Investors 的聯合創始人。該私募基金主要投資于封閉式基金、小型股運營公司和SPAC。 ICAN 是一家非營利性法律公司,通過擴大市場準入來幫助代表性不足的投資者和商人。[2022/10/19 16:30:11]
9月20日,加密做市商Wintermute因私鑰泄露被黑客攻擊損失1.6億美元。
騙局安全類型事件
9月16日,GigaChadsDAO項目疑似出現Rugpull,CHAO代幣價格暴跌80%。合約部署者鑄造了大量代幣然后將其出售。
9月26日,在BNBChain上發現搶先交易機器人騙局,其中騙子教用戶如何開發「搶先交易」機器人(Front-runbot)來賺錢,但它提供的合約有一個后門,部署完成后,受害者的所有代幣都會轉移到攻擊者的地址。
網絡釣魚安全類型事件
9月6日,ArtsDAO項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
9月6日,Dictators項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
9月8日,元宇宙平臺TheSandbox項目Instagram賬號被入侵,thesandboxesgame.com是釣魚網站。請用戶不要點擊釣魚網站。
9月12日,AlphaCentauriKid官方Discord服務器收到釣魚郵件攻擊,請不要點擊,鑄造或批準任何交易。
9月14日,BAYC#8941疑似被盜,NFT被轉入0x18e541...D0F4地址,被標記為釣魚地址。
9月14日,ID為@FreddyAdu的經過認證的推特賬號遭到黑客攻擊,攻擊者將其偽造為LooksRare推特并發布虛假空投網站信息,目前仍未恢復。
9月18日,AlterEgoHunters官方表示其Discord遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
9月18日,Dystians的Discord遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
9月18日,NFT項目pump?kin發推稱,Discord服務器和Discord管理賬戶遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
9月20日,印度加密交易平臺CoinDCXTwitter帳號疑似被入侵,并發布欺詐性鏈接。
9月22日,SuspiciousUnicornSociety項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
9月28日,SOLDecoder項目Discord服務器遭攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
其他安全事件類型
9月2日,去中心化流動性協議KyberNetwork在推特上披露,該協議因前端漏洞利用導致其用戶損失26.5萬美元資金。該漏洞源于KyberSwap網站中的惡意GoogleTagManager代碼,攻擊者的目標是鯨魚錢包,通過插入虛假批準獲得了轉移用戶資金的權限。
9月9日,零知識證明研發機構StarkWare發推稱,其擴容引擎StarkExV4.5被VladBochok和IhorBarenblat指出存在漏洞,在運營者控制的條件下,該漏洞可使用戶能夠從一個凍結系統的Vault中雙花。不過,目前該漏洞已被修復。
9月18日,通過Profanity創建的某些以太坊地址存在嚴重漏洞,黑客利用Profanity漏洞獲利330萬美元。
9月20日,加密貨幣投資服務銀行Revolut已經證實,它受到了一次高度針對性的網絡攻擊,黑客可以訪問數萬名客戶的個人詳細信息。
9月26日,0x9731F開頭地址從使用Profanity工具生成的以太坊靚號地址中竊取95萬美元的加密貨幣,攻擊者已將將732枚以太坊轉移至混幣器。
總結
從Defi的角度來看,所涉及的安全事件中,閃電貸攻擊和重入攻擊仍舊最為常見,所以說合約的審計是非常有比較的。而加密做市商Wintermute安全事件提醒我們私鑰的重要性,一定要保護好自己的私鑰,所以在合約本身的安全之外,我們也需要關注合規性安全。知道創宇區塊鏈安全實驗室在此提醒,對合約安全有必要做到常規審計和復合審計,保障合約免受其他攻擊影響,同時高度重視函數權限問題,以防止高權限函數被任意調用。
從網絡釣魚以及騙局跑路角度來看,跑路騙局在本月有所下降,但仍然不可放松警惕,需要時時刻刻對項目及項目方進行細致的考察;而網絡釣魚逐月增加,可以看出攻擊者認為網絡釣魚更容易欺騙到用戶從而獲利,作為用戶要多加小心,不可隨意信任他人而點擊相關內容。
山河遠闊,國泰民安,祝福雖晚但心意不晚,祖國生日快樂!
Tags:SCOORDCORDETHWrapped CrescoFinprimordialplanetcoinCordiumTether EUR
我們非常高興地宣布,Chainlinkbeta版權益質押機制計劃于2022年12月6日美國東部時間中午12點在以太坊主網上線.
1900/1/1 0:00:00在展開對OptimismRollup和ZKRollup的對比分析之前,我們需要先了解Rollup的誕生背景.
1900/1/1 0:00:00據最新消息,頂級加密數據研究機構Messari于日前發布了USDD第三季度調研報告。報告顯示,第三季度,持有USDD的錢包數量增長5倍,USDD累計交易量超62億美金.
1900/1/1 0:00:00BitfinexAlpha|比特幣是否正被囤積?你現在不應該對美聯儲的想法有任何疑問。聯儲主席杰羅姆·鮑威爾在杰克遜霍爾年度研討會的主題演講中明確表示:加息將持續到至少達到美聯儲2%的目標通脹率.
1900/1/1 0:00:00本推薦列表可能是一個活的信息來源,每個信息源都會以一定頻率更新,適合剛入門web3的小伙伴,挑選1、2個你欣賞其策展邏輯和水平的信息源,深入探索。這遠比在推特亂撞更適合web3入門學習.
1900/1/1 0:00:00區塊鏈行業目前有無數的Layer-1項目,包括比特幣、以太坊、BNBChain、Polygon、Solana、Avalanche、Near、Fantom、Tron.
1900/1/1 0:00:00