又到了每月安全盤點時刻!據成都鏈安安全輿情監控數據顯示:2022年3月,各類安全事件仍然時有發生,3月發生較典型安全事件超『30』起。
暴露出來的安全風險創下2022開年以來的新高。本月發生的跨鏈橋Ronin攻擊事件可能是DeFi歷史上涉及金額最高的一次攻擊,損失超6億美元。其他DeFi協議也屢遭攻擊,其中閃電貸和合約漏洞利用是黑客最青睞的攻擊手段。另外,本月相關跑路事件也是層出不窮。本月安全事件有所增加,其中釣魚攻擊方式需要重點關注。
DeFi方面?
共發生『13』起典型安全事件
No.1??3月5日,抵押借貸協議BaconProtocol遭受閃電貸攻擊,損失約96萬美元。
No.2??3月10日,算法資產協議FantasmFinance因合約漏洞被攻擊,損失約262萬美元。
LBANK藍貝殼于3月17日20:00上線 ATP(Alaya):據官方公告,3月17日20:00,LBANK藍貝殼創新區上線ATP(Alaya),開放USDT交易,現已開放充值,3月19日17:00開放提現,3月18日17:00開啟ATP 40%的活期持幣生息活動。資料顯示,ATP是Alaya網絡的代幣名稱,總計發行量為1億枚。Alaya是新一代的金融基礎設施的基本雛形與“業務沙盒”。
持幣生息是LBank為用戶提供閑置數字資產增值服務,更有DOT 、USDT、BTC、ETH 等活期理財產品。[2021/3/18 18:56:57]
No.3??3月15日,DeFi協議HundredFinance與Agave遭遇閃電貸攻擊。黑客利用兩個協議中的可重入漏洞竊取了超1,100萬美元。
No.4??3月15日,多鏈衍生品平臺DeusFinance在Fantom遭遇黑客攻擊,損失或超過300萬美元。
庫幣將于3月18日18點上線熱門NFT項目RLY:據庫幣KuCoin交易所消息,庫幣將于3月18日18點上線 Rally (RLY) 項目并支持RLY/USDT交易服務,目前已開啟RLY充值服務。Rally的目標是成為一個去中心化的網絡,以使創作者能夠通過其進行鑄幣并與社區保持一致。以“全民的交易所”著稱,庫幣旨在發掘全球優質區塊鏈項目,為來自207個國家的600萬用戶提供幣幣、法幣、杠桿、合約、礦池、借貸等一站式服務。[2021/3/17 18:53:34]
No.5??3月20日,BNBChain和以太坊上的UmbrellaNetwork獎勵池被抽取,黑客從中獲利70萬美元。
No.6??3月20日,跨鏈DEX聚合協議li.finance遭受call注入攻擊,損失約60萬美元。
No.7??3月22日消息,Fantom生態穩定幣收益優化器OneRing發文表示遭到閃電貸攻擊,黑客竊取逾145萬美元。
Clever DeFi將于3月17日上線Uniswap,并分批增加流動性:Clever DeFi剛剛結束了為期30天的鑄幣階段,將于3月17日上線Uniswap,標志著進入其路線圖的下一個階段。據悉,最初的30天鑄幣階段于UTC時間2021年3月3日12:00結束,用戶花費726,50 ETH鑄造了339,927 CLVA代幣。為了在Uniswap上實現足夠的流動性,Clever協議額外鑄造了152,967 CLVA,相當于現有鑄幣總量的45%。
Clever DeFi將在上線時實施嚴格的流動性計劃,從3月17日開始,前3個周期的計劃如下:
周期1:增加31%流動性;
周期2:增加8%流動性;
周期3:增加6%流動性。
所有新增流動性將在12個月的固定期限內以云安全延時鎖定,無需密鑰訪問。此外,在Uniswap上線之前,將使用整個鑄幣階段所有交易的總和計算得出的平均中值來確定初始上線價格。(Bitcoin.com)[2021/3/14 18:43:44]
No.8??3月23日,Solana鏈上的算法穩定幣CashioDollar遭到黑客攻擊,損失約4800萬美元。
Cardano創始人:網絡將在明年3月完全去中心化:Cardano創始人、IOHK首席執行官Charles Hoskinson在近日舉辦的AMA上宣布將Cardano的“ D”(去中心化)參數降低到0.5。他表示:“這意味著我們即將跨過一個門檻,超過一半的區塊將由社區制造,而不是OBFT節點。這是一個重要的里程碑。”更重要的是,按照目前的發展速度,Hoskinson表示,Cardano網絡將在2021年3月完全去中心化。此時,“D”將等于0,這意味著獨立的權益池運營商將產生100%的區塊。[2020/10/29]
No.9??3月26日,InuSaitama疑似遭遇套利攻擊,共獲利約430個ETH。
No.10??3月29日,期權協議Auctus合約存在漏洞,黑客利用漏洞從未取消授權的用戶中獲利約72萬美元。
No.11??3月30日,AxieInfinity側鏈Ronin遭遇黑客攻擊。攻擊者控制了9個驗證節點中的5個,并使用竊取的私鑰來偽造假提款,最終獲利約6.2億美元。這可能是DeFi歷史上金額最大的一次攻擊。
數據:DEX總交易量在3月創6.68億美元新高:根據Dune Analytics的數據,3月份去中心化交易所(DEX)的總交易量達到了6.68億美元,比2月份的歷史最高水平高出53%。Dune Analytics指出,由于以太坊價格下跌,DEX交易量增加。(The Block)[2020/4/1]
No.12?3月30日,以太坊上DeFi項目BasketDAO的BMIZapper因漏洞遭到攻擊,黑客獲利約120萬美元。
No.13??3月31日,VoltageFinance借貸平臺遭遇攻擊,約400萬美元被盜。
詐騙跑路/加密騙局方面?
共發生『7』起典型安全事件
No.1??安全機構監測到$DAOKing-LuckyDAO為詐騙項目,其管理員已將505枚BNB存入Tornado.cash,并事先進行了虛假的智能合約升級。
No.2??NFT項目NFTflow已跑路,目前其官方社交賬號已注銷。
No.3??NFT項目WW3Apes發生RugPull,目前已注銷其社交媒體賬號。與WW3Apes網站使用同一IP地址的GodZape項目同樣發生RugPull,并轉移了約20枚ETH的資金。
No.4??NFT項目REALSWAK已跑路,其官方社交賬號已注銷。詐騙者已將1300枚BNB轉移至TornadoCash混幣。
No.5??BNBChain上DeFi項目BNBDEFI已跑路,項目已關閉其社交媒體群組,并轉移約255枚BNB。
No.6??安全機構監測顯示,@BinanceNFT_BFT系偽造的BinanceNFT推特賬戶,正在推廣「貔貅盤」騙局。
No.7??BNBChain上項目BuccaneerFi已跑路。目前項目社交媒體賬號以及社群已被刪除,約841枚BNB被已轉入Tornado.Cash。
?NFT/元宇宙方面?
共發生『6』起典型安全事件
No.1??3月13日,BNBChain鏈上的元宇宙金融項目Paraluni遭受黑客攻擊,黑客獲利逾170萬美元。其中約1/3被盜資金已流入龍卷風。
No.2??基于Arbitrum的TreasureDAONFT交易市場被曝發現漏洞,黑客以幾乎零成本的價格獲取了100多個NFT。
No.3??3月14日,NFT項目WizardPass的Discord社區被詐騙者入侵,詐騙者發送假信息以獲得用戶NFT完全訪問權限,造成多枚NFT被盜。
No.4??3月27日,金融NFT項目RevestFinance被攻擊,黑客盜取大量相關代幣并獲利約200萬美元。
No.5??APECoin空投遭受閃電貸攻擊,攻擊者獲利約82萬美元。
No.6??DefianceCapital創始人Arthur熱錢包被盜,60枚價值約69萬美元的NFT在鏈上被轉移。本次盜竊事件或為電子郵件釣魚攻擊。
?其它方面?
共發生『4』起典型安全事件
No.1??ConvexFinance發布博客表示,投票鎖定的CVX合約存在漏洞,用戶存款是安全的,不存在任何風險。
No.2??3月7日消息,韓國一代幣開發商高管因竊取加密貨幣被判入獄5年,因其非法將用業務資金投資的加密貨幣轉移到自己的私人賬戶。
No.3??三名男子因涉嫌4000萬美元的加密貨幣投資欺詐被美國司法部起訴。
No.4??上海破獲一起涉案金額超1億元虛擬貨幣網絡傳銷犯罪案,抓獲犯罪嫌疑人10余名。
?注意??
鑒于當前區塊鏈安全領域的新形勢,『成都鏈安』在此總結:
從總體上看,2022年3月區塊鏈安全事件較2月份大幅上升,攻擊類安全事件被盜總金額超過7億美元。針對層出不窮的攻擊事件,『成都鏈安』也為開發者提供了如下安全建議。
Ronin跨鏈橋被攻擊事件:1.注意簽名服務器的安全性;2.簽名服務在相關業務下線時,應及時更新策略,關閉對應的服務模塊,并且可以考慮棄用對應的簽名賬戶地址;3.多簽驗證時,多簽服務之間應該邏輯隔離,獨立對簽名內容進行驗證;4.項目方應實時監控項目資金異常情況。
RevestFinance被攻擊事件:建議在合約設計時嚴格按照檢查-生效-交互模式設計,并在ERC1155token相關DeFi項目中加入防重入的功能。
Paraluni安全事件:合約開發者在開發過程中進行完整的測試以及第三方審計,并養成使用Openzeppelin庫的ReentrancyGuard合約來進行重入攻擊的防范。
TreasureDAO安全事件:建議開發者在開發多種代幣的銷售販賣合約時,需要根據不同代幣的特性來進行不同情況的業務邏輯設計。
今日,突然曝出有多家數字藏品平臺公眾號被關閉,據元飛船不完全統計,涉及的平臺有ArtMeta元藝數、一點數藏、歸藏元宇宙、畫生Meta、元本空間、神達數藏、OneMeta、零號地球、iBox和諾.
1900/1/1 0:00:00重新思考一個問題:在以社區為本的去中心化元宇宙中,我們應如何更好地建立聲譽機制、認同機制和獎賞機制.
1900/1/1 0:00:00“寄托往往意味著斷送”,莎士比亞《悲慘世界》里的經典之言正是Web2.0時代的寫照。近期,B站“答題領卡兌換大會員”活動被網友指出涉嫌出賣用戶個人隱私,雖然B站回應稱,該頁面系文案措辭不妥引起誤.
1900/1/1 0:00:0012:00-21:00關鍵詞:Bakkt、匯豐、證券型代幣、ProShares1.美國銀行與Bakkt達成合作.
1900/1/1 0:00:00大規模超金融化、反監管和人為稀缺的web3時代真的是馬克思主義的嗎?“我們現在都是凱恩斯主義者.
1900/1/1 0:00:00亞洲最大的專注于DeFi的基金DeFianceCapital的創始人ArthurCheong,在Bankless播客中分享了他如何在短短3年內將6位數的投資組合變成9位數.
1900/1/1 0:00:00