NFT:创宇区块链5月安全月报-ODAILY

前言

五月以来，币价虽然在不断下滑然而发生的安全事件的数量却在显著攀升，据知道创宇区块链安全实验室数据显示：该月发生的安全事件超37起，其中跑路局和网络钓鱼事件频发，而Terra生态的原生算法稳定币UST因资本围猎和债务危机，出现UST严重脱锚事件，导致Luna暴跌，损失高达410亿美元。本月安全事件除Luna外涉及到的安全事件总金额共计约3000万美元。

以下是知道创宇区块链安全实验室对五月各类型安全资讯的总结，并就其暴露出的问题进行探讨。

DeFi安全类型事件

5月5日，Cronos生态DEXMM.Finance遭到前端攻击，黑客利用DNS漏洞从用户那里窃取超过200万美元的CROToken。被盗资金已转入TornadoCash。

5月14日，BNBChain上借贷协议Venus发布LUNA预言机事件补充公告称，UTC时间5月12日09:20左右，Chainlink对LUNA的价格反馈达到价格下限，并被其以0.107美元的价格暂停，而Venus的LUNA市场继续运行，但现货价格继续下跌，4小时后现货价格约为0.01美元时团队发现问题并暂停协议，资金损失缺口约1420万美元。

Alameda曾向FTX高管和关联公司发放41亿美元贷款，SBF获得10亿美元:11月18日消息，根据提交给特拉华州联邦破产法院的文件，Alameda Research向FTX高管和关联公司发放了41亿美元贷款，其中FTX前首席执行官SBF获得了10亿美元，FTX工程总监Nishad Singh获得了5.43亿美元，FTX Digital Markets负责人Ryan Salame获得了5500万美元。而FTX的法律子公司Euclid Way Ltd.和Paper Bird Inc.也获得了23亿美元贷款。

据此前消息，FTX新任首席执行官John J. Ray III对SBF的管理不善行为进行了严厉的谴责。Ray表示，在其职业生涯中，从未见过如此失败的公司控制，以及如此缺乏可信度的财务信息。（CoinDesk）[2022/11/18 13:20:18]

5月16日，BNBChain上项目FeministMetaverse(FM_Token)遭到攻击。攻击者获利1838BNB，约54万美元，之后攻击者将BNB转入tornado.cash。

5月16日，多链DeFi协议FEG遭到攻击，共损失144枚以太坊和3280枚BNB，约130万美元。

Coinbase首席法务官：法律不会迫使矿工或任何其他人监控或审查交易:9月5日消息，Coinbase首席法务官paulgrewal.eth 发推特表示，我认为（美国）法律非常明确：没有任何事情会迫使矿工、质押者或律师中的任何其他人监控或审查交易。

其中法律规定不能与受制裁的个人“交易”，必须“封锁”美国人“拥有”或“控制”的财产，但这并不是指在底层生成区块的方式，矿工或其他人“促进”的只是交易记录。[2022/9/5 13:08:58]

5月17日，多链DeFi协议FEG再次受到攻击，损失约190万美元。

5月21日，bDollar项目遭到价格操控攻击，攻击者获利2381WBNB。

5月24日，hackerDao项目遭到价格操控攻击，攻击者实施了两次攻击，总计获利约200BNB，已经转至Tornado.cash。

5月25日，以太坊上MVEbot疑似遭到攻击，损失8.18个ETH，约15971.72美元。

5月29日，在Terra新链启动后，LUNC的预言机价格达到5美元，而实际价格远低于5美元，Anchor平台一名用户注意到该漏洞，存入大约2000万个LidoBondedLunaToken，并成功借出4000万UST，最终提取并获利约80万美元。

GameStop的NFT市场未经允许销售独立游戏遭痛斥:8月6日消息，GameStop新推出的NFT市场中惊现未经授权的独立游戏，开发者对这一行径表示非常不满。根据媒体报道，NiFTy Arcade合集产品的作者Nathan Ello将《Worm Nom Nom》、《Galactic Wars》和《Rogue Fleet》等游戏加入合集，其中至少前两款游戏的作者并未首肯。

Ello表示他只会试着将准许用于商业用途的开源游戏加入到他的NFT合集中，但显然他事前准备的功课不足。《Worm Nom Nom》的创作版权信息就放在itch.io的页面中，其引擎PICO-8也需要用户先得到创作者的认证之后方可使用。

遇阻之后，Ello提出将7月15日以来NFT全部收入总计5.5万美元全部移交给原开发者，并将NiFTy Arcade从GameStop的NFT市场中下架。但开发者表示这些做法诚意不足，而且为时已晚。《Breakout Hero》的开发者Kyrstian Majewski表示：我的游戏在未经我允许的情况下被拿去卖钱了。即便是有人把卖到的钱拿来还给我，那也是加密货币市场赚来的脏钱。

在解决许可问题之前，Ello不能在GameStop的NFT市场继续生成产品。但还有一个相当严重的问题，那就是已经被他卖掉并上链的游戏，是不能移除的，而且还能拿到其它NFT市场上继续销售。[2022/8/6 12:06:15]

5月30日，DeFi项目Novo疑似遭遇攻击，黑客已将280枚BNB转移至Tornado.cash。

Kava Labs宣布OpenBiSea加入7.5亿美元Kava Rise开发者激励计划:7月23日消息，Kava Labs宣布，OpenBiSea加入7.5亿美元Kava Rise开发者激励计划。OpenBiSea带来了其开放的多链NFT拍卖平台，以解锁Kava上的NFT。[2022/7/23 2:32:45]

局安全类型事件

5月11日，Diaos项目发生RugPull，Diaos价格暴跌，合约所有者利用mint()函数向铸造了100万枚Diaos代币并发送到了另一个账户，随后向其他地址分发代币并通过PancakeSwap出售。

5月16日，TOM项目发生RugPulls，代币下跌了99.94%。目前已经有1200BNB转入了TornadoCash。

5月17日，BSC链上项目TokenALG发生RugPull，价格下跌99.95%，约581.5BNB被转入TornadoCash。

5月18日，JJHDAO项目发生RugPull。其项目代币JJH价格跌副超过94%。

5月24日，KCT代币发生RugPull，代币价格下跌100%，超607枚BNB转入Tornado.Cash。

Layer1区块链Linera完成600万美元种子轮融资，a16z领投:金色财经消息，Layer1区块链Linera宣布完成600万美元种子轮融资，a16z领投，Cygni Capital、Kima Ventures和Tribe Capital等参投。

据悉，Linera创始人兼首席执行官Mathieu Baudet是Meta前员工并曾帮助创建Libra区块链。Linera区块链具有低延迟和线性可扩展性等特性，由分片或单个线程组成，增加了额外的验证器以提高网络效率，使大多数基于帐户的操作能够在几分之一秒内得到确认。（CoinDesk）[2022/6/29 1:37:44]

5月25日，BNBChian上项目DecentraWorld发生RugPull，代币DEWO下跌97%，DecentraWorld社交账户已注销，约3200枚BNB从DecentraWorld合约部署器中被提取。

5月25日，BNBChian上项目Starship发生RugPull，其代币价格几乎归零，约715枚BNB转入TornadoCash。

5月27日，BNBChian上链游项目Pokemoney发生RugPull，导致代币PMY价格下跌99.98%，者共提取了1.18万枚BNB。

5月27日，BNBChain上生态MovetoEarn应用Sport为局，SPORTToken跌幅逾94%。

网络钓鱼安全类型事件

5月9日，有数十个YouTube频道通过剪辑马斯克和杰克多尔西和ArkInvest的旧视频进行，者在这些视频中加入其虚假加密信息，包括指向欺诈性加密赠品网站的链接，有数百万美元被盗。

5月18日，美国演员SethGreen遭遇钓鱼攻击，致4个NFT被盗，钓鱼者地址已将NFT全部售出，获利近160枚ETH。

5月18日，CyberConnect、Moonbirds、PROOF、Memeland、RTFKT官方Discord均遭遇黑客攻击，并在Discord中放出钓鱼链接。

5月20日，FlareCommunity在推特上提醒用户警惕FLR预售相关网络钓鱼。目前已发现96个FlareNetwork的冒名虚假网站以Discord用户为目标，发布FlareNetwork进行FLR预售的虚假信息及钓鱼链接。

5月22日，数字艺术家Beeple的推特账号遭到黑客攻击，并被攻击者用于推广网络钓鱼局，Beeple推特账号发布的推文中包含路易威登NFT合作抽奖的虚假钓鱼链接。子还使用该账号发布其他虚假NFT系列的钓鱼链接。

5月23日，NFT项目APIENS的Discord遭遇攻击，130枚NFT已被转移，包括24枚Apiens及1枚ENS。

5月23日，NFT项目TheFracture的Discord遭遇攻击，攻击者已获利455枚SOL。

5月25日，推特用户@CirrusNFT的推文显示，29个MoonbirdsNFT在一次黑客攻击中被盗，损失金额达150万美元。

5月25日，NFT稀有度排名工具TraitSniper的Discord遭到黑客攻击，59枚NFT已被转移到0x3E8Da开头的地址，其中包括3枚Otherdeed、1枚CloneX、2枚RTFKT-MNLTH、1枚adidasoriginals等NFT。

5月26日，知道创宇区块链安全实验室监测显示，goblintown-claimswtf是一个钓鱼网站。该网站引诱用户连接钱包以盗取NFT，并且这个钓鱼网站看起来与官方网站几乎完全相同。

5月27日，知道创宇区块链安全实验室监测显示，zed-run.info是一个网络钓鱼站点，它可能会窃取用户的私钥。

5月27日，知道创宇区块链安全实验室监测显示，gunslingersnftorg是一个钓鱼网站链接，GunslingersNFTDiscord可能遭到了攻击。

公链安全事件类型

5月10日，Terra生态的原生算法稳定币UST因资本围猎和债务危机，出现UST严重脱锚事件，导致Luna价格暴跌，损失高达400亿美元。

其他安全事件类型

5月24日，以太坊二层扩容网络Optimism公布空投最新进展，表示将移除17101个女巫攻击者地址的空投资格。上述地址的超1400万枚OPToken原定空投，将按比例重新分配给在Airdrop#1中其余有资格的用户。

5月26日，知道创宇区块链安全实验室检测到者将WrappedLUNA2.0发送到TerraDeployer地址，并空投至VitalikButerin等相关地址，企图伪装成官方TerraDeployer空投。

5月29日，跨链桥HopProtocol在Discord中表示，由于提交地址表单的漏洞，去中心化应用平台Authereum的用户需在6月2日前重新提交空投领取地址的表单，如果错过，也可以在Token上线后的6个月内通过治理提案申领Token。

5月30日，MetaMaskDAO为蜜罐局，MetaMaskDAO合约地址发行了大量代币，并将它们发送到加密影响者和加密交易所的地址，如V神(VitalikButerin)、NBA著名球星StephenCurry、币安及Bithumb交易所。

5月30日，Moonbirds发布安全公告称Nesting合约存在安全问题。该安全问题出现在OpenSea或者LooksRare等NFT交易平台，当用户在平台进行挂单售卖时，卖家不能仅通过执行nesting函数禁止NFT的售卖，而是需要下架交易平台中相关的NFT售卖订单，因为不这样做的话，在某个特定场景下买家将会绕过Moonbirds在nesting时不能交易的限制。

总结

从Defi安全形势来看，本月安全事件中，闪电贷攻击和预?机操控成为常客，越来越多的攻击手法呈现普遍化，技术上趋向于成熟。同时出现了多例非预期事件如Venus的ChinaLink预言机事故，Terra生态也因各方原因导致崩盘。知道创宇区块链安全实验室在此提醒，对合约安全有必要做到常规审计和复合审计，保障合约免受其他攻击影响，同时高度重视授权问题，对于授权要有明确的时间限制。

从网络钓鱼以及局跑路频发来看，区块链用户极容易被，对此用户需要学习区块链基础并提高自身安全意识，在理解区块链基础上辨别项目真伪，对于陌生链接以及不合理请求不要乱点，名人相关的视频或图片也要进行相关求证，只有这样做才能保障自身财产安全。

标签：NFTBNB区块链LUNNFTM币bnb怎么购买区块链域名成交LUNES

币安币热门资讯