前言
五月以来,币价虽然在不断下滑然而发生的安全事件的数量却在显著攀升,据知道创宇区块链安全实验室数据显示:该月发生的安全事件超37起,其中跑路局和网络钓鱼事件频发,而Terra生态的原生算法稳定币UST因资本围猎和债务危机,出现UST严重脱锚事件,导致Luna暴跌,损失高达410亿美元。本月安全事件除Luna外涉及到的安全事件总金额共计约3000万美元。
以下是知道创宇区块链安全实验室对五月各类型安全资讯的总结,并就其暴露出的问题进行探讨。
DeFi安全类型事件
5月5日,Cronos生态DEXMM.Finance遭到前端攻击,黑客利用DNS漏洞从用户那里窃取超过200万美元的CROToken。被盗资金已转入TornadoCash。
5月14日,BNBChain上借贷协议Venus发布LUNA预言机事件补充公告称,UTC时间5月12日09:20左右,Chainlink对LUNA的价格反馈达到价格下限,并被其以0.107美元的价格暂停,而Venus的LUNA市场继续运行,但现货价格继续下跌,4小时后现货价格约为0.01美元时团队发现问题并暂停协议,资金损失缺口约1420万美元。
Alameda曾向FTX高管和关联公司发放41亿美元贷款,SBF获得10亿美元:11月18日消息,根据提交给特拉华州联邦破产法院的文件,Alameda Research向FTX高管和关联公司发放了41亿美元贷款,其中FTX前首席执行官SBF获得了10亿美元,FTX工程总监Nishad Singh获得了5.43亿美元,FTX Digital Markets负责人Ryan Salame获得了5500万美元。而FTX的法律子公司Euclid Way Ltd.和Paper Bird Inc.也获得了23亿美元贷款。
据此前消息,FTX新任首席执行官John J. Ray III对SBF的管理不善行为进行了严厉的谴责。Ray表示,在其职业生涯中,从未见过如此失败的公司控制,以及如此缺乏可信度的财务信息。(CoinDesk)[2022/11/18 13:20:18]
5月16日,BNBChain上项目FeministMetaverse(FM_Token)遭到攻击。攻击者获利1838BNB,约54万美元,之后攻击者将BNB转入tornado.cash。
5月16日,多链DeFi协议FEG遭到攻击,共损失144枚以太坊和3280枚BNB,约130万美元。
Coinbase首席法务官:法律不会迫使矿工或任何其他人监控或审查交易:9月5日消息,Coinbase首席法务官paulgrewal.eth 发推特表示,我认为(美国)法律非常明确:没有任何事情会迫使矿工、质押者或律师中的任何其他人监控或审查交易。
其中法律规定不能与受制裁的个人“交易”,必须“封锁”美国人“拥有”或“控制”的财产,但这并不是指在底层生成区块的方式,矿工或其他人“促进”的只是交易记录。[2022/9/5 13:08:58]
5月17日,多链DeFi协议FEG再次受到攻击,损失约190万美元。
5月21日,bDollar项目遭到价格操控攻击,攻击者获利2381WBNB。
5月24日,hackerDao项目遭到价格操控攻击,攻击者实施了两次攻击,总计获利约200BNB,已经转至Tornado.cash。
5月25日,以太坊上MVEbot疑似遭到攻击,损失8.18个ETH,约15971.72美元。
5月29日,在Terra新链启动后,LUNC的预言机价格达到5美元,而实际价格远低于5美元,Anchor平台一名用户注意到该漏洞,存入大约2000万个LidoBondedLunaToken,并成功借出4000万UST,最终提取并获利约80万美元。
GameStop的NFT市场未经允许销售独立游戏遭痛斥:8月6日消息,GameStop新推出的NFT市场中惊现未经授权的独立游戏,开发者对这一行径表示非常不满。根据媒体报道,NiFTy Arcade合集产品的作者Nathan Ello将《Worm Nom Nom》、《Galactic Wars》和《Rogue Fleet》等游戏加入合集,其中至少前两款游戏的作者并未首肯。
Ello表示他只会试着将准许用于商业用途的开源游戏加入到他的NFT合集中,但显然他事前准备的功课不足。《Worm Nom Nom》的创作版权信息就放在itch.io的页面中,其引擎PICO-8也需要用户先得到创作者的认证之后方可使用。
遇阻之后,Ello提出将7月15日以来NFT全部收入总计5.5万美元全部移交给原开发者,并将NiFTy Arcade从GameStop的NFT市场中下架。但开发者表示这些做法诚意不足,而且为时已晚。《Breakout Hero》的开发者Kyrstian Majewski表示:我的游戏在未经我允许的情况下被拿去卖钱了。即便是有人把卖到的钱拿来还给我,那也是加密货币市场赚来的脏钱。
在解决许可问题之前,Ello不能在GameStop的NFT市场继续生成产品。但还有一个相当严重的问题,那就是已经被他卖掉并上链的游戏,是不能移除的,而且还能拿到其它NFT市场上继续销售。[2022/8/6 12:06:15]
5月30日,DeFi项目Novo疑似遭遇攻击,黑客已将280枚BNB转移至Tornado.cash。
Kava Labs宣布OpenBiSea加入7.5亿美元Kava Rise开发者激励计划:7月23日消息,Kava Labs宣布,OpenBiSea加入7.5亿美元Kava Rise开发者激励计划。OpenBiSea带来了其开放的多链NFT拍卖平台,以解锁Kava上的NFT。[2022/7/23 2:32:45]
局安全类型事件
5月11日,Diaos项目发生RugPull,Diaos价格暴跌,合约所有者利用mint()函数向铸造了100万枚Diaos代币并发送到了另一个账户,随后向其他地址分发代币并通过PancakeSwap出售。
5月16日,TOM项目发生RugPulls,代币下跌了99.94%。目前已经有1200BNB转入了TornadoCash。
5月17日,BSC链上项目TokenALG发生RugPull,价格下跌99.95%,约581.5BNB被转入TornadoCash。
5月18日,JJHDAO项目发生RugPull。其项目代币JJH价格跌副超过94%。
5月24日,KCT代币发生RugPull,代币价格下跌100%,超607枚BNB转入Tornado.Cash。
Layer1区块链Linera完成600万美元种子轮融资,a16z领投:金色财经消息,Layer1区块链Linera宣布完成600万美元种子轮融资,a16z领投,Cygni Capital、Kima Ventures和Tribe Capital等参投。
据悉,Linera创始人兼首席执行官Mathieu Baudet是Meta前员工并曾帮助创建Libra区块链。Linera区块链具有低延迟和线性可扩展性等特性,由分片或单个线程组成,增加了额外的验证器以提高网络效率,使大多数基于帐户的操作能够在几分之一秒内得到确认。(CoinDesk)[2022/6/29 1:37:44]
5月25日,BNBChian上项目DecentraWorld发生RugPull,代币DEWO下跌97%,DecentraWorld社交账户已注销,约3200枚BNB从DecentraWorld合约部署器中被提取。
5月25日,BNBChian上项目Starship发生RugPull,其代币价格几乎归零,约715枚BNB转入TornadoCash。
5月27日,BNBChian上链游项目Pokemoney发生RugPull,导致代币PMY价格下跌99.98%,者共提取了1.18万枚BNB。
5月27日,BNBChain上生态MovetoEarn应用Sport为局,SPORTToken跌幅逾94%。
网络钓鱼安全类型事件
5月9日,有数十个YouTube频道通过剪辑马斯克和杰克多尔西和ArkInvest的旧视频进行,者在这些视频中加入其虚假加密信息,包括指向欺诈性加密赠品网站的链接,有数百万美元被盗。
5月18日,美国演员SethGreen遭遇钓鱼攻击,致4个NFT被盗,钓鱼者地址已将NFT全部售出,获利近160枚ETH。
5月18日,CyberConnect、Moonbirds、PROOF、Memeland、RTFKT官方Discord均遭遇黑客攻击,并在Discord中放出钓鱼链接。
5月20日,FlareCommunity在推特上提醒用户警惕FLR预售相关网络钓鱼。目前已发现96个FlareNetwork的冒名虚假网站以Discord用户为目标,发布FlareNetwork进行FLR预售的虚假信息及钓鱼链接。
5月22日,数字艺术家Beeple的推特账号遭到黑客攻击,并被攻击者用于推广网络钓鱼局,Beeple推特账号发布的推文中包含路易威登NFT合作抽奖的虚假钓鱼链接。子还使用该账号发布其他虚假NFT系列的钓鱼链接。
5月23日,NFT项目APIENS的Discord遭遇攻击,130枚NFT已被转移,包括24枚Apiens及1枚ENS。
5月23日,NFT项目TheFracture的Discord遭遇攻击,攻击者已获利455枚SOL。
5月25日,推特用户@CirrusNFT的推文显示,29个MoonbirdsNFT在一次黑客攻击中被盗,损失金额达150万美元。
5月25日,NFT稀有度排名工具TraitSniper的Discord遭到黑客攻击,59枚NFT已被转移到0x3E8Da开头的地址,其中包括3枚Otherdeed、1枚CloneX、2枚RTFKT-MNLTH、1枚adidasoriginals等NFT。
5月26日,知道创宇区块链安全实验室监测显示,goblintown-claimswtf是一个钓鱼网站。该网站引诱用户连接钱包以盗取NFT,并且这个钓鱼网站看起来与官方网站几乎完全相同。
5月27日,知道创宇区块链安全实验室监测显示,zed-run.info是一个网络钓鱼站点,它可能会窃取用户的私钥。
5月27日,知道创宇区块链安全实验室监测显示,gunslingersnftorg是一个钓鱼网站链接,GunslingersNFTDiscord可能遭到了攻击。
公链安全事件类型
5月10日,Terra生态的原生算法稳定币UST因资本围猎和债务危机,出现UST严重脱锚事件,导致Luna价格暴跌,损失高达400亿美元。
其他安全事件类型
5月24日,以太坊二层扩容网络Optimism公布空投最新进展,表示将移除17101个女巫攻击者地址的空投资格。上述地址的超1400万枚OPToken原定空投,将按比例重新分配给在Airdrop#1中其余有资格的用户。
5月26日,知道创宇区块链安全实验室检测到者将WrappedLUNA2.0发送到TerraDeployer地址,并空投至VitalikButerin等相关地址,企图伪装成官方TerraDeployer空投。
5月29日,跨链桥HopProtocol在Discord中表示,由于提交地址表单的漏洞,去中心化应用平台Authereum的用户需在6月2日前重新提交空投领取地址的表单,如果错过,也可以在Token上线后的6个月内通过治理提案申领Token。
5月30日,MetaMaskDAO为蜜罐局,MetaMaskDAO合约地址发行了大量代币,并将它们发送到加密影响者和加密交易所的地址,如V神(VitalikButerin)、NBA著名球星StephenCurry、币安及Bithumb交易所。
5月30日,Moonbirds发布安全公告称Nesting合约存在安全问题。该安全问题出现在OpenSea或者LooksRare等NFT交易平台,当用户在平台进行挂单售卖时,卖家不能仅通过执行nesting函数禁止NFT的售卖,而是需要下架交易平台中相关的NFT售卖订单,因为不这样做的话,在某个特定场景下买家将会绕过Moonbirds在nesting时不能交易的限制。
总结
从Defi安全形势来看,本月安全事件中,闪电贷攻击和预?机操控成为常客,越来越多的攻击手法呈现普遍化,技术上趋向于成熟。同时出现了多例非预期事件如Venus的ChinaLink预言机事故,Terra生态也因各方原因导致崩盘。知道创宇区块链安全实验室在此提醒,对合约安全有必要做到常规审计和复合审计,保障合约免受其他攻击影响,同时高度重视授权问题,对于授权要有明确的时间限制。
从网络钓鱼以及局跑路频发来看,区块链用户极容易被,对此用户需要学习区块链基础并提高自身安全意识,在理解区块链基础上辨别项目真伪,对于陌生链接以及不合理请求不要乱点,名人相关的视频或图片也要进行相关求证,只有这样做才能保障自身财产安全。
5月30日,据区块链浏览器TRONSCAN数据,波场TRON账户总数达到95,247,210,正式突破9500万。 主网作为公链生态最重要的底层基础设施,其性能的优越与否决定了公链生态的发展.
1900/1/1 0:00:00据官方数据,截至6月6日,波场去中心化超抵押稳定币USDD实时抵押率超过226%。 多种主流加密货币的超额抵押保证了USDD的稳定性和安全性.
1900/1/1 0:00:00区块链是独立于现实世界运行的系统。加密世界的数据在链上产生,也在链上继续被使用。链外世界的数据无法直接传递到区块链上.
1900/1/1 0:00:00北京时间2022年7月15日21点,CertiK动态扫描监测系统Skynet天网监测到若干导致TIGER代币价格下跌的可疑交易.
1900/1/1 0:00:00BitfinexHoney3.29BitfinexHoney让算法交易更容易为每个人从任何地方。使用BitfinexHoney,用户只需安装可下载版本,就可以改善他们的交易策略.
1900/1/1 0:00:008月28日,CryptoDep发布“过去7日访问次数最多的代币”榜单,TRX高居第三。 作为全球增速最快的公链,依托高吞吐量、可扩展性、高可靠性三大底层区块链优势,波场TRON在NFT、DeFi.
1900/1/1 0:00:00