NFT:创宇区块链7月安全月报-ODAILY

前言

七月随着币价的回升，安全事件也变的频繁发生，攻击者在本月也是“火力全开”，从各个方面进行攻击。据知道创宇区块链安全实验室数据显示：该月发生的安全事件超43起，其中跑路局和钓鱼造成的单个损失也愈发严重，代表事件为UniswapV3钓鱼攻击和DRACNetwork的RugPull，而月初DeFi协议CremaFinance被攻击造成的损失尤为惨重。本月安全事件造成的损失总金额共计约29,000,000美元。

通过对本月各类型安全事件的数量和占比分析，不难发现网络钓鱼安全事件仍然占比最多。再次提醒大家要对网络钓鱼提高警惕，可借助一些工具来减少被钓鱼的风险，如：FishAlert插件，可减少被钓鱼风险。

本月安全事件对比6月数量虽然略有下降，但整体局势仍处在安全事件高发期。再此提醒大家，对于安全应持续提高安全意识，保持对安全问题的敏锐性。

以下是知道创宇区块链安全实验室对七月各类型安全资讯的总结，并就其暴露出的问题进行探讨。

DeFi安全类型事件

?7月3日，Solana生态流动性协议CremaFinance遭黑客攻击中损失超600万美元，黑客使用Solend闪电贷耗尽资金池。

Abracadabra发起提案，拟对CRV抵押借贷进行利率调整:8月2日消息，算法 Stablecoin MIM 发行方 Abracadabra 社区发布新提案，拟对 CRV cauldrons 进行利率调整。提案指出，鉴于协议当前面临较大的 CRV 风险敞口，提议将抵押品基准（collateral-based）利率应用于两个 CRV cauldrons。由此，CRV 抵押品的利率将包含一个基准利率，该基准利率取决于两个 CRV cauldrons 未偿还本金之和。而实际利率将由基准利率和利率乘数结合产生。利率乘数则取决于 cauldrons 的抵押比率。

该提议的效果是，所有利息将直接从 cauldrons 的抵押品中扣除，并立即转移到协议的金库中，以增加 DAO 的储备系数，进而降低与 CRV 相关流动性条件相关的 DAO 风险。[2023/8/2 16:13:36]

?7月7日，ProjectX项目PXT代币价格下跌，官方称价格下降是由于黑客攻击造成的。攻击者获利约1.9万美元。

?7月10日，去中心化NFT金融化协议OmniX遭到攻击，攻击者利用ERC721的重入了清算函数。损失超100万美元。

?7月11日，DeFi平台ParallelFinance遭到重入攻击，导致了约200万美元的损失。

?7月12日，质押挖矿项目遭到黑客攻击，攻击者利用合约中updateBalance函数的加法溢出漏洞，修改攻击账户的质押量，总计获利约为11万美元。

?7月12日，多链NFT协议CitizenFinance被攻击，CIFI代币价格已下跌逾50%，244枚BNB和5.76万枚MATIC被盗。

Uniswap社区发起将V3部署至Fantom提案的温度检查投票:5月25日消息，Snapshot投票页面显示，Uniswap社区正对将Uniswap V3部署至Fantom提案进行温度检查投票，目前支持率为100%，投票将于5月31日结束。

该提案旨在使用跨链互操作性协议Axelar将Uniswap部署在Fantom链上，这一战略举措将利用当前的市场机会并加强Uniswap在DeFi领域的地位。链上投票完成后，Axelar将负责 Fantom上的Uniswap V3智能合约部署，而Uniswap Labs负责前端集成。这估计需要大约4-6周的审核时间。[2023/5/25 10:39:33]

?7月14日，BNBChain上项目SpaceGodzilla遭到了黑客的闪电贷攻击。黑客通过闪电贷借取大量资金并在Pancake上操纵交易池中SpaceGodzilla的价格，攻击共获利25,378.78BUSD。

?7月24日，Web3音乐流媒体服务平台Audius社区金库被利用，损失1850万枚AUDIOToken，黑客将资金在Uniswap兑换为705枚ETH，共获利约11万美元。

?7月25日，LPC项目遭受闪电贷攻击，由于_transfer函数中未更新账本余额，而是直接在原接收者余额recipientBalance值上进行修改，导致攻击者余额增加。攻击者共获利178BNB，约为45715美元。

?7月28日，基于Solana的去中心化算法稳定币协议Nirvana遭到闪电贷攻击，其稳定币NIRV价格从1美元一度跌至0.09美元，最大跌幅超过90%，攻击者共获利3,490,563.69USDT，21,902.48USDC及393,230.32ANA代币，价值约357万美元。

模块化区块链项目Avail脱离Polygon，将由联创Anurag Arjun接管:3月16日消息，模块化区块链项目Avail将完全从Polygon脱离，此外，Polygon联合创始人Anurag Arjun将离职不并接管Avail。Polygon于2020年底启动了Avail项目，并于2021年年中公开推出。Avail发言人表示，Arjun参与开发了该项目，作为分拆的一部分，它现在由Arjun全资拥有的一家公司实体收购。

据悉，Avail是一个模块化的区块链，允许开发人员构建可定制和可扩展的应用程序。Avail解耦了数据可用性层，使链开发人员更容易专注于执行和结算。Avail 目前在测试网上运行，主网将在不久的将来跟进。作为分拆的一部分，Avail将创建一个新的非营利基金会Avail基金会，并最终将治理权移交给社区。[2023/3/17 13:09:03]

?7月3日，Solana生态流动性协议CremaFinance遭黑客攻击中损失超600万美元，黑客使用Solend闪电贷耗尽资金池。

?7月7日，ProjectX项目PXT代币价格下跌，官方称价格下降是由于黑客攻击造成的。攻击者获利约1.9万美元。

?7月10日，去中心化NFT金融化协议OmniX遭到攻击，攻击者利用ERC721的重入了清算函数。损失超100万美元。

?7月11日，DeFi平台ParallelFinance遭到重入攻击，导致了约200万美元的损失。

?7月12日，质押挖矿项目遭到黑客攻击，攻击者利用合约中updateBalance函数的加法溢出漏洞，修改攻击账户的质押量，总计获利约为11万美元。

Clear前CTO担任Anchorage Digital工程负责人:10月10日消息，Anchorage Digital已聘请科技公司Clear前首席技术官CJ Jouhal担任工程负责人，将专注于扩大团队规模并确保其产品的安全性。

Anchorage一位发言人告诉表示，公司今年试图将其工程团队规模扩大两倍。到目前为止，公司已在2022年将该部门的员工人数增加一倍。（Blockworks）[2022/10/11 10:30:16]

?7月12日，多链NFT协议CitizenFinance被攻击，CIFI代币价格已下跌逾50%，244枚BNB和5.76万枚MATIC被盗。

?7月14日，BNBChain上项目SpaceGodzilla遭到了黑客的闪电贷攻击。黑客通过闪电贷借取大量资金并在Pancake上操纵交易池中SpaceGodzilla的价格，攻击共获利25,378.78BUSD。

?7月24日，Web3音乐流媒体服务平台Audius社区金库被利用，损失1850万枚AUDIOToken，黑客将资金在Uniswap兑换为705枚ETH，共获利约11万美元。

?7月25日，LPC项目遭受闪电贷攻击，由于_transfer函数中未更新账本余额，而是直接在原接收者余额recipientBalance值上进行修改，导致攻击者余额增加。攻击者共获利178BNB，约为45715美元。

?7月28日，基于Solana的去中心化算法稳定币协议Nirvana遭到闪电贷攻击，其稳定币NIRV价格从1美元一度跌至0.09美元，最大跌幅超过90%，攻击者共获利3,490,563.69USDT，21,902.48USDC及393,230.32ANA代币，价值约357万美元。

链游League of Kingdoms与BreederDAO建立合作伙伴关系，将共同打造Drago NFT:7月26消息，League of Kingdoms宣布与BreederDAO建立合作伙伴关系，BreederDAO将为League of Kingdoms即将到来的Drago NFT提供支持。

据悉，League of Kingdoms是一款以建立王国和统治世界为中心的大型多人战略游戏，此前完成300万美元的种子轮融资，a16z、Sequoia、Hashed等参投。BreederDAO与20多个游戏和300个公会合作，是培育NFT角色和游戏项目的专家。[2022/7/26 2:38:07]

局安全类型事件

?7月4日，分布式节点基础设施项目Nody(NODY)发生RugPull，当前NODYToken价格下跌93%。

?7月6日，BNBChain项目BabyDAO发生RugPull，代币下跌99.9%，约773枚BNB被转移至TornadoCash。

?7月20日，RacKiller发生RugPull，代币价格下跌超70%。

?7月20日，NumberSwap发生RugPull，代币价格下跌超96%。

?7月20日，Neoteric.finance发生RugPull，其NTRC代币价格下跌超91.6%。目前的报告显示损失约为10万美元。

?7月20日，AngelsToMiracles项目发生RugPull，ATM代币价格下跌46%，有1943.3枚BNB转移至TornadoCash，损失约53万美元。

?7月20日，ORCHID项目发生RugPull，ORCHID代币价格下跌超96.4%，目前的报告显示损失约为5万美元。

?7月25日，DeFi项目DRACNetwork发生RugPull，代币TEDDY价格下跌99.4%，1万枚BNB和200万枚BUSD转入币安。损失约为450万美元。

?7月26日，SKG代币项目RugPull，价格下跌超过80%。超过10万枚SKG被出售，资产利润超过7万美元。

?7月27日，LarpFinance项目发生RugPull，LARP代币跌幅超过80%。合约部署者出售了最初铸造的LARP代币并获利2.8万美元。

?7月29日，secondunclecoin二舅币池发生Rugpull，合约部署者已通过TornadoCash清洗赃款，截至目前代币SUC价格已下跌99.7%。据统计，本次事件的利润总额高达130万美元。

网络钓鱼安全类型事件

?7月6日，NFT项目SpikySpaceFish的Discord服务器遭黑客攻击，请用户不要点击任何链接，且不要参与铸造或批准任何交易。

?7月6日，Otherside官方推特帐号疑似被盗，其个人资料已更改为展示OthersideMetaNFT图像并推销局。

?7月9日消息，NFT项目DopeApeClub的Discord服务器遭到攻击。聊天被锁定，攻击者发布了一个钓鱼链接。请社区用户不要点击链接、铸造或批准任何交易。

?7月12日，黑客通过钓鱼攻击在UniswapV3上窃取7500ETH，协议本身并无安全问题。

?7月14日，NFT项目AzukiArt的Discord服务器遭到了黑客攻击，请用户不要点击链接、铸造或批准任何交易。

?7月15日，NFT项目LonelyAlienSpaceClub的Discord服务器遭到入侵，请用户不要点击链接、铸造或批准任何交易。

?7月16日，P2E元宇宙项目Botborgs的Discord服务器遭到攻击，请用户不要点击链接、铸造或批准任何交易。

?7月17日，NFT管理平台NFTYDash的Discord服务器和Twitter账号遭到攻击，请用户不要点击链接、铸造或批准任何交易。

?7月17日，premint.xyz遭到黑客攻击，黑客在premint.xyz网站中通过植入恶意的JS文件来实施钓鱼攻击，户签名setApprovalForAll(address,bool)的交易，从而盗取用户的NFT等资产。

?7月18日，originals-adidas.com被证实是一个钓鱼网站，19枚ETH和17枚NFT已进入者地址。

?7月19日，NFT项目Maximalist的Discord服务器遭到攻击，攻击者发布了钓鱼链接，请用户不要点击链接、铸造或批准任何交易。

?7月20日，DerpyPunkz的Discord服务器遭到攻击，攻击者发布了钓鱼链接，与此前Maximalist项目攻击者相同，用户不要点击链接、铸造或批准任何交易。

?7月20日，DerpyPunkz的Discord服务器遭到攻击，攻击者发布了钓鱼链接，与此前Maximalist项目攻击者相同，用户不要点击链接、铸造或批准任何交易。

?7月21日，NFT项目TablelandDiscord遭遇攻击，公告板块发布钓鱼链接，团队部分成员已被踢出。请用户不要点击链接、铸造或批准任何交易。

?7月25日，NFT项目NENStudio的Discord服务器遭受攻击。请社区用户不要点击链接、铸造以及批准任何交易。

?7月27日，NFT项目TheAmericansNFT的Discord服务器遭到攻击，攻击者发布了钓鱼链接。请社区用户不要点击、铸造或批准任何交易。

?7月29日，NFT项目OldSport的Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

?7月29日，ApachesNFT项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

?7月29日，DAISUKI项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

其他安全事件类型

?7月4日，英国陆军的官方推特账户和YouTube帐户遭到黑客攻击，并发布了有关加密货币和NFT的帖子。

?7月4日，多名用户加密钱包MetaMask的POAP被盗，建议提醒用户撤销之前与NFT市场Eporio交互的所有POAP批准。

?7月26日，Windows版Coremail邮件客户端存在RCE漏洞，攻击者可通过给用户发送含有恶意程序的邮件从而控制用户主机，可能导致钱包私钥泄露。

总结

从Defi安全形势来看，本月安全事件中闪电贷攻击和重入攻击较为普遍，逻辑漏洞也是频现，项目方对于此类攻击事件应做好提前防护。特别是CremaFinance安全事件提醒我们攻击者能通过闪电贷进行花式攻击，所以对于闪电贷的安全性项目方一定要深思熟虑。知道创宇区块链安全实验室在此提醒，对合约安全有必要做到常规审计和复合审计，保障合约免受其他攻击影响，同时高度重视授权问题，对于授权要有明确的时间限制。

从网络钓鱼以及局跑来看，网络钓鱼和局跑路所造成的损失也在逐月加重，一方面是数量增多，另一方面单个事件造成的金额损失也增多，所以用户在投资之余也要多学习区块链知识和防意识，确保自己的资产不会不翼而飞。

标签：NFTANCSCODISCSODIUM Vault (NFTX)Vlad FinanceSCOTTY价格DISC价格

比特币行情热门资讯