前言
从Defi安全角度来看9月安全事件相较于较8月份已有所下降,但是从整体安全角度来看依然不容乐观,黑客攻击涉及到的损失金额巨大。
知道创宇区块链安全实验室总结了9月发生的各类安全事件,并就攻击手法和暴露出的问题进行了梳理。
9月安全事件盘点
以下是9月发生的各领域的安全事件:
9月4日
NFT赛马项目DeRac针对DAO公共买家在未来解锁领取代币的合约DAOMaker分发系统被攻击。
澳大利亚证交所加密市场关联ETF首日交易额破纪录:11月4日消息,澳大利亚证交所(ASX)首只加密市场关联ETF BetaShares Crypto Innovators ETF(ASX:CRYP)于周四上午10点30分开始交易,15分钟后,交易额已达800万美元,到下午1点达到2800万美元。这创下了在ASX上市的ETF首日交易额的记录,此前的记录为Hyperion今年3月创下的800万美元。该ETF的推出是ASX首次涉足与加密市场相关的投资产品。它不直接投资于加密货币或数字资产,而是通过投资参与市场的全球公司(如比特币矿企和加密交易平台)提供风险敞口。(澳洲经济评论)[2021/11/4 21:24:52]
其漏洞原理是:Vesting合约未进行init未初始化保护,从而让黑客初始化了init的关键参数,也变更了owner,导致黑客通过紧急提款函数提取了合约资金,损失约400万美元。
动态 | 报告:加密市场今日凌晨暴跌或与加密局PlusToken有关:Chainalysis发布报告称,根据Coinbase的数据,北京时间凌晨2:28分起,在短短七分钟内,比特币下跌了4%,从7085美元跌至6800美元。在此期间,ETH受到了更大的冲击,从140美元下跌至130美元,跌幅达7%。就在暴跌发生的四个半小时之前,Chainalysis曾发布最新报告称,有2万枚比特币(现在价值1.37亿美元)和79万枚(现在价值1.02亿美元)仍可能由PlusToken的者们控制。此外,报告指出,与PlusToken有关的个人已经清算了1.85亿美元被盗的比特币。(CoinDesk)[2019/12/17]
9月
声音 | Bitpay首席商务官:外部市场开始对加密市场产生影响:据bitcoinexchangeguide消息,Bitpay首席商务官桑尼?辛格对最近比特币飙升发表观点,他认为,经过10年的增长,外部市场开始对加密市场产生更大的影响。比特币的市场价格在一个非常奇怪的时刻飙升,这表明比特币已经超越了美国本土,全球的采用可能会引发下一轮牛市。[2019/4/4]
NFT市场OpenSea出现漏洞导致30笔交易受到影响,至少42个NFT被销毁,损失约9.7万美元。
9月12日
Avalanche链上ZabuFinance由于其defi协议与代币协议之间不兼容被黑客利用,通过攻击获取45亿ZABU代币,损失约60万美元。
9月15日
去中心化交易所NowSwap遭到黑客攻击,由于没有修改swap函数的参数导致闪电贷的恒定乘积校验逻辑失效,攻击者返还部分闪电贷金额即被认为是完全归还,从而实现了攻击,损失金额超100万美元。
9月17日
9月17日,SushiSwap平台MISO上的DONA代币拍卖遭到攻击,黑客通过向MISO前端插入了恶意代码,将拍卖钱包地址改为了自己的钱包地址获利,损失超300万美元。
9月20日
跨链协议pNetwork因代码漏洞遭攻击,损失约1308万美元。
9月21日
借贷协议Vee.Finance,超3500万美元资产被盗,据官方调查,极可能是小数点未精确以及权限校验问题导致预言机价格被操纵。
9月
OpenZeppelin的TimelockController合约修复了一个可重入漏洞,这是OpenZeppelin在其开源智能合约库中唯一存在的严重漏洞。
9月30日
去中心化借贷协议Compound出现漏洞错误地允许一些用户索取额外的COMP代币,该漏洞损失约28万枚COMP代币。
总结
各链上项目问题依然十分严峻,智能合约层面的漏洞导致的损失一般都十分巨大,相较于新型漏洞,大多数漏洞都属于可追溯漏洞即已经出现过的漏洞,希望各方在开发项目或者审计项目时多做考虑。
关于OpenZeppelin出现的漏洞则再一次提醒我们,没有绝对的权威,任何项目都需要多方验证保证其安全性。
我们在《DAO资金管理系列:如何构建与设计》一文,探讨了DAO的前景,以及DAO管理层和财务部门应该考虑的一些基本概念.
1900/1/1 0:00:00比为一个DAO工作更酷的唯一事情是为所有DAO工作。但要做到这一点,您需要弄清楚所有DAO需要什么。这对我们来说也很棘手。所以在DAO峰会上,我们聚集了一些领先的DAO创始人、运营商和投资者.
1900/1/1 0:00:00特别感谢KarlFloersch、DanRobinson和TinaZhen的反馈和审查。参见《区块链治理笔记》、《治理,第二部分:财阀仍是坏事》、《论勾结与协调,好与坏》,了解早期对类似话题的思.
1900/1/1 0:00:00Polkadot生态研究院出品,必属精品波卡一周观察,是我们针对波卡整个生态在上一周所发生的事情的一个梳理,同时也会以白话的形式分享一些我们对这些事件的观察.
1900/1/1 0:00:00Polkadot生态研究院出品,必属精品大概一周前Kusama的第15个平行链插槽Auction结束,这意味着Kusama的第三批插槽的4次Auction已经全部结束,第四批次插槽也顺势开启.
1900/1/1 0:00:00“5.19”加密市场遭遇血洗,很多币圈投资者都悲观的认为本轮牛市已经走完,而笔者却一直在坚定的唱多.
1900/1/1 0:00:00