2021年5月盘点
据成都链安[链必安-区块链安全态势感知平台(Beosin-Eagle Eye)]安全舆情监控数据显示:2021年5月,据不完全统计,整个区块链生态发生的典型安全事件超32起,整体安全风险评级为[高]。本月,尽管其余方面的典型安全事件有所缓和,但[DeFi方面]成为典型安全事件频发的“重灾区”,需高度警惕;币安智能链(BSC)首当其冲,成为黑客发动闪电贷攻击的“主战场”。
多起BSC链上项目在5月集中“暴雷”,业界称为“黑色5月”,而这也是DeFi历史上当前所遭受的攻击频次最高、损失最大的一个月。据初步统计,所造成的经济损失约达3亿美元。典型安全事件的频频发生,也直接引发了多种虚拟资产币价闪崩。这个5月,对于投资者、项目方,乃至整个DeFi生态来说,都是空前“灰暗”的一个月。
以下为本月安全月报的详细事项。
交易所方面
共发生『1』起典型安全事件
01
Hotbit交易所遭到攻击者攻击,导致一些基本服务瘫痪,Hotbit团队将关闭所有服务7天以上,以进行检查和恢复。
成都链安:bDollar项目遭受价格操控攻击,目前攻击者获利2381BNB存放于攻击合约中:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,bDollar项目遭受价格操控攻击。攻击者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻击交易eth:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
攻击合约:0x6877f0d7815b0389396454c58b2118acd0abb79a
目前攻击者获利2381BNB,存放于攻击合约中。[2022/5/21 3:32:53]
DeFi方面
共发生『14』起典型安全事件
5月2日,DeFi项目Spartan遭遇闪电贷攻击,导致3,000万美元损失。
02
5月7日,ValueDeFi被黑客攻击,IRONFinance的部分池和产品受到攻击,导致STEELLP代币可能耗尽。
成都链安:国内天穹数藏宣称遭黑客攻击,黑客利用虚假余额购买盗取用户的藏品:5月17日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,天穹数藏宣称遭黑客攻击,藏品售价异常高达近千万元。根据平台公告称:平台数据遭遇大量恶意攻击,黑客利用虚假余额购买盗取用户的藏品,导致数据异常,目前已恢复,平台已第一时间报警处理。成都链安安全团队初步分析,导致本次攻击的原因猜测为:攻击者通过传统网络安全攻破了平台方数据库,恶意篡改账户余额,导致大量用户高价挂单仍可成交,最终导致数据异常。成都链安安全团队建议:
1、 国内数字藏品平台方在设计、实现和部署的过程中,要关注通信与网络安全、主机安全、数据库安全、移动安全等传统安全领域,做好安全防护;
2、 国内数字藏品平台方在运维的过程中,要做好金融风控的设计和实施,避免出现大规模资金异动而不自知的情况;
3、 数字藏品消费者在选择交易平台时,需要关注平台合规风险,注意保障自身财产安全;
4、 数字藏品消费者警惕炒作风险和市场泡沫,避免泡沫破裂时造成财产损失。[2022/5/17 3:22:51]
03
成都链安:WienerDogeToken遭遇闪电贷攻击事件分析:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,WienerDogeToken遭受闪电贷攻击。成都链安安全团队对此事件进行了简要分析,分析结果如下:攻击者通过闪电贷借贷了2900个BNB,从WDOGE和BNB的交易对交换了5,974,259,851,654个WDOGE代币,然后将4,979,446,261,701个代币重新转入了交易对。这时攻击者再调用skim函数,将交易对中多余的WDOGE代币重新提取出来,由于代币的通缩性质,在交易对向攻击地址转账的过程中同时burn掉了199,177,850,468个代币。这时交易对的k值已经被破坏,攻击者利用剩下WDOGE代币将交易对内的2,978个BNB成功swap出来,并且将获利的78个BNB转到了获利地址。
这次攻击事件中,攻击者利用了代币的通缩性质,让交易对在skim的过程中burn掉了一部分交易对代币,破坏了k值的计算。成都链安安全团队建议项目上线前最好进行安全审计,通缩代币在与交易对的交互时尽量将交易对加入手续费例外。[2022/4/26 5:11:33]
DeFi收益聚合器RariCapital遭到黑客攻击,导致价值超过1471万美元的ETH损失。
成都链安:正在追查Ronin攻击事件的资金去向:据成都链安链必应-区块链安全态势感知平台舆情监测显示,Axie Infinity侧链Ronin遭到攻击,17.36万枚ETH和2550万USDC被盗,总金额约合价值为6.15亿美元。在这里,成都链安对此类跨链桥项目给出以下建议:
1.注意签名服务器的安全性;
2.签名服务在相关业务下线时,应及时更新策略,关闭对应的服务模块,并且可以考虑弃用对应的签名账户地址;
3.多签验证时,多签服务之间应该逻辑隔离,独立对签名内容进行验证,不能出现部分验证者能够直接请求其它验证者进行签名而不用经过验证的情况;
4.项目方应实时监控项目资金异常情况。[2022/3/30 14:25:56]
04
DeFi协议xToken遭遇闪电贷攻击,导致2450万美元的损失。
05
5月16日,bEarn Fi遭到攻击,导致近1100万美元的损失。
06
5月19日,BSC最大借贷平台VENUS发生大额清算。目前给Venus平台造成了1亿多美元的坏账。
分析 | 成都链安:钱包Safuwallet服务器是否存储了用户的私钥是关键:针对“网页加密货币钱包Safuwallet被黑与币安服务器出现问题是否存在关联”一事,成都链安在接受金色财经采访时指出:“safuwallet是第三方extension插件钱包,用户资产被盗,主要原因还是私钥被盗,发生了这样的问题,对于钱包服务器而言只要不存储用户的私钥,只做相关交易数据的处理的话,两者之间就没有关系,如果服务器存储了用户的私钥,那黑客就有可能通过攻击服务器获取到用户的私钥。推特消息称是safuwallet被注入了恶意代码,黑客可能先将恶意代码注入到safuwallet中,然后引诱受害者安装钱包,再获取到受害者的私钥后,进行相关代币的转移。事实上,对于非官方钱包,安全性确实不太好保障。对于此类钱包,私钥被盗的时间时有发生。对于这个事件,后续的影响主要是用户的损失、钱包和交易所的声誉。”[2019/10/12]
07
5月20日,DeFi收益聚合器PancakeBunny遭到闪电贷攻击,损失约4500万美元的WBNB和BUNNY。
08
链上期权协议FinNexus疑似被攻击。导致黑客通过某个地址在以太坊上铸造了3.23亿枚FNX,价值600万美元,在BSC上铸造了6000万枚FNX,价值160万美元。
09
Bogged Finance官方表示,黑客对BOG代币合约进行了闪电贷攻击,目前已禁用交易费。
10
AutoSharkFinance遭闪电贷攻击,币价出现闪崩,跌幅一度超过99%。
11
Merlin疑似遭到攻击。据悉,项目方貌似已暂时暂停了MERL代币的铸造。
12
BurgerSwap疑似遭遇闪电贷攻击,被盗约330万美元的Burger。
13
5月28日,JulSwap遭到闪电贷攻击,$JULB短时跌幅逾 95%。
14
5月30日,BSC链上结合多策略收益优化的AMM协议Belt Finance遭到闪电贷攻击。
Beosin评论
BSC链上项目5月频频“暴雷”,损失惨重,这足以向BSC、DeFi,乃至整个区块链生态敲响警钟。通过复盘各起典型安全事件的共性,不难发现,“闪电贷攻击”是黑客采取的最主要的攻击手法;且攻击金额普遍较大,至少6个项目的损失金额都已超过1000万美元。
在此,成都链安(Beosin)·安全团队郑重呼吁,后续DeFi项目方需着重防范与“闪电贷”相关的攻击。安全审计、安全防护、安全加固此类工作,之于DeFi项目方而言,切记是不可忽视的;有必要时,可联动第三方安全公司的力量,建立一套完善和专业的风控措施。
跑路/加密局方面
共发生『7』起典型安全事件
GEC环保币多次被地方政府驱赶和调查,本次币价大跌后,再次被曝光其涉嫌。
团队在SNL(周六夜现场)的活动10万美元的虚拟资产。
有冒充Coingecko团队成员的人加密项目方,声称付费即可在Coingecko平台上列出代币。
一加(OnePlus)联合创始人Carl Pei的推特账户遭到黑客攻击,并被用于宣传加密局。
西班牙国民警卫队(Civil Guard)的官方YouTube账户受到疑似鱼叉式网络钓鱼攻击,已被XRP者接管。该账户的名称已更改为“Ripple - XRP Foundation”,并删除了所有内容。
美国货币监理署(OCC)就近期有关加密欺诈电子邮件发出警告称,没有发送此类消息,也没有为个人利益持有任何资金。
基于BSC构建去中心化金融协议DeFi100被曝出是一个局,运营者已经取了投资者的钱后跑路。
本月,虽然[DeFi方面]安全形势严峻,但依然不能轻视来自[跑路/加密局方面]的安全威胁。成都链安(Beosin)·七星实验室注意到,近期市面上已出现了多起打着“DeFi”旗号,实为局的各种资金盘项目。作为投资者,切记擦亮双眼,谨防打着“DeFi”旗号的资金盘局!
勒索软件/挖矿木马方面
共发生『3』起典型安全事件
网络安全软件公司趋势科技(Trend Micro)发现了一种新的恶意软件,名为“熊猫”(Panda)。研究人员称,加密钱包已与银行帐户一样,都成为了在线盗窃的目标。
Colonial Pipeline上周五向黑客支付了近500万美元的赎金,而之前的报道称该公司并无意愿向黑客支付勒索费,以帮助美国输油管道恢复运营。
新西兰怀卡托卫生部确认之前网络攻击中使用的勒索软件为“Zeppelin”,卫生部部长对此不予否认。
其他方面
Mask Network的ITO合约遭到机器人攻击,官方已将地址列入黑名单。
5月6日,Hpool官方称官网前端遭受DDOS攻击,暂时不能正常访问,但不影响挖矿服务。
FeiProtocol开发团队FeiLabs发现并披露了一个合约漏洞,并立即暂停了该合约。目前该漏洞未被利用,不会影响任何用户。
吉尔吉斯斯坦国家安全委员会(GKNB)在首都比什凯克和丘伊州打击非法挖矿行动,突击搜查并缴获了2000台非法虚拟资产采矿设备。
英国突袭伯明翰附近的一个仓库,发现其是一个相当大的比特币矿。该比特币矿机是由非法从主电源中分离出来的电力驱动,设备已被扣押。
一名加利福尼亚男子承认经营无牌汇款业务、和未能维持有效的反计划,被美国没收了价值约125万美元的比特币(18.4枚)和以太坊(222.5枚)。
以太坊核心开发人员发现了EIP-1559中的一个重大漏洞,目前开发人员已经向EIP-1559添加了四项检查,并修复了该漏洞。
鉴于当前区块链生态的安全态势,『成都链安』在此总结:
从总体上来看,5月典型安全事件较4月显著上升。事件总数突破“30”关口,整体安全风险由[低]陡升为[高]。尤其是在[DeFi方面],一连串的黑客攻击、频频发生的安全事件、超3亿美元的资金损失,无疑对整个DeFi生态的安全秩序造成了灾难性打击。
严峻形势之下,成都链安(Beosin)·安全团队注意到,在Pancakebunny遭到闪电贷攻击之后,其BSC链上诸如Merlin、AutoSharkFinance等仿盘也相继“沦陷”,这足以说明FORK项目未对原项目有深入的理解,在更新代码的过程中亦引入了新的安全风险。
DeFi作为一种创新的金融模式,如何在“创新”与“安全”方面找寻一个平衡点,做到兼顾与并行,需要广大DeFi项目开发者深刻反思。在此,我们建议广大项目方切记做好相关安全防护建设,对存在异常操作进行实时监控,即刻发现,即刻解决!作为用户,也应当增强自身安全意识,防范安全风险,避免造成经济损失。
标签:DEFIDEFEFIBSCWDEFI币pinetworkdefi币怎么退出热门了XDEFI币BSC Payments
DeFi的智能合约自动化竞赛:Gelato 、Keep3r 与 Chainlink Keepers一场关于DeFi创新的竞赛正在展开,老牌玩家和新贵都在奔跑.
1900/1/1 0:00:00印度国内生产总值占全球经济的7%左右,但其艺术品市场相对较小。2018年,印度仅占世界艺术品进口的1%,而中国占9%。但是,印度艺术品市场一直在蓬勃发展.
1900/1/1 0:00:00写在前面:总是听说将游戏道具NFT化对玩家来说是一种好处,因为将所有权下放至玩家就意味着游戏厂商不再是唯一掌握游戏的一方.
1900/1/1 0:00:00本文梳理自 NFT 玩家 Cirrus 在个人社交媒体平台上的观点:没有白名单,没有机器人,也没有 alpha 内部群组,但我仍然通过自己的策略在 NFT 领域获利.
1900/1/1 0:00:00拍卖是一种流行的方法,它可以以最好的价格出售NFT。有一些拍卖技巧是为了出售我们的NFT收藏品,但荷兰式拍卖不同于其他技巧,它的使用频率更高.
1900/1/1 0:00:00近几年,NFT作为一种独特、稀缺、有趣的资产类别,火速席卷了各大圈子,谁也未曾料到,这场最初只是技术在艺术圈的小试牛刀,却造就了现如今「NFT可万物」的景象.
1900/1/1 0:00:00