二月安全事件总结与回顾: 潜在的攻击者仍然将目光更多的投向Defi项目

前言

新春二月，知道创宇区块链安全实验室拓宽了对区块链安全信息收集总结的信息广度，将专注于典型安全事件的视角，拔升到了对整个区块链安全资讯的审视。

以下是知道创宇区块链安全实验室对二月各类型安全资讯总结的新视角，并就其暴露出的问题进行探讨。

Defi安全类型事件

2月3日，跨链桥Wormhole被黑客攻击，攻击者通过提供恶意验证程序Wormhole批准虚假签名达到攻击目的，损失超3.2亿美元。2月3日，Defi协议KLAYSwap遭遇黑客攻击，具体原因为外部站点使用了被恶意信息感染的SDK文件，损失约180万美元。2月5日，http://Meter.io跨链协议遭到攻击,漏洞原因为depositHandler质押处理器存在逻辑判断缺陷，满足了跨链桥合约depositETH的逻辑场景，但忽视了deposit逻辑场景存在绕过缺陷，损失约430万美元。2月8日，以太坊上的DeFi协议superfluid遭遇黑客攻击，黑客通过伪造“ctx”数据合约对虚假签名进行批准达成攻击，损失超1300万美元。2月10日，DeFi协议DegoFinance遭到黑客攻击，由于私钥泄露导致流动性被耗尽，损失约1762万美元。2月14日，TitanoFinance遭到攻击，管理员地址疑似被盗铸造3200Titano代币并抛售，损失约1900万美元。2月15日，BuildFinance项目遭遇恶意治理接管，攻击者通过创造低阈值提案，以低于正常水平的投票恶意接管了治理权限，进而铸造了110万Build代币用来耗尽BuildFinance项目的流动性，损失约110万美元。2月23日，DeFi收益协议FlurryFinance官方发文称，FlurryFinance出现漏洞，目前已知黑客仅利用了部署在FinanceRabbit策略上的资金，其他策略的资金仍然安全。

数据：二月份Fantom活跃地址和智能合约部署激增:3月20日，据FTM Scan的数据显示，上个月有364,874个独立地址加入了网络。与去年同期相比，这一数字增长了77.69%，去年同期仅增加了4637个独立地址。与此同时，据该基金会周四透露，该网络的智能合约执行量同比增长了4200%。数据显示，去年2月共有111个智能合约被部署，而今年2月为4677个。（Zycrypto）[2022/3/20 14:07:44]

信息安全类型事件

PayBito加密货币交易所遭受网络攻击，大量数据信息被盗，其中包含来自全球约10万多名客户的个人数据信息。知名加密媒体CoinDesk宣布已修复一个白帽黑客透露的系统漏洞，该漏洞暴露了在CoinDesk内容管理系统(CMS)中保存为草稿的文章标题，可能允许身份不明的行为者通过API从非公开信息中获利。知名IP阿狸ALI&HISFRENSNFT在预售过程中，官网debug模式并未关闭，导致用户能够通过后台代码逻辑访问盲盒对应的元数据以及图片信息。

BlockFi：自二月完成3000万美元B轮融资以来，月收入已翻番:加密货币借贷服务商BlockFi表示，自今年2月获得3000万美元B轮融资以来，该公司的月收入已翻了一番。虽然没有透露具体数字，但BlockFi表示明年该公司有望实现5000万美元的收入。除收益增长强劲外，该公司的客户基础也在扩大，目前BlockFi正着眼于在亚洲和其它地区扩大业务。（Finance Magnates）[2020/7/2]

局安全类型事件

BabyMuskCoin暴跌99%，1571BNB被抛出，资金已被转移到Tornado。该项目团队声称通过Telegram被，但Twitter和网站都已关闭，疑似RugPull。BNBChain上去中心化投资平台Bnb42发生RugPull，部署者从未经验证的合约中抽走了6400多枚BNB。Raptor2发生RugPull，地址0xdaa5e5692f24b0284cbd9fb6fbe2ddc78bf4d34a已经抛售Raptor2并将855枚BNB存入以太坊隐私交易平台Tornado.cash。DollarDodge项目疑似RugPull，513枚BNB已被转移至TornadoCash。代币W3M开发者在发行5小时后发起RugPull，近625枚BNB被转移至TornadoCash。BNBChain上项目ShibaTron被爆存在欺诈，为「貔貅盘」局。未获取白名单的用户仅能购买其TokenSHIBT，但无法出售。

截至二月中旬 亚洲70%区块链公司失去法律地位或被吊销执照:LongHash数据显示，截至二月中旬亚洲国家注册的区块链公司中有70%失去法律地位或被吊销执照。此外，截至2月11日数据显示，国内在业区块链公司数量为26057家，存续79555家，注销或吊销57331家，其中广东省在业和存续区块链公司数量最多，有22625家。此外，中国在业和存续的区块链公司中，46.23%注册资金少于500万元，18.3%注册资金在500-1000万元，26.3%注册资金在1000-5000万元，大约5000万的在业和存续区块链公司占比最少，为9.17%。[2020/4/3]

USDC二月报告：已发行和未偿付的USDC未超过托管美元余额:独立会计事务所GrantThornton已发布USDC美元储备的二月审计报告。报告显示：1.截止太平洋时间2月29日23:59，已发行和未偿付的USDC代币数量为444,800,620USDC；2.同时，托管账户中的美元储备为451,257,764美元；3.截至报告审计日期，已发行和未偿付的USDC代币未超过托管账户中所持有的美元余额。[2020/3/22]

钓鱼安全类型事件

NFT项目AOTAVERSE团队表示，北京时间15日凌晨5点，其Discord服务器群组遭到黑客攻击，黑客在其频道上发布了“钓鱼”链接。目前尚未查明哪个机器人遭攻击，因此团队关闭整个Discord群组，以预防进一步的风险。OpenSea疑似遭到网络钓鱼攻击，大量NFT被窃取并卖出套利。攻击者已将攻击所得部分NFT出售获利后，使用以太坊隐私交易平台Tornado.cash混币1,100ETH，价值约290万美元。OpenSea再次出现钓鱼邮件攻击，该NFT市场已经在社交媒体官方渠道中发出提醒。

SpaceChain计划将于明年二月发射第一颗立方体卫星:SpaceChain致力于打造开源的微型卫星运营系统。据悉，SpaceChain第一颗卫星将基于Qtum量子链网络运行。作为SpaceChain的投资者，Qtum量子链打造了全球首个基于PoS机制的智能合约平台，使SpaceChain用卫星运行Qtum量子链的节点的计划能够得以实现。目前SpaceChain项目进展顺利，第一颗卫星建造已经完成。[2018/1/7]

其他安全事件类型

去中心化衍生品交易平台FutureSwap拥有约300,000FST奖励储备金的账户遭到入侵，攻击者能够在Arbitrum.上获得访问权限，并将可用奖励FST转移给自己。稳定币发行商Tether冻结了一个持有价值超过715,000美元USDT的以太坊地址。根据Etherscan对涉及钱包的交易的标记以及分析，该地址可追溯到近一个月前在跨链桥Multichain上窃取300万美元加密货币的黑客。DriftProtocol在Immunefi平台发布漏洞赏金计划，赏金最高达50万美元。本次漏洞赏金计划专注于检查智能合约,防止用户本金、收益资金或治理资金被盗窃或冻结。新美国安全中心的一份报告确认，朝鲜黑客组织LazarusGroup利用高级技术进行各种网络犯罪攻击，从中盗取资金和并以此获利。Immunefi发布一份关于Polygon共识机制的漏洞报告，一位白帽黑客发现Polygon智能合约中PoS系统漏洞。印度人民党全国主席JPNadda的推特账号在周日被黑客攻击，该账号曾发推呼吁人们为乌克兰人和俄罗斯人捐赠加密货币。

总结

从当前区块链安全形势来看，潜在的攻击者仍然将目光更多的投向Defi项目，同时各种区块链项目与跑路项目层出不穷，知道创宇区块链安全实验室在此提醒，投资方需要做好投资前的调查准备工作，项目方也需要提高对合约安全的重视，合约审计、风控措施、应急计划等都有必要切实落实。

标签：区块链AINHAIChain区块链dapp开发框架Health Data Chainblockchain的域名价值datachain

比特币热门资讯