前言
七月隨著幣價的回升,安全事件也變的頻繁發生,攻擊者在本月也是“火力全開”,從各個方面進行攻擊。據知道創宇區塊鏈安全實驗室數據顯示:該月發生的安全事件超43起,其中跑路騙局和釣魚造成的單個損失也愈發嚴重,代表事件為UniswapV3釣魚攻擊和DRACNetwork的RugPull,而月初DeFi協議CremaFinance被攻擊造成的損失尤為慘重。本月安全事件造成的損失總金額共計約29,000,000美元。
通過對本月各類型安全事件的數量和占比分析,不難發現網絡釣魚安全事件仍然占比最多。再次提醒大家要對網絡釣魚提高警惕,可借助一些工具來減少被釣魚的風險,如:FishAlert插件,可減少被釣魚風險。
本月安全事件對比6月數量雖然略有下降,但整體局勢仍處在安全事件高發期。再此提醒大家,對于安全應持續提高安全意識,保持對安全問題的敏銳性。
以下是知道創宇區塊鏈安全實驗室對七月各類型安全資訊的總結,并就其暴露出的問題進行探討。
DeFi安全類型事件
?7月3日,Solana生態流動性協議CremaFinance遭黑客攻擊中損失超600萬美元,黑客使用Solend閃電貸耗盡資金池。
加密友好電商巨頭Shopify為商家推出區塊鏈商務工具套件:金色財經報道,加密友好的電子商務巨頭Shopify推出了一套區塊鏈商務工具,以增強其平臺托管的Web3商店的用戶體驗。
2月9日,Shopify區塊鏈團隊設計師@ryancreatescopy在Twitter上宣布了這一舉措,并指出:“我們已經推出了一些新的工具,幫助您為Shopify商家構建tokengating應用程序。”
其中特別強調的是擴展的加密錢包連接功能和“tokengating”應用程序API工具。后者自2022年6月以來一直處于早期測試訪問模式,以前只對部分商家開放。
通過tokegating,所有適用的Shopify商家現在都可以設置他們的商店,規定哪些代幣持有者可以或不能獲得獨家產品、NFT發行和福利。(Cointelegraph)[2023/2/11 12:00:45]
?7月7日,ProjectX項目PXT代幣價格下跌,官方稱價格下降是由于黑客攻擊造成的。攻擊者獲利約1.9萬美元。
?7月10日,去中心化NFT金融化協議OmniX遭到攻擊,攻擊者利用ERC721的重入了清算函數。損失超100萬美元。
?7月11日,DeFi平臺ParallelFinance遭到重入攻擊,導致了約200萬美元的損失。
?7月12日,質押挖礦項目遭到黑客攻擊,攻擊者利用合約中updateBalance函數的加法溢出漏洞,修改攻擊賬戶的質押量,總計獲利約為11萬美元。
?7月12日,多鏈NFT協議CitizenFinance被攻擊,CIFI代幣價格已下跌逾50%,244枚BNB和5.76萬枚MATIC被盜。
歐易Lennix:沙特阿拉伯在加密領域展現出巨大發展潛力:2月8日消息,歐易全球機構業務部董事總經理Lennix受邀出席在沙特阿拉伯舉辦的全球頂級科技峰會LEAP時強調加密技術將在助力沙特實現“2030愿景”計劃中發揮重要作用。
Lennix在LEAP峰會演講前夕表示,沙特阿拉伯在金融科技以及人力資源開發方面的戰略投資處于領先地位,以便其人民享受未來行業發展紅利。歐易的使命是創造普惠金融并推動全球加密行業的發展,將促進包括沙特阿拉伯在內的世界各地經濟的多元化發展。沙特阿拉伯在加密領域展現出巨大發展潛力,未來歐易將在沙特增加投資并拓展生態,進一步助力“2030愿景”。
Lennix稱,歐易致力于投資當地團隊和領先的基礎設施來為沙特用戶提供服務,以進一步實現通過全球加密市場來提高金融包容性的使命。[2023/2/9 11:56:43]
?7月14日,BNBChain上項目SpaceGodzilla遭到了黑客的閃電貸攻擊。黑客通過閃電貸借取大量資金并在Pancake上操縱交易池中SpaceGodzilla的價格,攻擊共獲利25,378.78BUSD。
?7月24日,Web3音樂流媒體服務平臺Audius社區金庫被利用,損失1850萬枚AUDIOToken,黑客將資金在Uniswap兌換為705枚ETH,共獲利約11萬美元。
?7月25日,LPC項目遭受閃電貸攻擊,由于_transfer函數中未更新賬本余額,而是直接在原接收者余額recipientBalance值上進行修改,導致攻擊者余額增加。攻擊者共獲利178BNB,約為45715美元。
安永與Polygon更新了隱私協議Nightfall的開源代碼:金色財經報道,安永與Polygon更新了隱私協議Nightfall的開源代碼。Nightfall 是一種基于 ZK Rollup 的隱私協議,旨在幫助企業在以太坊主網上進行隱私交易。本次更新旨在防止被組織或團體控制,使得代碼可以在完全去中心化的基礎上部署,以及為防止匿名使用,同時保留開放和無許可的網絡模型,要求用戶擁有企業級 X.509 身份證明才能存取款。[2023/1/18 11:19:27]
?7月28日,基于Solana的去中心化算法穩定幣協議Nirvana遭到閃電貸攻擊,其穩定幣NIRV價格從1美元一度跌至0.09美元,最大跌幅超過90%,攻擊者共獲利3,490,563.69USDT,21,902.48USDC及393,230.32ANA代幣,價值約357萬美元。
?7月3日,Solana生態流動性協議CremaFinance遭黑客攻擊中損失超600萬美元,黑客使用Solend閃電貸耗盡資金池。
?7月7日,ProjectX項目PXT代幣價格下跌,官方稱價格下降是由于黑客攻擊造成的。攻擊者獲利約1.9萬美元。
?7月10日,去中心化NFT金融化協議OmniX遭到攻擊,攻擊者利用ERC721的重入了清算函數。損失超100萬美元。
?7月11日,DeFi平臺ParallelFinance遭到重入攻擊,導致了約200萬美元的損失。
?7月12日,質押挖礦項目遭到黑客攻擊,攻擊者利用合約中updateBalance函數的加法溢出漏洞,修改攻擊賬戶的質押量,總計獲利約為11萬美元。
“無聊猿”BAYC交易總額突破26億美元,過去一年增長160%:金色財經報道,據cryptoslam數據顯示,“無聊猿”BAYC交易總額已突破26億美元,截至目前達到2,605,577,588美元,交易總量為34,580筆,買家超過1.2萬個,當前地板價為71 ETH。
歷史數據顯示,BAYC交易總額于2022年1月4日突破10億美元,這意味著在過去一年內交易總額增長超過16億美元,漲幅達160%。[2022/12/31 22:17:51]
?7月12日,多鏈NFT協議CitizenFinance被攻擊,CIFI代幣價格已下跌逾50%,244枚BNB和5.76萬枚MATIC被盜。
?7月14日,BNBChain上項目SpaceGodzilla遭到了黑客的閃電貸攻擊。黑客通過閃電貸借取大量資金并在Pancake上操縱交易池中SpaceGodzilla的價格,攻擊共獲利25,378.78BUSD。
?7月24日,Web3音樂流媒體服務平臺Audius社區金庫被利用,損失1850萬枚AUDIOToken,黑客將資金在Uniswap兌換為705枚ETH,共獲利約11萬美元。
?7月25日,LPC項目遭受閃電貸攻擊,由于_transfer函數中未更新賬本余額,而是直接在原接收者余額recipientBalance值上進行修改,導致攻擊者余額增加。攻擊者共獲利178BNB,約為45715美元。
?7月28日,基于Solana的去中心化算法穩定幣協議Nirvana遭到閃電貸攻擊,其穩定幣NIRV價格從1美元一度跌至0.09美元,最大跌幅超過90%,攻擊者共獲利3,490,563.69USDT,21,902.48USDC及393,230.32ANA代幣,價值約357萬美元。
加密支付平臺MoonPay將于明年初推出靈魂綁定NFT忠誠度計劃:12月1日消息,加密支付平臺MoonPay將于明年初推出Web3 Passport靈魂綁定NFT忠誠度計劃,被稱為Web3 Passport的代幣將授予其所有者參加獨家活動的權限,將與時尚、 藝術、 體育、 音樂 和娛樂的票務相關。通過該計劃,該公司還將擴展MoonPay Concierge的支持,為需要幫助購買NFT的個人提供服務。[2022/12/1 21:16:28]
騙局安全類型事件
?7月4日,分布式節點基礎設施項目Nody(NODY)發生RugPull,當前NODYToken價格下跌93%。
?7月6日,BNBChain項目BabyDAO發生RugPull,代幣下跌99.9%,約773枚BNB被轉移至TornadoCash。
?7月20日,RacKiller發生RugPull,代幣價格下跌超70%。
?7月20日,NumberSwap發生RugPull,代幣價格下跌超96%。
?7月20日,Neoteric.finance發生RugPull,其NTRC代幣價格下跌超91.6%。目前的報告顯示損失約為10萬美元。
?7月20日,AngelsToMiracles項目發生RugPull,ATM代幣價格下跌46%,有1943.3枚BNB轉移至TornadoCash,損失約53萬美元。
?7月20日,ORCHID項目發生RugPull,ORCHID代幣價格下跌超96.4%,目前的報告顯示損失約為5萬美元。
?7月25日,DeFi項目DRACNetwork發生RugPull,代幣TEDDY價格下跌99.4%,1萬枚BNB和200萬枚BUSD轉入幣安。損失約為450萬美元。
?7月26日,SKG代幣項目RugPull,價格下跌超過80%。超過10萬枚SKG被出售,資產利潤超過7萬美元。
?7月27日,LarpFinance項目發生RugPull,LARP代幣跌幅超過80%。合約部署者出售了最初鑄造的LARP代幣并獲利2.8萬美元。
?7月29日,secondunclecoin二舅幣池發生Rugpull,合約部署者已通過TornadoCash清洗贓款,截至目前代幣SUC價格已下跌99.7%。據統計,本次詐騙事件的利潤總額高達130萬美元。
網絡釣魚安全類型事件
?7月6日,NFT項目SpikySpaceFish的Discord服務器遭黑客攻擊,請用戶不要點擊任何鏈接,且不要參與鑄造或批準任何交易。
?7月6日,Otherside官方推特帳號疑似被盜,其個人資料已更改為展示OthersideMetaNFT圖像并推銷騙局。
?7月9日消息,NFT項目DopeApeClub的Discord服務器遭到攻擊。聊天被鎖定,攻擊者發布了一個釣魚鏈接。請社區用戶不要點擊鏈接、鑄造或批準任何交易。
?7月12日,黑客通過釣魚攻擊在UniswapV3上竊取7500ETH,協議本身并無安全問題。
?7月14日,NFT項目AzukiArt的Discord服務器遭到了黑客攻擊,請用戶不要點擊鏈接、鑄造或批準任何交易。
?7月15日,NFT項目LonelyAlienSpaceClub的Discord服務器遭到入侵,請用戶不要點擊鏈接、鑄造或批準任何交易。
?7月16日,P2E元宇宙項目Botborgs的Discord服務器遭到攻擊,請用戶不要點擊鏈接、鑄造或批準任何交易。
?7月17日,NFT管理平臺NFTYDash的Discord服務器和Twitter賬號遭到攻擊,請用戶不要點擊鏈接、鑄造或批準任何交易。
?7月17日,premint.xyz遭到黑客攻擊,黑客在premint.xyz網站中通過植入惡意的JS文件來實施釣魚攻擊,欺騙戶簽名setApprovalForAll(address,bool)的交易,從而盜取用戶的NFT等資產。
?7月18日,originals-adidas.com被證實是一個釣魚網站,19枚ETH和17枚NFT已進入詐騙者地址。
?7月19日,NFT項目Maximalist的Discord服務器遭到攻擊,攻擊者發布了釣魚鏈接,請用戶不要點擊鏈接、鑄造或批準任何交易。
?7月20日,DerpyPunkz的Discord服務器遭到攻擊,攻擊者發布了釣魚鏈接,與此前Maximalist項目攻擊者相同,用戶不要點擊鏈接、鑄造或批準任何交易。
?7月20日,DerpyPunkz的Discord服務器遭到攻擊,攻擊者發布了釣魚鏈接,與此前Maximalist項目攻擊者相同,用戶不要點擊鏈接、鑄造或批準任何交易。
?7月21日,NFT項目TablelandDiscord遭遇攻擊,公告板塊發布釣魚鏈接,團隊部分成員已被踢出。請用戶不要點擊鏈接、鑄造或批準任何交易。
?7月25日,NFT項目NENStudio的Discord服務器遭受攻擊。請社區用戶不要點擊鏈接、鑄造以及批準任何交易。
?7月27日,NFT項目TheAmericansNFT的Discord服務器遭到攻擊,攻擊者發布了釣魚鏈接。請社區用戶不要點擊、鑄造或批準任何交易。
?7月29日,NFT項目OldSport的Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
?7月29日,ApachesNFT項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
?7月29日,DAISUKI項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
其他安全事件類型
?7月4日,英國陸軍的官方推特賬戶和YouTube帳戶遭到黑客攻擊,并發布了有關加密貨幣和NFT的帖子。
?7月4日,多名用戶加密錢包MetaMask的POAP被盜,建議提醒用戶撤銷之前與NFT市場Eporio交互的所有POAP批準。
?7月26日,Windows版Coremail郵件客戶端存在RCE漏洞,攻擊者可通過給用戶發送含有惡意程序的郵件從而控制用戶主機,可能導致錢包私鑰泄露。
總結
從Defi安全形勢來看,本月安全事件中閃電貸攻擊和重入攻擊較為普遍,邏輯漏洞也是頻現,項目方對于此類攻擊事件應做好提前防護。特別是CremaFinance安全事件提醒我們攻擊者能通過閃電貸進行花式攻擊,所以對于閃電貸的安全性項目方一定要深思熟慮。知道創宇區塊鏈安全實驗室在此提醒,對合約安全有必要做到常規審計和復合審計,保障合約免受其他攻擊影響,同時高度重視授權問題,對于授權要有明確的時間限制。
從網絡釣魚以及騙局跑來看,網絡釣魚和騙局跑路所造成的損失也在逐月加重,一方面是數量增多,另一方面單個事件造成的金額損失也增多,所以用戶在投資之余也要多學習區塊鏈知識和防騙意識,確保自己的資產不會不翼而飛。
原文作者:SangeetPaulChoudary原文標題:Web3andtherevengeofthelongtail基于區塊鏈的協議如何實現利基市場活動?這是我們需要一直思考的問題.
1900/1/1 0:00:00保險是全球經濟的引擎之一。該行業被大多數人使用,但很少有人給予應有的信譽,它是我們所知道的業務的基礎,將災難性失敗或不可預見事件的風險轉移到一個單獨的市場.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00NFT市場每周都會經歷起起伏伏。本周,goblins依舊是熱議的話題,而經常被批評的Solana宕機事件再次爆發,“SolanaSummer”的節奏有所放緩.
1900/1/1 0:00:00Qredo推出與WalletConnect的新集成,這是一種用于訪問去中心化金融(DeFi)的開放協議.
1900/1/1 0:00:00據官方消息,TPSCapital已成為波場聯合儲備的第八位成員和白名單機構,獲得鑄造波場去中心化穩定幣USDD的權利.
1900/1/1 0:00:00