前言
從Defi安全角度來看9月安全事件相較于較8月份已有所下降,但是從整體安全角度來看依然不容樂觀,黑客攻擊涉及到的損失金額巨大。
知道創宇區塊鏈安全實驗室?總結了9月發生的各類安全事件,并就攻擊手法和暴露出的問題進行了梳理。
9月安全事件盤點
以下是9月發生的各領域的安全事件:
9月4日
NFT賽馬項目DeRac針對DAO公共買家在未來解鎖領取代幣的合約DAOMaker分發系統被攻擊。
2022年加密市值前十:MATIC新晉上榜:12月31日消息,據CoinGecko數據顯示,截至發稿時,2022年加密市值排行前10分別為:BTC、ETH、USDT、USDC、BNB、XRP、BUSD、DOGE、ADA、MATIC。
2022年年初加密市值排行前10分別為:BTC、ETH、BNB、USDT、SOL、XRP、ADA、USDC、LUNA、AVAX。[2022/12/31 22:18:20]
其漏洞原理是:Vesting合約未進行init未初始化保護,從而讓黑客初始化了init的關鍵參數,也變更了owner,導致黑客通過緊急提款函數提取了合約資金,損失約400萬美元。
天橋資本創始人:預計未來加密市場將更加活躍:8月12日消息,投資管理公司SkyBridge Capital創始人兼首席執行官Anthony Scaramucci在8月12日接受CNBC Squawk Box采訪時強調,他預計未來加密市場將更加活躍,他說:“我們認為,隨著閃電網絡的改進、應用程序的增加以及比特幣交易的便利性,你將會看到更多的商業活動。”
Scaramucci還對即將到來的以太坊合并升級發表評論稱,“這將降低該網絡的交易費用”。(Finbold)[2022/8/13 12:22:21]
9月
Web3基金會CEO:加密市場崩盤有助于擺脫“壞演員”或暗指Do Kwon:金色財經報道,據 CNBC 消息,Web3 基金會首席執行官 Bertrand Perez 在瑞士達沃斯舉行的世界經濟論壇上表示,最近數字貨幣市場崩盤有助于擺脫該領域的“壞演員”(bad actors)。Bertrand Perez 說道:“我們正處于熊市中,我認為這很好,這很好,因為熊市將清除那些出于不良目的待在這個行業里的人。”Bertrand Perez 沒有具體指出所謂“壞演員”是誰,但加密社區猜測可能是暗指 Terra 創始人 Do Kwon。此外,Polygon 聯合創始人 Mihailo Bjelic 也認為加密貨幣市場下跌是“必要的”,因為激進的市場會有點不現實,或者在一定程度上讓投資者變得魯莽,現在需要糾正,最終推動加密市場更加健康。[2022/5/29 3:48:22]
NFT市場OpenSea出現漏洞導致30筆交易受到影響,至少42個NFT被銷毀,損失約9.7萬美元。
9月12日
Avalanche鏈上ZabuFinance由于其defi協議與代幣協議之間不兼容被黑客利用,通過攻擊獲取45億ZABU代幣,損失約60萬美元。
9月15日
去中心化交易所NowSwap遭到黑客攻擊,由于沒有修改swap函數的參數導致閃電貸的恒定乘積校驗邏輯失效,攻擊者返還部分閃電貸金額即被認為是完全歸還,從而實現了攻擊,損失金額超100萬美元。
9月17日
9月17日,SushiSwap平臺MISO上的DONA代幣拍賣遭到攻擊,黑客通過向MISO前端插入了惡意代碼,將拍賣錢包地址改為了自己的錢包地址獲利,損失超300萬美元。
9月20日
跨鏈協議pNetwork因代碼漏洞遭攻擊,損失約1308萬美元。
9月21日
借貸協議Vee.Finance,超3500萬美元資產被盜,據官方調查,極可能是小數點未精確以及權限校驗問題導致預言機價格被操縱。
9月
OpenZeppelin的TimelockController合約修復了一個可重入漏洞,這是OpenZeppelin在其開源智能合約庫中唯一存在的嚴重漏洞。
9月30日
去中心化借貸協議Compound出現漏洞錯誤地允許一些用戶索取額外的COMP代幣,該漏洞損失約28萬枚COMP代幣。
總結
各鏈上項目問題依然十分嚴峻,智能合約層面的漏洞導致的損失一般都十分巨大,相較于新型漏洞,大多數漏洞都屬于可追溯漏洞即已經出現過的漏洞,希望各方在開發項目或者審計項目時多做考慮。
關于OpenZeppelin出現的漏洞則再一次提醒我們,沒有絕對的權威,任何項目都需要多方驗證保證其安全性。
近日,我們收到多名用戶反饋,出現不法分子假冒Gate.io官方或工作人員通過電話、短信、郵箱、QQ等形式實施詐騙.
1900/1/1 0:00:00親愛的用戶:為回饋在幣安NFT市場交易NFT的新老用戶, 幣安NFT市場 特別推出本次活動。符合條件的用戶將瓜分500個NFT盲盒獎勵.
1900/1/1 0:00:00親愛的KuCoin用戶:KuCoin將支持Harmony(ONE)網絡升級和硬分叉。 具體安排如下: 1.于2021年10月12日00:00:00(UTC8),我們將暫停ONE的充值和提現功能;.
1900/1/1 0:00:00鏈聞消息,多鏈NFT游戲BlockchainMonsterHunt完成380萬美元融資,AnimocaBrands領投.
1900/1/1 0:00:00來源|@DCLBlogger 作者|Matty 1/現在NFT圈內騙局猖狂肆虐,我因此特地寫了一條帖子,簡要列出我見過的騙局類型,以及如何防范騙局.
1900/1/1 0:00:00鏈聞消息,據CoinDesk報道,葡萄牙第一家獲準運營的加密貨幣交易所CriptoLoja推出在線加密貨幣交易服務,該交易所允許用戶用歐元購買94種加密貨幣.
1900/1/1 0:00:00