*1.前言*
八月,web3.0方面安全事件數量依舊高居不下,沒有下降趨勢。根據知道創宇區塊鏈安全實驗室數據顯示:該月發生的安全事件超42起,和上月基本持平,造成的損失總金額共計約2.44億美元。
通過對8月各類型安全事件的數量和占比分析,騙局跑路類安全事件仍然最為嚴重,這表明大部分投資者在進行項目投資之前還是未對項目的本質進行辨別從而被騙。值得一提的是跨鏈通訊協議Nomad在本月遭到有史以來最混亂的一次黑客攻擊導致近1.9億美元損失。
本月安全事件趨勢相比上月未出現明顯變化,安全事件仍頻頻發生。千里之堤毀于蟻穴,這需要大家和項目方時刻都做好安全準備,避免造成個人損失。
以下是知道創宇區塊鏈安全實驗室對八月各類型安全資訊的總結,并就其暴露出的問題進行探討。
*2.DeFi安全類型事件*
The Sandbox投資區塊鏈媒體與合作公司Cosmo Media Labs:9月16日消息,元宇宙平臺The Sandbox宣布對區塊鏈媒體與合作公司Cosmo Media Labs進行投資,具體投資金額暫未披露。Cosmo Media Labs希望利用其品牌內容策略來彌合新舊媒體之間的差距,后續還將在The Sandbox內構建元宇宙社交和數字體驗中心。
The Sandbox首席執行官Sebastien Borget表示,投資Cosmo Media Labs可以讓他們在媒體之間架起一座橋梁,更好地利用Web3力量來塑造元宇宙文化。(list23)[2022/9/16 7:01:02]
8月2日,知道創宇區塊鏈安全實驗室檢測到,跨鏈通訊協議Nomad遭到攻擊,導致近1.9億美元的加密貨幣被移除。
8月2日,收益聚合器ReaperFarm遭到攻擊,攻擊者已轉移160萬DAI和62枚ETH至Tornado.Cash。
8月5日,EtnProduct項目遭到閃電貸攻擊,攻擊者總共獲利約3074美元和一個價值7380美元的NFT。
8月5日,ANCHStakePool項目遭到價格操縱攻擊,攻擊者共獲利106931USDT。
民生銀行黃劍輝:運用區塊鏈技術 構建數字化資本市場:5月6日消息,中國民生銀行研究院院長黃劍輝表示,其提出了打造21世紀全球新型數字化資本市場的初步思考與構想。構建平臺的大方向是運用區塊鏈等數字化技術及平臺戰略,對證券交易所進行平臺化管理。在市場構建過程中需要注意,探索在證券交易中應用區塊鏈技術,嘗試建立基于小范圍證券交易的聯盟鏈,并逐步試驗推廣區塊鏈技術。(證券日報)[2020/5/6]
8月8日,BSC上的EGDFinance項目遭到黑客攻擊,導致代幣價格被閃電貸操控從而獲利。黑客共獲利約36000BUSD。
8月14日,Acala因iBTC/aUSD池的漏洞遭到黑客攻擊,團隊正在通過一項緊急投票,暫停Acala上的操作,同時正調查并解決這個問題。
8月17日,Stader.Near在其官方社交媒體發文表示,黑客利用了NearX智能合約中的一個漏洞,造成約165,000枚NEAR損失。Stader.Near已暫停其智能合約,用戶在此期間無法質押、解除質押或提款。
8月22日,BNBChain上DeFi借貸協議CreamFinance正面臨流動性危機,造成此次危機的原因主要是協議允許某用戶在無抵押物的情況下最多借貸10.7萬枚BNB。
聲音 | 盤和林:以區塊鏈技術為基礎的數字貨幣與金融具有天然的融合性:中南財經政法大學數字經濟研究院執行院長盤和林發文表示,人民幣的國際化有三個重要條件。一是人民幣在境外有一定的流通度,二是在國際貿易中以人民幣結算的交易要達到一定比重,三是以人民幣計價的金融產品成為國際各主要金融機構包括中央銀行的投資工具。而以區塊鏈技術為基礎的數字貨幣與金融具有天然的融合性,使用數字貨幣將會極大提高跨境結算的速度,其安全性也比傳統跨境結算高得多。隨著中國的國際影響力和海外資本的擴張,DC/EP將成為人民幣國際化的重要推動力量。(中證網)[2020/1/9]
8月24日,BNBChain上DeFi協議KaoyaSwap遭到交易函數的錯誤邏輯引起的攻擊,攻擊利潤在37294枚BUSD和271.2枚WBNB左右。
8月31日,BNBChain上CUPID代幣合約遭遇閃電貸攻擊,CUPID代幣和VENUS代幣均暴跌,攻擊者獲利78622美元。
*3.騙局安全類型事件*
8月3日,加密項目TiFiToken發生RugPull,代幣TiFi價格下跌20%,共獲利約700BNB。
8月7日,加密項目SaxonJamesMusk疑似發生RugPull,代幣SJMUSK下跌逾68%,0x53a開頭的EOA地址不斷賣出,已獲利約1355BNB。
動態 | 深圳區塊鏈電子發票已開具近1500萬份:金色財經報道,深圳在2018年8月上線區塊鏈電子普通發票,至今已開具近1500萬份,開票金額超過96.4億元,覆蓋了餐飲、零售、交通、住宿等多個民生領域,為日均約2萬人次的深圳市民節省了寶貴的開票時間。[2020/1/8]
8月8日,Polygon鏈游Dragoma疑似發生RugPull,其代幣DMA從1.8美元暴跌至0.003美元左右,跌幅超99%。損失約為270萬美元。
8月10日,XSTABLE.PROTOCOL發生RugPull,代幣XST價格下跌98.4%,官網xstable.finance疑似已被關閉,推特賬號則已被刪除。
8月10日,DeFi項目BlurFinance疑似發生RugPull,其TokenBLR價格下跌99%。此外,該項目的社交媒體賬號已刪除,并且Polygon和BNB鏈上價值60萬美元資產被轉移。
8月11日,與五糧液同名的NFT項目Wuliangye疑似發生RugPull,目前官網與Discord社群已關閉。該項目與名酒品牌五糧液無關,僅為同名。項目方共獲利70.5枚ETH。
8月12日,BNBGrowth代幣發生RugPull,合約部署者將代幣以393BNB的價格售出,并發送到外部賬戶(EOA)。
動態 | 《鐵臂阿童木》制作團隊區塊鏈漫畫新作:Dismoney 第一話:ChainAge于近日公開連載漫畫《Dismoney》,該漫畫描繪了圍繞虛擬貨幣·區塊鏈的新經濟世界。[2018/11/12]
8月12日,GameFi項目DLWorld疑似發生RugPull,GSG價格下跌超97%,約183000美元的資產被轉移。
8月12日,由0xea16地址以400枚BNB資助的詐騙者創建了包括Bitnity、ACKToken等約20個合約發生RugPull,他們抬高價格后抽空合約資金,3900枚BNB被轉移。
8月14日,GEMDAO發生RugPull,項目方共卷走322BNB(約105,553.49美元)。
8月14日,BNBChain上項目MMFinance發生RugPull,MMF代幣下跌超過93%。
8月14日,巴西加密借貸平臺BlueBenx禁止其所有22000名用戶提取資金,稱遭遇黑客攻擊損失達3200萬美元。BlueBenx未提供黑客攻擊細節,有投資者質疑黑客攻擊或為騙局。
8月15日,Polygon鏈上項目FIOProtocol發生RugPull,FIOToken價格下跌100%。
8月15日,BNBChain上GoCoin項目疑似發生RugPull,Go代幣下跌95%,合約部署者將費用設置為最高,并將禁止出售的地址列入黑名單。
8月23日,NFT交易平臺sudoswap仿盤SudoRare疑似RugPull,被盜519枚ETH,目前官方社交賬號已注銷。
8月25日,BNBChain上RSHIB項目發生RugPull,RSHIB代幣價格暴跌92%。合約部署者移除流動性并向外部賬戶(EOA)地址發送約47枚BNB。該項目的推特帳戶也已被刪除。
8月27日,BNBChain上項目ArcadeEarn發生RugPull,代幣價格下跌超過59%。部署者將40000枚ArcadeEarn代幣發送至一個外部賬戶(EOA),并以約15300美元的價格出售。
*4.網絡釣魚安全類型事件*
8月2日,GasGuzzlers項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。
8月2日,CyberCrew項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。
8月2日,Miningverse項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。
8月3日,NFT項目dTweenies的Discord服務器遭到攻擊,請用戶不要點擊鏈接、鑄造或批準任何交易。
8月5日,DogeCapital項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。
8月11日,MogulProductions項目的Discord服務器遭到攻擊,請用戶不要點擊鏈接、鑄造或批準任何交易。
8月15日,NFT項目PirateApes的Discord服務器遭到攻擊,請用戶不要點擊鏈接、鑄造或批準任何交易。
8月29日,Floaties項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。
8月31日,推特帳戶@WJahitucker被黑客劫持,黑客使用其冒充NFT交易市場LooksRare的帳戶,并發布了空投騙局。
*5.其他安全事件類型*
8月3日,Solana錢包Phantom疑似遭到黑客攻擊,估計損失為800萬美元。
8月3日,加密交易平臺中幣的熱錢包似乎因私鑰泄露而被黑客攻擊,黑客共計獲利約合480萬美元。
8月4日,SlopeWallet(Android,Version:2.2.2)的sentry服務存在私鑰泄露。
8月10日,去中心化交易平臺CurveFinance在社交媒體表示其網站前端被攻擊,提醒用戶如果在數小時內使用過Curve請立即解除授權。此次攻擊黑客已竊取價值570,000美元的ETH,并已轉移到FixedFloat。
8月18日,CelerNetwork推出的跨鏈橋cBridge遭到DNS劫持攻擊,重定向用戶操作與惡意合約進行交互從而盜取用戶資產。目前該攻擊者,已經將攻擊獲取的加密資產對換成127ETH,并且已轉入TornadoCash。
8月21日,黑客利用GeneralBytes旗下比特幣ATM服務器中的零日漏洞(zero-dayvulnerability)從客戶那里竊取加密貨幣。當用戶通過ATM存款或購買加密貨幣時,資金反而會被黑客竊取。
*6.總結*
從DeFi安全形勢來看,本月安全事件中閃電貸攻擊和邏輯漏洞最為頻繁,其他安全事件攻擊類型形式也變得更加多樣化。縱觀今年的DeFi形式,跨鏈項目越來越受到黑客的青睞,同時每次跨鏈安全事件所造成的損失也是極為嚴重,所以我們需要深思如何安全的利用跨鏈。知道創宇區塊鏈安全實驗室在此提醒大家,合約安全對于安全來說有必要進行常規審計和復合審計,以此來保障合約免受其他攻擊影響,同時也要高度重視授權問題,對于授權要有明確的時間限制。
從網絡釣魚以及騙局跑路來看,這兩種類型的安全事件之所以一直很多,一方面是攻擊手法簡單容易操作,另一方面是所涉及的用戶幾乎沒有技術背景因此更加容易被騙。希望用戶在進行投資和項目考察的過程中也要多學習區塊鏈相關知識,盡可能減少自己的潛在損失;當然用戶也可以借助一些工具來減少被釣魚的風險,比如FishAlert插件,遇到陌生的域名,先問一問「它」,就可以極大減少風險。
在密碼學中,可驗證隨機函數是一種隨機數生成器,可以通過加密手段來驗證隨機性。可驗證的隨機數對許多區塊鏈應用來說都是不可或缺的要素,因為這類隨機數具有防篡改性和不可預測性,可以用來打造刺激的游戲體.
1900/1/1 0:00:00FTX&AlamedaGamingInvestments時間線梳理:2017年10月,SamBankman-Fried用自有資金創辦加密貨幣量化交易公司AlamedaResearch;2.
1900/1/1 0:00:00如果你初來乍到Web3的世界,你要學習的第一件事是:保持懷疑,保持敬畏,保持對求知欲;路途自由美好,但路邊也險象環生.
1900/1/1 0:00:00據官方消息,GetBlock已成為2022波場黑客松大賽第三季合作伙伴。與此同時,GetBlock首席業務發展官AzizAmerTash將擔任本季評委.
1900/1/1 0:00:00保障DeFi衍生品市場的安全將為Web3帶來巨大價值。衍生品在全球金融市場中的價值超過1000萬億美元。因此,DeFi金融衍生品將有無限潛力顛覆并改善傳統衍生品市場.
1900/1/1 0:00:00據官方消息,UnstoppableDomains已成為2022波場黑客松大賽第三季合作伙伴。與此同時,UnstoppableDomains合伙人工程經理JimAmarando將擔任本季評委.
1900/1/1 0:00:00