ANC:知道創宇區塊鏈安全實驗室 | 十月安全事件總結與回顧-ODAILY_DEFI

前言

10月以來各類安全事件依然多發且主要集中在月末，從Defi安全角度看安全形勢不容樂觀，黑客攻擊帶來的損失最大多達1.3億美元，令人震驚。知道創宇區塊鏈安全實驗室總結了10月發生的各類安全事件，并就攻擊手法和暴露出的問題進行探討。

10月安全事件盤點

以下是10月發生的各領域的安全事件：

10月2日

BSC鏈上DeFI協議AutoSharkFinance遭遇閃電貸攻擊，其挖礦兌換功能存在漏洞，被黑客攻擊后損失約58萬美元。

Cardano創始人：我知道怎么找出中本聰:Cardano創始人、IOHK首席執行官Charles Hoskinson在接受采訪時談到了一種或可揭開中本聰身份疑云的方法。Charles提出的方法源于“文體學（Stylometry）”即通過研究個人寫作習慣，分析個人寫作特點，進而確定作者身份。而Charles在此基礎上又提到了一個新的名詞“代碼文體學（Code Stylometry）”即通過分析代碼特征以判斷編寫者身份。鑒于最早期的比特幣代碼均為中本聰本人編寫，通過上述方法，可以將早期比特幣代碼與所有開源項目中的代碼進行比對，有很大概率可以找出“代碼文體學”意義上由同一個人編寫的其他項目代碼，隨后，再去跟蹤這些被找出的項目，便有可能最終定向至中本聰的真身。（U.Today）[2020/4/6]

10月4日

SEC發布：關于ICO你需要知道的5件事:美國證券交易委員會（SEC）官網ICO頁面發布了關于ICO需要知道的5件事：1.若ICO屬于發行證券，需遵循聯邦證券法并接受SEC管轄；2.證券類ICO最可能需要在SEC注冊，或者享受豁免注冊；3.ICO中所售代幣可以有各種名稱，但這不會改變其證券屬性；4.ICO有可能產生欺詐交易或黑客攻擊等重大風險，且事后對受害者幾乎沒有索賠權；5.投資前要多多詢問相關信息，獲得明確答案。[2018/3/30]

去中心化借貸協議Compound在試圖通過社區提案修補流動性挖礦代幣分發合約含有的漏洞的同時，因為drip()函數的調用而向漏洞合約打入了20萬枚comp代幣，由此該協議已面臨1.58億美元的潛在損失。

網絡攻擊者并不知道誰真的支付了加密貨幣:據Mashable中文站5日報道，互聯網公司Akamai的安全研究人員最近發現，網絡攻擊者改變了以前先發動攻擊再通過電子郵件或其他方式發出勒索信的做法次序，在攻擊的同時將勒索信埋在了攻擊數據中一并發出去。據采訪稱，當勒索門羅幣時，由于門羅幣固有的匿名性質，攻擊者本人也并不一定知道受攻擊者誰支付了贖金。[2018/3/6]

10月11日

Moonriver鏈上DEXMoonSwapIDO項目SaturnBeam跑路。

10月15日

以太坊上被動收益協議IndexedFinance遭到攻擊，其漏洞產生的原因在于協議通過一種代幣來描述整個礦池價值，損失約1600萬美元。

10月18日

ESC鏈上DeFi協議GlideFinance合約漏洞被利用，漏洞原因為團隊在審計后進行了費用參數更改，但未將合約上的數字從1000更新為10000，損失約為30萬美元。

10月20日

BSC鏈上DeFi協議PancakeHunny遭閃電貸攻擊，漏洞原因在于其底層資產兌換過程的價格易被操控，使得攻擊者可以通過巨額資金操縱某一交易對價格進行攻擊套利。

10月21日

Avalanche鏈上生態協議AvaterraFinance遭黑客攻擊，其鑄幣合約存在嚴重漏洞，任何人都可以調用其鑄幣功能。

10月27日

以太坊上DeFi借貸協議CreamFinance再遭受攻擊，此次攻擊產生的核心代碼原因在于價格因子pricePerShare通過簡單的資產數額占比來動態定價，損失約1.3億美元。

10月29日

BSC鏈上DeFi協議AutoSharkFinance于本月再次遭到攻擊，損失金額超200萬美元。

10月29日

公平啟動拍賣平臺Copper上啟動的項目AnubisDAO中5865萬美元資金被盜。

10月30日

BSC鏈上去中心化交易協議BXH項目遭受攻擊，該攻擊核心原因在于管理權限被直接賦予攻擊者，損失金額約1.39億美元。

總結

10月發生的安全事件類型是多樣化的，各種漏洞產生的情況也是各有不同，有礦池功能存在問題、有兌換功能存在問題、甚至有鑄幣功能存在問題等。知道創宇區塊鏈安全實驗室在此提醒，近期各鏈上攻擊情況仍然處于多發，合約安全需要得到最高的重視，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：ANCDEFEFIDEFIUnited Farmers FinanceDecentralized Tower DefenseDeFi11DeFi Kingdom

波場