比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 火必 > Info

EOS:Beosin 2月安全月報:NFT釣魚事件大幅增加,各類攻擊事件損失總金額約5688萬美元_GVC

Author:

Time:1900/1/1 0:00:00

原文來源:Beosin

又到了每月安全盤點時刻!據區塊鏈安全審計公司?Beosin?旗下?BeosinEagleEye?安全風險監控、預警與阻斷平臺監測顯示,?2023?年?2?月,各類安全事件數量和涉及金額較?1?月大幅增加。2?月發生較典型安全事件超『?21?』起,各類攻擊事件損失總金額約?5688?萬美元,較?1?月上漲約?288%?。

本月共發生了?8?起百萬美元以上的安全事件,包括?MyAlgo、PlatypusFinance、ShataCapital等。本月約有一半的損失金額來自于針對個人用戶的攻擊:錢包?MyAlgo?被盜,約?25?個用戶地址總計損失超過?920?萬美元;NFT釣魚事件大幅增加,至少有超?2000?萬美元的各類?NFT?資產被盜。

Beosin:CS (CS)token遭受到攻擊,損失金額截至目前約71.4萬美元:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,2023年5月24日,bsc上鏈的CS(CS)代幣項目遭受攻擊。原因是代幣的_transfer函數中sellAmount沒有及時更新。Beosin安全團隊將簡析分享如下:

1、攻擊者利用閃電貸借入BSC-USD兌換成CS代幣。

2、攻擊者開始賣出3000 CS代幣,這一步會設置sellAmount。

3、攻擊者通過給自己轉賬,會觸發sync(),在這個函數中使用了上一步的sellAmount并且這個函數會銷毀pair的中CS代幣數量。Sync后sellAmount會置為0。重復2,3步持續減少pair中的CS代幣數量,拉升CS代幣的價格,使得后續一步可以兌換出更多的BSC-USD。

借入80,000,000 BSC-USD,兌換出80,954,000 BSC-USD,償還80,240,000 BSC-USD,獲利約714,000 BSC-USD。[2023/5/24 15:22:35]

DeFi方面

Beosin:SnarkJS 0.6.11及之前的版本中存在嚴重漏洞:金色財經報道,Beosin 安全研究人員在 SnarkJS 0.6.11及之前的版本的庫中發現了一個嚴重漏洞,SnarkJS 是一款用于構建零知識證明的開源 JavaScript 庫,廣泛應用于 zk-SNARK 技術的實現和優化。Beosin在提了這個漏洞以后,第一時間聯系項目方并協助修復,目前該漏洞還處于修復測試中。Beosin提醒所有使用了SnarkJS庫的項目方,在SnarkJS 庫這個漏洞還沒完全修復時,一定要注意安全風險。[2023/5/18 15:11:20]

Polygon鏈上?BonqDAO?遭受黑客攻擊,據官方統計,損失約?185?萬美元。

No.22?月?3?日,OrionProtocol項目因合約交換功能沒有重入保護而被黑客攻擊,攻擊者獲利約?302?萬美元。

Beosin:SEAMAN合約遭受漏洞攻擊簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,2022年11月29日,SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時,都會將SEAMAN代幣兌換為憑證代幣GVC,而SEAMAN代幣和GVC代幣分別處于兩個交易對,導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣,接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣,此時會觸發合約將能使用的SEAMAN代幣兌換為GVC,兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD,接下來在BUSD-GVC交易對中將BUSD兌換為GVC,攻擊者通過多次調用transfer函數觸發_splitlpToken()函數,并且會將GVC分發給lpUser,會消耗BUSD-GVC交易對中GVC的數量,從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD,獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),將持續關注資金走向。[2022/11/29 21:10:04]

No.3?2?月?4?日,穩定幣項目?SperaxUSD?因多簽錢包內部漏洞被攻擊,黑客鑄造了?97?億枚?USDs,獲利?31?萬美元。

分析 | Beosin預警:某游戲合約正遭受薅羊毛攻擊:Beosin(成都鏈安)預警:今天下午3:04分開始,根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現,黑客正對poker****合約進行薅羊毛攻擊。經過成都鏈安技術團隊分析,黑客賬戶部署攻擊合約,通過大量的onerror通知,在onerror內預計算開獎結果的方式,持續使大量子賬號中獎,每個賬號都會獲得0.05EOS并將獎勵轉給攻擊者主賬號。成都鏈安提醒各項目方提高警惕,加強安全防范措施,必要時聯系安全公司進行安全服務,避免不必要的資產損失。[2019/5/23]

No.4?2?月?8?日,LianGo?項目方疑似私鑰泄露,損失約?126?萬美元。

No.5?2?月?10?日,dForce?遭受黑客攻擊,損失約?370?萬美元。

No.62?月?17?日,Avalanche鏈上的Platypus項目遭受閃電貸攻擊,損失約?850?萬美元。

No.7?2?月?17?日,Dexible項目因合約中函數邏輯漏洞遭受攻擊,被盜約154?萬美元。

No.82?月?21?日,Cosmos生態?Layer?1?公鏈?Kujira?遭到黑客攻擊,損失約?23?萬美元。

No.92?月?24?日,多鏈DeFi協議?FEG?遭到攻擊,損失約?20?萬美元。該項目?2022?年?5?月也遭受過兩次攻擊,當時損失分別為?130?萬美元和?190?萬美元。

No.102?月?24?日,ShataCapital合約在升級后遭受黑客攻擊,黑客獲利約?510?萬美元。

No.112?月?27?日,SwapX?合約因關鍵函數缺乏鑒權而遭到攻擊,多個授權給該合約的代幣遭受了損失,涉及金額約?90?萬美元。

共發生『?3?』起典型安全事件

No.12?月?22?日,NFT項目?CryptoNinjaWorld合約存在嚴重漏洞,允許任何人銷毀該系列?NFT。

No.22?月?24?日,NFT?工具套件NFTCloud?遭受攻擊,損失約?8?萬美元。

No.32?月發生了多起?NFT?釣魚事件,至少有超?2000?萬美元的各類?NFT?資產被盜,包括?BAYC、Otherdeed、Doodles、Meebits、mfers?等。

共發生『?1?』起典型安全事件

No.12?月?19?日至?21?日,Algorand生態錢包MyAlgo?遭受攻擊,約有?25?個錢包被盜,用戶損失資金超過?920?萬美元,攻擊原因仍在調查中。

共發生『?2?』起典型安全事件

No.12?月?7?日,WOOF?代幣通過后門代碼發生?rugpull,部署者獲利?11?萬美元。

No.22?月?21?日,Arbitrum鏈上?HopeFinance?發生?rugpull,詐騙者提取了?180?萬美元并轉入TornadoCash。

共發生『?4?』起典型安全事件

No.1澳大利亞搗毀一澳大利亞華人洗錢集團,查封超?1?億美元資產中包括加密貨幣。

No.2韓國?QRC?銀行?CEO?因加密投資欺詐罪被判?10?年監禁,涉案金額近?1.6?億美元。

No.3加密貨幣交易平臺EminiFX的?CEO?因欺詐認罪,面臨最高10年監禁。

No.4Forsage的創始人因涉嫌3.4億美元的DeFi龐氏騙局而被起訴。

鑒于當前區塊鏈安全領域的新形勢,『Beosin』在此總結:

從總體上看,?2023?年?2?月各類區塊鏈安全事件涉及金額較?1?月大幅增加。1?月各類攻擊事件損失總金額約?5688?萬美元,較?1?月上漲約?288%?。

本月有更多的被盜資金被追回:例如?dForceNetwork?事件,黑客返還了全部盜取的?365?萬美元;涉嫌攻擊?Platypus?項目的黑客被法國逮捕。可以預見,全球加密貨幣監管是必然趨勢,預計未來會有更多被盜資金被追回的案例。2?月仍然有約?50%?的攻擊事件源于合約漏洞利用,建議項目方上線前一定要尋求專業的公司進行審計,用戶在與項目交互前也應仔細查看審計報告,避免資金受到損失。

Beosin?作為一家全球領先的區塊鏈安全公司,在全球?10?多個國家和地區設立了分部,業務涵蓋項目上線前的代碼安全審計、項目運行時的安全風險監控、預警與阻斷、虛擬貨幣被盜資產追回、安全合規?KYT/AML?等“一站式”區塊鏈安全產品服務,目前已為全球?3000?多個區塊鏈企業提供安全技術服務,審計智能合約超過?3000?份,保護客戶資產高達?5000?多億美元。

Tags:EOSSINUSDGVCSEOSSingularityNETCUSDT幣DGVC價格

火必
PLAY:前 MetaMask 運營負責人將推出 Web3 游戲平臺 HyperPlay_PLA

ForesightNews消息,據Decrypt報道,由Web3游戲DAOGame7與前MetaMask運營負責人JacobC.eth共同開發的Web3游戲平臺HyperPlay將正式上線.

1900/1/1 0:00:00
CHA:幣安完成Troy(TROY)BEP20網絡集成,並開放充值、提現業務_HAT

親愛的用戶: 幣安現已完成TroyBEP20的網絡集成,並開放Troy代幣於BNBSmartChain網絡的充值、提現業務.

1900/1/1 0:00:00
KEX:BKEX Global 關于\"驚喜空投,充值交易瓜分8,000,000TABOO\"活動結果的公告_COM

親愛的用戶: BKEX舉辦的"驚喜空投,充值交易瓜分8,000,000TABOO"活動已于2023年2月18日18:00圓滿結束,感謝用戶的大力支持!活動獎勵即將發放,請留意賬戶余額變動.

1900/1/1 0:00:00
HOT:Hotcoin關於恢復Terra Classic(LUNC)網絡充提的公告_OTC

尊敬的用戶:TerraClassic網絡升級已完成,Hotcoin現已恢復LUNC、USTC、ANC的充值、提現業務.

1900/1/1 0:00:00
OIN:CoinW將于3/1首發上線PEPES & PRIME,充值&交易瓜分$5,000大獎!_WCOIN幣

親愛的CoinW用戶: 幣贏CoinW將于2023/3/119:00在AI區首發上線PEPES,開通PEPES/USDT交易對.

1900/1/1 0:00:00
POL:Polygon的zkEVM公告適得其反,網絡會面臨熱度嗎?_polygon幣官網

gz呺Web3團子 Polygon創始人的推文在社交媒體上引起轟動。批評影響了整體情緒,NFT和DeFi行業受到影響.

1900/1/1 0:00:00
ads