BSP:一周動態 | Web3 安全事件總損失約 1996.3 萬美元_Ethereum Platinum

概覽

據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io) 統計，2023 年 8 月 14 日至 8 月 20 日，共發生安全事件 10 起，總損失約 1996.3 萬美元。

具體事件

2023 年 8 月 14 日，以太坊上 Zunami Protocol 協議遭遇價格操縱攻擊，損失 1,179 個 ETH（約 220 萬美元）。事件發生的原因是漏洞合約中 LP 價格計算依賴了合約自身的 CRV 余額，和 CRV 在 wETH/CRV 池中的兌換比例。攻擊者通過向合約中轉入 CRV 并操控 wETH/CRV 池子的兌換比例，從而操控了 LP 價格。據 MistTrack 分析，目前 ETH 都已轉入 Tornado Cash。

值得一提的是，此前我們的系統掃到了該漏洞，我們也善意提醒其出現漏洞，但項目方沒有重視，等到事件發生了已為時已晚。

數據：過去一周USDC流通量減少3億美元，當前總流通量為282億美元:6月18日消息，據官方數據，過去7天Circle共發行8億美元USDC，贖回11億美元USDC，流通量減少約3億美元。截至6月15日，USDC總流通量為282億美元，儲備量為283億美元，其中現金35億美元，隔夜回購協議248億美元。[2023/6/18 21:45:02]

2023 年 8 月 15 日，以太坊擴容解決方案 Metis 官方推特賬號被盜。據官方表示，團隊成員成為了 SIM 交換攻擊的受害者，導致惡意行為者能夠接管該帳戶大約 30 小時。

SIM 交換攻擊的目的是身份盜竊，攻擊者接管受害者的電話號碼，使他們能夠訪問銀行賬戶、信用卡或加密賬戶。慢霧 CISO 在接受 Cointelegraph 采訪時表示：“隨著 Web3 的普及，吸引更多人進入該行業，由于其技術要求相對較低，SIM 交換攻擊的可能性也隨之增加。此類 SIM 交換攻擊在 Web2 世界中也很普遍，因此看到它在 Web3 環境中出現也不足為奇。”

Lifeform Cartoon形象推出一周，鑄造數量已超50萬:2月24日消息，據官方消息，DID 解決方案提供商 Lifeform 推出的 Lifeform Cartoon 形象鑄造數量已超 50 萬。

此前報道，2 月 17 日，Lifeform 上線移動端虛擬人編輯器 Lifeform Cartoon。該軟件基于 Unity 引擎，支持 iOS 和 Android 系統，擁有 AI 拍照識別和圖片自動識別生成虛擬人以及 NFT AI Chat 等功能。[2023/2/24 12:27:09]

(https://cointelegraph.com/news/crypto-sim-swap-how-easy-is-sim-swap-crypto-hack)

由于 SIM 交換攻擊對黑客的技術技能要求不高，因此用戶必須注意自己的身份安全，以防止此類黑客攻擊。針對 SIM 交換黑客攻擊，我們建議使用多因素身份驗證、增強帳戶驗證（如附加密碼）或為 SIM 卡或手機帳戶建立安全的 PIN 或密碼。

新加坡高等法院：Su Zhu和Kyle Davies需在一周時間內提供提供關鍵財務文件:金色財經報道，已倒閉的加密貨幣對沖基金三箭資本聯合創始人Su Zhu和Kyle Davies最近在推特和媒體采訪中重新露面，對 Sam Bankman-Fried的FTX倒閉發表看法，但其新加坡法律團隊并沒有合作處理與三箭清算有關的文件請求，新加坡共和國高等法院已命令三箭資本及其聯合創始人需要在一周時間內提交宣誓書，概述他們與該公司的交易，同時也正式承認在英屬維爾京群島提交的清算令，這意味著法院指定的清算人 Teneo 可以要求公司及其聯合創始人提供新加坡財務記錄。

Solitaire 是代表三箭資本 (Three Arrows Capital)（也稱為 3AC）的新加坡律師事務所之一，該律所試圖獲取文件但未得到答復。[2022/12/2 21:17:03]

2023 年 8 月 15 日，Sei Network 官方 Discord 服務器遭入侵。

RocketSwap

2023 年 8 月 15 日，Base 生態項目 RocketSwap 遭遇攻擊，攻擊者竊取了 RCKT 代幣，將其轉換為價值約 86.8 萬美元的 ETH 并跨鏈到以太坊，然后黑客創建了一個名為 LoveRCKT 的 memecoin，目的可能是想利用盜來的資產操縱市場情緒以謀取個人利益。

全球機構持倉數據一周速覽（2.20-2.26）:金色財經報道，據歐科云鏈OKLink數據顯示，本周有2家上市公司增持BTC，增持總額為98,558枚；灰度增持BTC、ETH、LTC、BCH，減持ETC；機構BTC持倉總比重為5.841%。更多數據見下圖。[2021/2/26 17:56:50]

這一事件也引發了人們對 RocketSwap 的質疑，尤其是部署流程和私鑰存儲。然而，該團隊否認內部參與，并將此次行為歸因于第三方黑客。RocketSwap 表示：“團隊在部署 Launchpad 時需要使用離線簽名并將私鑰放在服務器上。目前檢測到服務器被暴力破解，且由于農場合約使用代理合約，存在多個高危權限導致農場資產轉移。”

SwirlLend

2023 年 8 月 16 日，借貸協議 SwirlLend 團隊從 Base 盜取了約 290 萬美元的加密貨幣，從 Linea 盜取了價值 170 萬美元的加密貨幣，被盜資金均被跨鏈到以太坊。截至目前，部署者已將  254.2 ETH 轉移到 Tornado Cash。SwirlLend 官方 Twitter 和 Telegram 帳戶已經注銷，其官方網站也無法訪問。據 MistTrack 分析，部署者使用了 SwftSwap、XY Finance、Orbiter Finance 等，同時，發現了如下 IP：50.*.*.106、50.*.*.58、50.*.*.42。

動態 | DeFi項目鎖倉價值9.98億美元，過去一周環比減少20.08%:據DAppTotal.com DeFi專題頁面數據顯示：截至目前，已統計的31個DeFi項目共計鎖倉資金達9.98億美元，其中EOSREX鎖倉2.89億美元，占比29.00%，排名第一位；Maker鎖倉2.62億美元，占比26.23%，排名第二位；排名第三位的是Edgeware鎖倉1.70億美元，占比17.05%；Compound，Synthetix、dYdX、Nuo等其他DeFi類應用共占比27.72%。截至目前，ETH鎖倉總量達327.48萬個，占ETH市場總流通量的3.03%，EOS鎖倉總量達1.09億個，占EOS市場總流通量的10.61%。過去一周，在一輪行情暴跌中，借貸市場也受到一定沖擊，僅Maker當天清算資金額就達到了632萬美元。此外，Maker再次縮小利率至10.5%。整體而言，受行情波動影響，DeFi項目整體鎖倉價值環比減少20.08%。[2019/9/30]

Made by Apes

2023 年 8 月 16 日，鏈上分析師 ZachXBT 發推稱，BAYC 推出的鏈上許可申請平臺 Made by Apes 的 SaaSy Labs APl 存在一個問題，允許訪問 MBA 申請的個人詳細信息。該問題在披露前已向 Yuga Labs 反饋，現已修復。Yuga Labs 回應稱，目前不確定是否存在數據濫用的情況，正在聯系任何可能暴露信息的人，并將為任何可能需要的用戶提供欺詐和身份保護。

(https://twitter.com/zachxbt/status/1691514780119343104)

Exactly Protocol

2023 年 8 月 18 日，DeFi 借貸協議 Exactly Protocol 遭受攻擊，損失超 7,160 枚 ETH（約 1204 萬美元）。兩個合約攻擊者通過多次調用函數 kick() 進行攻擊，并使用以太坊上的開發者合約將存款轉移到 Optimism，最終將被盜資金轉回以太坊。據了解，Exactly Protocol 被攻擊的根本原因是 insufficient_check，攻擊者通過直接傳遞未經驗證的虛假市場地址，并將 _msgSender 更改為受害者地址，從而繞過 DebtManager 合約杠桿函數中的許可檢查。然后，在不受信任的外部調用中，攻擊者重新進入 DebtManager 合約中的 crossDeleverage 函數，并從 _msgSender 種盜取抵押品。Exactly Protocol 在推特發文稱，協議已解除暫停，用戶可以執行所有操作，沒有發生任何清算。黑客攻擊只影響到使用外圍合約（DebtManager）的用戶，協議仍在正常運行。

Harbor Protocol

2023 年 8 月 19 日，Cosmos 生態跨鏈穩定幣協議 Harbor Protocol 發推表示，Harbor Protocol 被利用，導致 stable-mint、stOSMO、LUNA 和 WMATIC 金庫中的部分資金被耗盡。從目前收集到的信息來看，攻擊者使用以下地址執行所有操作：comdex1sma0ntw7fq3fpux8suxkm9h8y642fuqt0ujwt5。據悉，Harbor Protocol 在攻擊中損失了 42,261 枚 LUNA、1,533 枚 CMDX、1,571 枚 stOSMO 和 18,600 萬億枚 WMATIC。

Thales

2023 年 8 月 20 日，衍生品市場 Thales 發布公告稱，一名核心貢獻者的個人電腦/Metamask 遭到黑客攻擊，一些充當臨時部署者（2.5 萬美元）或管理員機器人（1 萬美元）的熱錢包已被攻破。請勿與 BNB Chain 上任何 Thalesmarket 合約交互，并撤銷任何待批準的合約。Optimism、Arbitrum、Polygon 和 Base 上的所有資金安全。Thales 表示，由于這次攻擊將正式放棄對 BSC 的支持。

總結

本周有兩起事件是由私鑰泄露造成的損失。過往因項目方私鑰管理不當而導致損失的事件也很常見，比如損失超 6.1 億美元的 Ronin Network 事件、損失超 1 億美元的 Harmony 事件、損失超 1.6 億美元的 Wintermute 事件。私鑰被盜的原由有許多種，針對項目方的私鑰安全主要有三方面：私鑰破解、社會工程學攻擊、生態安全。由于私鑰的重要性，提高安全存儲等級（如硬件加密芯片保護）、去除單點風險等都是防范攻擊的重要手段。私鑰/助記詞的備份上也可以考慮降低單點風險，并且使用一些安全的備份方式、介質或流程等，具體可參考慢霧出品的加密資產安全解決方案：https://github.com/slowmist/cryptocurrency-security。

慢霧科技

個人專欄

閱讀更多

金色財經

金色財經 善歐巴

web3中文

金色早8點

YBB Capital

吳說Real

元宇宙簡史

Tags：BSPNBSETHTOCBSPT幣nbs幣發行量Ethereum PlatinumRepublic Protocol

中幣下載