創宇區塊鏈｜5 月安全月報

發表於 2022-05-31 11:35 作者： 知道創宇區塊鏈安全實驗室

前言

五月以來，幣價雖然在不斷下滑然而發生的安全事件的數量卻在顯著攀升，據 知道創宇區塊鏈安全實驗室【被黑事件檔案庫】 數據顯示：該月發生的安全事件超 37 起，其中跑路騙局和網絡釣魚事件頻發，而 Terra 生態的原生算法穩定幣 UST 因資本圍獵和債務危機，出現 UST 嚴重脫錨事件，導致 Luna 暴跌，損失高達 410 億美元。本月安全事件除 Luna 外涉及到的安全事件總金額共計約 3000 萬美元。

以下是 知道創宇區塊鏈安全實驗室對五月各類型安全資訊的總結，並就其暴露出的問題進行探討。

DeFi 安全類型事件

• 5 月 5 日，Cronos 生態 DEX MM.Finance 遭到前端攻擊，黑客利用 DNS 漏洞從用戶那裏竊取超過 200 萬美元的 CRO Token。被盜資金已轉入 Tornado Cash。

• 5 月 14 日，BNBChain 上借貸協議 Venus 發布 LUNA 預言機事件補充公告稱，UTC 時間 5 月 12 日 09:20 左右，Chainlink 對 LUNA 的價格反饋達到價格下限，並被其以 0.107 美元的價格暫停，而 Venus 的 LUNA 市場繼續運行，但現貨價格繼續下跌，4 小時後現貨價格約爲 0.01 美元時團隊發現問題並暫停協議，資金損失缺口約 1420 萬美元。

• 5 月 16 日，BNB Chain 上項目 Feminist Metaverse(FM_Token) 遭到攻擊。攻擊者獲利 1838 BNB ，約 54 萬美元，之後攻擊者將 BNB 轉入 tornado.cash。

• 5 月 16 日，多鏈 DeFi 協議 FEG 遭到攻擊，共損失 144 枚以太坊和 3280 枚 BNB，約 130 萬美元。

• 5 月 17 日，多鏈 DeFi 協議 FEG 再次受到攻擊，損失約 190 萬美元（其中 BNB Chain 130 萬美元，以太坊 60 萬美元）。

• 5 月 21 日，bDollar 項目遭到價格操控攻擊，攻擊者獲利 2381 WBNB（價值約 73 萬美元）。

• 5 月 24 日，hackerDao 項目遭到價格操控攻擊，攻擊者實施了兩次攻擊，總計獲利約 200 BNB（價值約 66000），已經轉至 Tornado.cash。

• 5 月 25 日，以太坊上 MVE bot 疑似遭到攻擊，損失 8.18 個 ETH，約 15971.72 美元。

• 5 月 29 日，在 Terra 新鏈啓動後，LUNC（Luna Classic）的預言機價格達到 5 美元，而實際價格遠低於 5 美元，Anchor 平台一名用戶注意到該漏洞，存入大約 2000 萬個 Lido Bonded Luna Token，並成功借出 4000 萬 UST，最終提取並獲利約 80 萬美元。

• 5 月 30 日，DeFi 項目 Novo 疑似遭遇攻擊，黑客已將 280 枚 BNB（約 8.96 萬美元）轉移至 Tornado.cash。

騙局安全類型事件

• 5 月 11 日，Diaos 項目發生 Rug Pull，Diaos 價格暴跌，合約所有者利用 mint() 函數向鑄造了 100 萬枚 Diaos 代幣並發送到了另一個账戶，隨後向其他地址分發代幣並通過 Pancake Swap 出售。

• 5 月 16 日，TOM 項目發生 Rug Pulls，代幣下跌了 99.94%。目前已經有 1200 BNB 轉入了 TornadoCash。

• 5 月 17 日，BSC 鏈上項目 Token ALG 發生 Rug Pull，價格下跌 99.95%，約 581.5 BNB 被轉入 Tornado Cash。

• 5 月 18 日，JJH DAO 項目發生 Rug Pull。其項目代幣 JJH 價格跌副超過 94%。

• 5 月 24 日，KCT 代幣發生 Rug Pull，代幣價格下跌 100%，超 607 枚 BNB 轉入 Tornado.Cash。

• 5 月 25 日，BNB Chian 上項目 DecentraWorld 發生 RugPull，代幣 DEWO 下跌 97%，DecentraWorld 社交账戶已注銷，約 3200 枚 BNB（約 100 萬美元）從 DecentraWorld 合約部署器中被提取。

• 5 月 25 日，BNB Chian 上項目 Starship 發生 Rug Pull，其代幣價格幾乎歸零，約 715 枚 BNB 轉入 Tornado Cash。

• 5 月 27 日，BNB Chian 上鏈遊項目 Pokemoney 發生 Rug Pull，導致代幣 PMY 價格下跌 99.98%，詐騙者共提取了 1.18 萬枚 BNB（約 350 萬美元）。

• 5 月 27 日，BNB Chain 上生態 Move to Earn 應用 Sport 爲騙局，SPORT Token 跌幅逾 94%。

網絡釣魚安全類型事件

• 5 月 9 日，有數十個 YouTube 頻道通過剪輯馬斯克和傑克多爾西和 Ark Invest 的舊視頻進行詐騙，詐騙者在這些視頻中加入其虛假加密信息，包括指向欺詐性加密贈品網站的鏈接，有數百萬美元被盜。

• 5 月 18 日，美國演員 SethGreen 遭遇釣魚攻擊，致 4 個 NFT（包括 1 個 BAYC、2 個 MAYC 和 1 個 Doodle）被盜，釣魚者地址已將 NFT 全部售出，獲利近 160 枚 ETH（約 33 萬美元）。

• 5 月 18 日，CyberConnect、Moonbirds、PROOF、Memeland、RTFKT 官方 Discord 均遭遇黑客攻擊，並在 Discord 中放出釣魚鏈接。

• 5 月 20 日，Flare Community 在推特上提醒用戶警惕 FLR 預售相關網絡釣魚詐騙。目前已發現 96 個 Flare Network 的冒名虛假網站以 Discord 用戶爲目標，發布 Flare Network 進行 FLR 預售的虛假信息及釣魚鏈接。

• 5 月 22 日，數字藝術家 Beeple 的推特账號遭到黑客攻擊，並被攻擊者用於推廣網絡釣魚騙局，Beeple 推特账號發布的推文中包含路易威登 NFT 合作抽獎的虛假釣魚鏈接。騙子還使用該账號發布其他虛假 NFT 系列的釣魚鏈接。

• 5 月 23 日，NFT 項目 APIENS 的 Discord 遭遇攻擊，130 枚 NFT 已被轉移，包括 24 枚 Apiens 及 1 枚 ENS。

• 5 月 23 日，NFT 項目 The Fracture 的 Discord 遭遇攻擊，攻擊者已獲利 455 枚 SOL。

• 5 月 25 日，推特用戶 @CirrusNFT 的推文顯示，29 個 Moonbirds NFT 在一次黑客攻擊中被盜，損失金額達 150 萬美元。

• 5 月 25 日，NFT 稀有度排名工具 Trait Sniper 的 Discord 遭到黑客攻擊，59 枚 NFT 已被轉移到 0x3E8Da 开頭的地址，其中包括 3 枚 Otherdeed、1 枚 CloneX、2 枚 RTFKT-MNLTH、1 枚 adidasoriginals 等 NFT。

• 5 月 26 日，知道創宇區塊鏈安全實驗室 監測顯示，goblintown-claims[.]wtf 是一個釣魚網站。該網站引誘用戶連接錢包以盜取 NFT，並且這個釣魚網站看起來與官方網站幾乎完全相同。

• 5 月 27 日，知道創宇區塊鏈安全實驗室 監測顯示，zed-run.info 是一個網絡釣魚站點，它可能會竊取用戶的私鑰。

• 5 月 27 日，知道創宇區塊鏈安全實驗室 監測顯示，gunslingersnft[.]org 是一個釣魚網站鏈接，GunslingersNFT Discord 可能遭到了攻擊。

公鏈安全事件類型

• 5 月 10 日，Terra 生態的原生算法穩定幣 UST 因資本圍獵和債務危機，出現 UST 嚴重脫錨事件，導致 Luna 價格暴跌，損失高達 400 億美元。

其他安全事件類型

• 5 月 24 日，以太坊二層擴容網絡 Optimism 公布空投最新進展，表示將移除 17101 個女巫攻擊者地址的空投資格。上述地址的超 1400 萬枚 OP Token 原定空投，將按比例重新分配給在 Airdrop #1 中其余有資格的用戶。

• 5 月 26 日，知道創宇區塊鏈安全實驗室 檢測到詐騙者將 Wrapped LUNA 2.0 發送到 Terra Deployer 地址，並空投至 Vitalik Buterin 等相關地址，企圖僞裝成官方 Terra Deployer 空投。

• 5 月 29 日，跨鏈橋 Hop Protocol 在 Discord 中表示，由於提交地址表單的漏洞，去中心化應用平台 Authereum 的用戶需在 6 月 2 日前重新提交空投領取地址的表單，如果錯過，也可以在 Token 上线後的 6 個月內通過治理提案申領 Token。

• 5 月 30 日，MetaMaskDAO 爲蜜罐騙局，MetaMaskDAO 合約地址（0x55e596753247efb7126a965ed07c0d51eb773f6e）發行了大量代幣，並將它們發送到加密影響者和加密交易所的地址，如 V 神 (Vitalik Buterin)、NBA 著名球星 Stephen Curry、幣安及 Bithumb 交易所。

• 5 月 30 日，Moonbirds 發布安全公告稱 Nesting 合約存在安全問題。該安全問題出現在 OpenSea 或者 LooksRare 等 NFT 交易平台，當用戶在平台進行掛單售賣時，賣家不能僅通過執行 nesting（築巢）函數禁止 NFT 的售賣，而是需要下架交易平台中相關的 NFT 售賣訂單，因爲不這樣做的話，在某個特定場景下买家將會繞過 Moonbirds 在 nesting（築巢）時不能交易的限制。

總結

從 Defi 安全形勢來看，本月安全事件中，閃電貸攻擊和預⾔機操控成爲常客，越來越多的攻擊手法呈現普遍化，技術上趨向於成熟。同時出現了多例非預期事件如 Venus 的 ChinaLink 預言機事故，Terra 生態也因各方原因導致崩盤。知道創宇區塊鏈安全實驗室在此提醒，對合約安全有必要做到常規審計和復合審計，保障合約免受其他攻擊影響，同時高度重視授權問題，對於授權要有明確的時間限制。

從網絡釣魚以及騙局跑路頻發來看，區塊鏈用戶極容易被欺騙，對此用戶需要學習區塊鏈基礎並提高自身安全意識，在理解區塊鏈基礎上辨別項目真僞，對於陌生鏈接以及不合理請求不要亂點，名人相關的視頻或圖片也要進行相關求證，只有這樣做才能保障自身財產安全。

標題：創宇區塊鏈｜5 月安全月報

地址：https://www.coinsdeep.com/article/3270.html

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。