創宇區塊鏈|5 月安全月報

發表於 2022-05-31 11:35 作者: 知道創宇區塊鏈安全實驗室

前言

五月以來,幣價雖然在不斷下滑然而發生的安全事件的數量卻在顯著攀升,據 知道創宇區塊鏈安全實驗室【被黑事件檔案庫】 數據顯示:該月發生的安全事件超 37 起,其中跑路騙局和網絡釣魚事件頻發,而 Terra 生態的原生算法穩定幣 UST 因資本圍獵和債務危機,出現 UST 嚴重脫錨事件,導致 Luna 暴跌,損失高達 410 億美元。本月安全事件除 Luna 外涉及到的安全事件總金額共計約 3000 萬美元。

以下是 知道創宇區塊鏈安全實驗室對五月各類型安全資訊的總結,並就其暴露出的問題進行探討。

DeFi 安全類型事件

  • 5 月 5 日,Cronos 生態 DEX MM.Finance 遭到前端攻擊,黑客利用 DNS 漏洞從用戶那裏竊取超過 200 萬美元的 CRO Token。被盜資金已轉入 Tornado Cash。

  • 5 月 14 日,BNBChain 上借貸協議 Venus 發布 LUNA 預言機事件補充公告稱,UTC 時間 5 月 12 日 09:20 左右,Chainlink 對 LUNA 的價格反饋達到價格下限,並被其以 0.107 美元的價格暫停,而 Venus 的 LUNA 市場繼續運行,但現貨價格繼續下跌,4 小時後現貨價格約爲 0.01 美元時團隊發現問題並暫停協議,資金損失缺口約 1420 萬美元。

  • 5 月 16 日,BNB Chain 上項目 Feminist Metaverse(FM_Token) 遭到攻擊。攻擊者獲利 1838 BNB ,約 54 萬美元,之後攻擊者將 BNB 轉入 tornado.cash。

  • 5 月 16 日,多鏈 DeFi 協議 FEG 遭到攻擊,共損失 144 枚以太坊和 3280 枚 BNB,約 130 萬美元。

  • 5 月 17 日,多鏈 DeFi 協議 FEG 再次受到攻擊,損失約 190 萬美元(其中 BNB Chain 130 萬美元,以太坊 60 萬美元)。

  • 5 月 21 日,bDollar 項目遭到價格操控攻擊,攻擊者獲利 2381 WBNB(價值約 73 萬美元)。

  • 5 月 24 日,hackerDao 項目遭到價格操控攻擊,攻擊者實施了兩次攻擊,總計獲利約 200 BNB(價值約 66000),已經轉至 Tornado.cash。

  • 5 月 25 日,以太坊上 MVE bot 疑似遭到攻擊,損失 8.18 個 ETH,約 15971.72 美元。

  • 5 月 29 日,在 Terra 新鏈啓動後,LUNC(Luna Classic)的預言機價格達到 5 美元,而實際價格遠低於 5 美元,Anchor 平台一名用戶注意到該漏洞,存入大約 2000 萬個 Lido Bonded Luna Token,並成功借出 4000 萬 UST,最終提取並獲利約 80 萬美元。

  • 5 月 30 日,DeFi 項目 Novo 疑似遭遇攻擊,黑客已將 280 枚 BNB(約 8.96 萬美元)轉移至 Tornado.cash。

騙局安全類型事件

  • 5 月 11 日,Diaos 項目發生 Rug Pull,Diaos 價格暴跌,合約所有者利用 mint() 函數向鑄造了 100 萬枚 Diaos 代幣並發送到了另一個账戶,隨後向其他地址分發代幣並通過 Pancake Swap 出售。

  • 5 月 16 日,TOM 項目發生 Rug Pulls,代幣下跌了 99.94%。目前已經有 1200 BNB 轉入了 TornadoCash。

  • 5 月 17 日,BSC 鏈上項目 Token ALG 發生 Rug Pull,價格下跌 99.95%,約 581.5 BNB 被轉入 Tornado Cash。

  • 5 月 18 日,JJH DAO 項目發生 Rug Pull。其項目代幣 JJH 價格跌副超過 94%。

  • 5 月 24 日,KCT 代幣發生 Rug Pull,代幣價格下跌 100%,超 607 枚 BNB 轉入 Tornado.Cash。

  • 5 月 25 日,BNB Chian 上項目 DecentraWorld 發生 RugPull,代幣 DEWO 下跌 97%,DecentraWorld 社交账戶已注銷,約 3200 枚 BNB(約 100 萬美元)從 DecentraWorld 合約部署器中被提取。

  • 5 月 25 日,BNB Chian 上項目 Starship 發生 Rug Pull,其代幣價格幾乎歸零,約 715 枚 BNB 轉入 Tornado Cash。

  • 5 月 27 日,BNB Chian 上鏈遊項目 Pokemoney 發生 Rug Pull,導致代幣 PMY 價格下跌 99.98%,詐騙者共提取了 1.18 萬枚 BNB(約 350 萬美元)。

  • 5 月 27 日,BNB Chain 上生態 Move to Earn 應用 Sport 爲騙局,SPORT Token 跌幅逾 94%。

網絡釣魚安全類型事件

  • 5 月 9 日,有數十個 YouTube 頻道通過剪輯馬斯克和傑克多爾西和 Ark Invest 的舊視頻進行詐騙,詐騙者在這些視頻中加入其虛假加密信息,包括指向欺詐性加密贈品網站的鏈接,有數百萬美元被盜。

  • 5 月 18 日,美國演員 SethGreen 遭遇釣魚攻擊,致 4 個 NFT(包括 1 個 BAYC、2 個 MAYC 和 1 個 Doodle)被盜,釣魚者地址已將 NFT 全部售出,獲利近 160 枚 ETH(約 33 萬美元)。

  • 5 月 18 日,CyberConnect、Moonbirds、PROOF、Memeland、RTFKT 官方 Discord 均遭遇黑客攻擊,並在 Discord 中放出釣魚鏈接。

  • 5 月 20 日,Flare Community 在推特上提醒用戶警惕 FLR 預售相關網絡釣魚詐騙。目前已發現 96 個 Flare Network 的冒名虛假網站以 Discord 用戶爲目標,發布 Flare Network 進行 FLR 預售的虛假信息及釣魚鏈接。

  • 5 月 22 日,數字藝術家 Beeple 的推特账號遭到黑客攻擊,並被攻擊者用於推廣網絡釣魚騙局,Beeple 推特账號發布的推文中包含路易威登 NFT 合作抽獎的虛假釣魚鏈接。騙子還使用該账號發布其他虛假 NFT 系列的釣魚鏈接。

  • 5 月 23 日,NFT 項目 APIENS 的 Discord 遭遇攻擊,130 枚 NFT 已被轉移,包括 24 枚 Apiens 及 1 枚 ENS。

  • 5 月 23 日,NFT 項目 The Fracture 的 Discord 遭遇攻擊,攻擊者已獲利 455 枚 SOL。

  • 5 月 25 日,推特用戶 @CirrusNFT 的推文顯示,29 個 Moonbirds NFT 在一次黑客攻擊中被盜,損失金額達 150 萬美元。

  • 5 月 25 日,NFT 稀有度排名工具 Trait Sniper 的 Discord 遭到黑客攻擊,59 枚 NFT 已被轉移到 0x3E8Da 开頭的地址,其中包括 3 枚 Otherdeed、1 枚 CloneX、2 枚 RTFKT-MNLTH、1 枚 adidasoriginals 等 NFT。

  • 5 月 26 日,知道創宇區塊鏈安全實驗室 監測顯示,goblintown-claims[.]wtf 是一個釣魚網站。該網站引誘用戶連接錢包以盜取 NFT,並且這個釣魚網站看起來與官方網站幾乎完全相同。

  • 5 月 27 日,知道創宇區塊鏈安全實驗室 監測顯示,zed-run.info 是一個網絡釣魚站點,它可能會竊取用戶的私鑰。

  • 5 月 27 日,知道創宇區塊鏈安全實驗室 監測顯示,gunslingersnft[.]org 是一個釣魚網站鏈接,GunslingersNFT Discord 可能遭到了攻擊。

公鏈安全事件類型

  • 5 月 10 日,Terra 生態的原生算法穩定幣 UST 因資本圍獵和債務危機,出現 UST 嚴重脫錨事件,導致 Luna 價格暴跌,損失高達 400 億美元。

其他安全事件類型

  • 5 月 24 日,以太坊二層擴容網絡 Optimism 公布空投最新進展,表示將移除 17101 個女巫攻擊者地址的空投資格。上述地址的超 1400 萬枚 OP Token 原定空投,將按比例重新分配給在 Airdrop #1 中其余有資格的用戶。

  • 5 月 26 日,知道創宇區塊鏈安全實驗室 檢測到詐騙者將 Wrapped LUNA 2.0 發送到 Terra Deployer 地址,並空投至 Vitalik Buterin 等相關地址,企圖僞裝成官方 Terra Deployer 空投。

  • 5 月 29 日,跨鏈橋 Hop Protocol 在 Discord 中表示,由於提交地址表單的漏洞,去中心化應用平台 Authereum 的用戶需在 6 月 2 日前重新提交空投領取地址的表單,如果錯過,也可以在 Token 上线後的 6 個月內通過治理提案申領 Token。

  • 5 月 30 日,MetaMaskDAO 爲蜜罐騙局,MetaMaskDAO 合約地址(0x55e596753247efb7126a965ed07c0d51eb773f6e)發行了大量代幣,並將它們發送到加密影響者和加密交易所的地址,如 V 神 (Vitalik Buterin)、NBA 著名球星 Stephen Curry、幣安及 Bithumb 交易所。

  • 5 月 30 日,Moonbirds 發布安全公告稱 Nesting 合約存在安全問題。該安全問題出現在 OpenSea 或者 LooksRare 等 NFT 交易平台,當用戶在平台進行掛單售賣時,賣家不能僅通過執行 nesting(築巢)函數禁止 NFT 的售賣,而是需要下架交易平台中相關的 NFT 售賣訂單,因爲不這樣做的話,在某個特定場景下买家將會繞過 Moonbirds 在 nesting(築巢)時不能交易的限制。

總結

從 Defi 安全形勢來看,本月安全事件中,閃電貸攻擊和預⾔機操控成爲常客,越來越多的攻擊手法呈現普遍化,技術上趨向於成熟。同時出現了多例非預期事件如 Venus 的 ChinaLink 預言機事故,Terra 生態也因各方原因導致崩盤。知道創宇區塊鏈安全實驗室在此提醒,對合約安全有必要做到常規審計和復合審計,保障合約免受其他攻擊影響,同時高度重視授權問題,對於授權要有明確的時間限制。

從網絡釣魚以及騙局跑路頻發來看,區塊鏈用戶極容易被欺騙,對此用戶需要學習區塊鏈基礎並提高自身安全意識,在理解區塊鏈基礎上辨別項目真僞,對於陌生鏈接以及不合理請求不要亂點,名人相關的視頻或圖片也要進行相關求證,只有這樣做才能保障自身財產安全。

標題:創宇區塊鏈|5 月安全月報

地址:https://www.coinsdeep.com/article/3270.html

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

你可能還喜歡
熱門資訊