創宇區塊鏈|11月安全月報
發表於 2022-12-01 16:01 作者: 知道創宇區塊鏈安全實驗室
前言
11月結束,今年只剩最後一個月,經過了 FTX 的暴雷和之後 FTX 被黑客攻擊事件,市場造成了不小的動蕩,攻擊事件也下降了不少。據知道創宇區塊鏈安全實驗室 【被黑事件檔案庫】 數據顯示:該月發生的安全事件超 28 起,其中 DeFi 安全事件雖較上月略有減少,但攻擊總數仍然很多,其中 FTX US 遭到黑客攻擊,損失高達 4.77 億美元。騙局事件雖然發生次數不多,但 DeFi AI 發生的 Rug Pull 讓用戶損失了近 4千萬 美元。本月安全事件造成的損失總金額共計約 5.6億美元。
數據分析
1、佔比分析:
通過對本月各類型安全事件數量佔比分析,可以發現 DeFi安全仍然是攻擊者最擅長的領域, 佔比54%。
2、對比數據分析:
在上個月安全事件突增後,本月各類安全事件數量下降,應是與FTX暴雷破產有關,市場情緒也隨之下降。
3、2022年月安全趨勢:
本月較上月,安全事件幾乎對半下降,但所造成的金額損失卻並未減少,安全方面仍然高風險頻發,希望大家提高警惕謹慎面對。
DeFi 安全類型事件
11 月 1 日,DODO 的 USDT/DAI 池疑似存在嚴重的三明治攻擊。
11 月 2 日,借貸協議 Solend 遭到預言機攻擊,已產生 126 萬美元壞账。
11 月 2 日,Deribit 被盜約 6947 ETH、691 BTC 與 340 萬 USDC。損失約 2800 萬美元。
11 月 3 日,NEAR 鏈上資產發行平台 Skyward Finance 遭到漏洞利用,已損失 110 萬枚 NEAR 代幣(約合 300 萬美元)。
11 月 4 日,pGALA 合約遭到黑客攻擊,黑客已將大部分 GALA 兌換成 13,000 枚 BNB,獲利超 430 萬美元,該地址仍有 450 億枚 Gala,但不太可能兌現,因爲資金池基本已耗盡。
11 月 7 日,MooCakeCTX 項目遭到黑客攻擊,黑客獲利約 143921 美元。
11 月 10 日,ETH 鏈上的 Brahma TopGear 項目由於任意外部調用的風險遭到攻擊,攻擊者獲利約 89879 美元。
11 月 11 日,針對穩定幣的去中心化外匯交易初創公司 DFX Finance DEX 池由於缺乏適當的重入保護疑似被攻擊,損失約 3000 ETH,約合 400 萬美元。
11 月 11 日,一 MEV 機器人花費 31.06 枚以太坊的交易費用對一筆約 2500 萬美元的交易發動「三明治攻擊」,使得打包該區塊的驗證者總共獲得了 32.09 枚以太坊(價值約 4.08 萬美元)的獎勵。
11 月 13 日,FTX US 遭到黑客攻擊,據估算損失約爲 4.77 億美元。
11 月 16 日,SheepFarm 項目遭到黑客攻擊,目前損失約 7.2 萬美元。
11 月 21 日,sDAO 合約業務邏輯存在漏洞,攻擊者獲利超 1.3 萬 BUSD。
11 月 23 日,AurumNodePool 合約遭到漏洞攻擊,攻擊者通過該漏洞獲得約 50 個 BNB ($14,538.04)。
11 月 23 日,ETH 鏈上的 Numbers Protocol (NUM) 代幣項目遭到攻擊,攻擊者獲利約 13,836 美元。
11 月 29 日,SEAMAN 項目遭閃電貸攻擊,攻擊者獲利約 7781 美元。
騙局安全類型事件
11 月 1 日,FITE(FTE) 項目疑似 Rug Pull,其網站 fit.app 已關閉,社交媒體已被刪除。詐騙者已將 1900 枚 BNB 轉入 Tornado Cash。
11 月 3 日,BSC 鏈上 MetFX 項目疑似發生 Rug Pull,MFX 代幣暴跌 97%。MetFX 部署者已將 10000 枚 MFX 交換爲 402 枚BNB(約 13.1 萬美元)。
11 月 7 日,ETHPoW 上穩定幣交易協議 MinerSwap 疑似發生 Rug Pull,獲利資金已從 ETHPoW 跨鏈至以太坊,其中已有約 308 枚 ETH 被轉入 Tornado Cash。
11 月 14 日,DeFi AI 項目發生 Rug Pull,合約部署者獲利約 4000 萬美元。
網絡釣魚安全類型事件
11 月 1 日,Generativemasks 項目 Discord 服務器遭到攻擊。請社區用戶不要點擊、鑄造或批准任何交易。
11 月 2 日,NFT 項目 Art Gobblers 出現僞造账號並發布假的 Gobblers 公共鑄造抽獎活動。
11 月 3 日,DigiDaigaku CEO 推特账戶疑似被盜,謹防釣魚鏈接。
11 月 4 日,網絡釣魚詐騙團夥 Monkey Drainer 再度盜取價值 80 萬美元的 NFT,包括 7 枚 Crypto Punks 系列 NFT 以及 20 枚 Otherdeed 系列 NFT。
11 月 23 日,Sensei Labs 項目 Discord 服務器遭到攻擊。請社區用戶不要點擊、鑄造或批准任何交易。
11 月 28 日,Shamanzs NFT 項目 Discord 服務器遭到攻擊。請社區用戶不要點擊、鑄造或批准任何交易。
其他安全事件類型
11 月 1 日,KUMALEON 項目的 Discord 遭黑客入侵,目前已有 111 枚 NFT 被盜,包括 BAYC #5313 、ENS、ALIENFRENS 和 Art Blocks。參與該項目用戶需撤銷錢包權限,並將資金轉移至新錢包。
11 月 2 日,鏈兌換協議 Rubic 發推稱,管理員地址私鑰疑被泄露,攻擊者已出售約 3400 萬 RBC/BRBC。損失約 100 萬美元。
11 月 6 日,Loopring 稱 11 月 5 日遭到 DDoS 攻擊,服務曾宕機 11 小時。
總結
本月因中心化交易所暴雷,大部分用戶對其失去信任,而各大中心化交易所爲了挽回用戶的信任,紛紛开始進行了默克爾樹儲備金證明。如果您對自己的資金有所疑問,建議去用官方的文檔去驗證下自己的資金是否安全。
從 DeFi 的角度來看,所涉及的安全事件中,除最常見的閃電貸攻擊外,很多攻擊事件都源於合約本身的邏輯問題,這也說明了合約審計的必要性。知道創宇區塊鏈安全實驗室 在此提醒,對合約安全有必要做到常規審計和復合審計,保障合約免受其他攻擊影響,同時高度重視閃電貸和合約邏輯問題。
從網絡釣魚以及騙局跑路角度來看,跑路騙局本月發生的次數並不多,但是跑路騙局所涉及的金額都不少,投資者仍然不能對項目發送警惕,在投資之前一定要做好相應的考察;網絡釣魚相比於上月減少一半,攻擊者一般都是僞造成項目方或者攻擊項目方 Discord 獲得權限,之後攻擊者會發布欺騙鏈接等,所以用戶一定不要點擊、鑄造或批准任何交易。
標題:創宇區塊鏈|11月安全月報
地址:https://www.coinsdeep.com/article/7801.html
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。