前言
三月以来发生的安全事件数量之多、涉及到的金额之高令人沉默,据知道创宇区块链安全实验室数据显示:该月发生的安全事件超34起,其中跨链桥Ronin攻击事件涉及金额更是足以媲美去年跨链桥ploynetwork攻击事件,损失超6.2亿美元,而本月安全事件涉及到的总金额更是高达7亿美元。
以下是知道创宇区块链安全实验室对三月各类型安全资讯的总结,并就其暴露出的问题进行探讨。
Defi安全类型事件
3月5日,BaconProtocol遭受黑客攻击损失约?958,166美元,本次攻击利用重入漏洞,并凭借闪电贷扩大收益额。
3月16日,xDaiChain上Agave合约因为一个非信任的外部调用遭受攻击,黑客获得约raluni,获利逾?170万美元,约1/3已流入Tornado。
3月16日,xDaiChain上Agave合约因为一个非信任的外部调用遭受攻击,黑客获得约?540万美元的利润。
数据:过去一周零知识区块链上的交易量和投资者存款激增:5月24日消息,DeFi用户正涌向使用“零知识证明”的基于以太坊的区块链,DefiLlama数据显示,zkSync Era、Starknet和Polygon zkEVM的活动在过去一周大幅飙升,这些链上去中心化交易所交易量过去一周分别增长了88%、48%和230%,总锁定价值(Total Value Locked,简称TVL) 过去一周增长分别增长了13%、16%和219%。[2023/5/24 15:22:47]
3月16日,多链衍生品协议DeusFinance被监控到在Fantom网络上被黑客攻击,黑客共计盗走20万枚DAI和1,101.8枚ETH,总价值约?300万美元。
3月21日,BNBChain和以太坊上的UmbrellaNetwork由于合约存在整型溢出问题导致奖励池被抽取,黑客获利?70万美元。
3月22日,跨链DEX聚合协议?Li.Finance?发推表示,攻击者利用了Li.Finance的智能合约,约?60万美元从29个钱包中被盗,错误已修复并进行重新部署。
Ceramic推出ComposeDB,优化开发人员访问构建功能:3月9日消息,去中心化内容计算网络Ceramic发布ComposeDB,使开发人员能够更轻松地在网络上进行构建。ComposeDB的推出是使开发人员可以轻松访问该网络的关键一步,使其他项目能够使用它来存储自己的数据或访问已经存在的数据。
据悉,Ceramic是一个开放网络,专为web3应用程序设计,用于存储任何人都可以访问的数据。[2023/3/9 12:52:18]
3月24日,Solana上的稳定币项目Cashio遭遇黑客攻击。黑客利用了协议无限铸造漏洞,并通过绕过一个未被验证的账号,非法增发了20亿个CASH代币,获利总价值约
3月24日,Solana上的稳定币项目Cashio遭遇黑客攻击。黑客利用了协议无限铸造漏洞,并通过绕过一个未被验证的账号,非法增发了20亿个CASH代币,获利总价值约?5000万美金。
3月29日,AxieInfinity侧链Ronin发文表示验证者节点遭入侵,17.36万枚ETH和2550万USDC被盗,总金额约合?6.2亿美元。
币安将于2023年1月9日进行FLR代币空投:12月1日消息,币安将在明年1月9日向符合条件的用户进行 Flare (FLR) 代币空投,本次空投以2020 年12月12日的XRP快照作为资格及标准,提供前15%的FLR代币分配。用户在Binance上每持有1.0000XRP,将对应分发0.1511 FLR。剩余分配的机制将由社区对Flare改进提案 01 (FIP.01) 进行投票决定,若提案获得批准,则剩余 85%的代币分配将按照每1.0000 XRP对应0.8562 FLR的比率,在链上分配给包装其代币的地址。
据悉,除币安以外,OKX、Kraken、Nexo、KuCoin、Huobi、Gate.io、Bitfinex等数十家交易所也将从明年1月9日起,在两周内向用户分发空投代币。[2022/12/1 21:15:32]
3月30日,去中心化期权协议Acutus的ACOWriter合约存在外部调用风险,攻击者可以通过此漏洞进行任意外部调用。目前攻击者利用该手法已经盗取了部分授权过该合约的用户的资产约?72.6万美金。
孙宇晨:区块链技术和加密行业仍然拥有巨大可能性:10月28日消息,波场TRON创始人、Huobi Global顾问孙宇晨发布推文称,其近日以视频连线的方式出席了2022釜山区块链周(BWB 2022)并进行主题演讲,同时以视频录制的形式在BWB 2022火币分论坛发表开场致辞。
在火币推特公布的致辞视频中,孙宇晨表示,“尽管目前市场表现不尽如人意,但是区块链技术和加密行业仍然拥有巨大可能性。在过去的几年中,经过业内人士的共同拼搏,已经让更多的人看到了区块链的价值,这个行业注定会有一个光明的未来。”
据悉,2022釜山区块链周活动由釜山广域市主办,火币作为主要赞助方参与其中。孙宇晨于10月中旬成为Huobi Global顾问委员会首批成员之一,任职后,孙宇晨不仅在推特个人简介中添加“火币全球顾问”头衔,还发布火币入职系列小作文,分享自己担任顾问的心得,多次强调要为HT赋能。[2022/10/28 11:52:33]
3月31日,BasketDAO遭到攻击,导致用户损失约?120万美元。目前发现大部分被盗资金都被存入了TornadoCash。
韩国财政部:代币空投也可能需要缴纳赠与税,实施视具体情况而定:8月22日消息,据外媒报道,韩国企划财政部对税法解释称,代币空投也可能需要缴纳赠与税。近日,韩国企划财政部就加密资产发行商向拥有特定资产的会员提供同类或异类加密资产的交易进行税法解释质询作出了回应。财政部称,根据《继承和赠与税法》,资产的自由转让是一种赠与,因此空投等免费的加密资产转让行为是一种需缴纳赠与税的交易;在这种情况下,将向无偿转让加密资产的第三方征收赠与税。
但政府的立场是,赠与税的实际征税应视具体情况而定。企划财政部表示:“具体的虚拟资产交易是否需要缴纳赠与税,是要根据交易情况来确定的,比如是否是否转让了实际财产和利润。”据财政部称,加密资产的资本收益征税将于2025年开始,但虚拟资产赠与税仍在实施。(韩联社)[2022/8/22 12:39:50]
3月31日,去中心化借贷网络OlaFinance遭遇黑客攻击,损失约?470万美元。
3月31日,Fuse链上借贷协议VoltageFinance借贷平台被攻击,损失约为?400万美元。
3月31日,CastleFinance开发者发现Solana生态DeFi借贷协议JetProtocol存在重大漏洞,该漏洞可以使得攻击者从任意账户中提取代币。
局安全类型事件
3月10日,$DAOKing-LuckyDAO被监测到为项目,其管理员已将505枚BNB存入Tornado.cash,并事先进行了虚假的智能合约升级。
3月15日,NFT项目NFTflow发生RugPull,目前其官方社交账号已注销。
3月22日,NFT项目WW3Apes发生RugPull,目前已删除其社交媒体账号。其另一关联项目GodZape也发生了RugPull,损失约20ETH,并已在数天前删除其社交媒体账号。
3月28日,DeFi项目BuccaneerFinance发生RugPull,目前其官方社交账号已注销,者已将841枚BNB转移至TornadoCash混币。
3月29日,BNBDEFI发生RugPull,DEFI代币短时下跌68%。目前该项目已关闭其社交媒体群组,损失达255枚BNB。
3月31日,@BinanceNFT_BFT系伪造的BinanceNFTTwitter账户,正在推广“貔貅盘”局。BinanceNFT官方Twitter账户,请认准@TheBinanceNFT。
网络钓鱼安全类型事件
3月7日,Solana上出现多起授权钓鱼事件。攻击者批量给用户空投NFT,用户通过空投NFT描述内容里的链接进入目标网站,连接钱包,点击批准后该钱包里的所有原生资产都会被转走。
3月15日,者入侵NFT项目WizardPass社群,被盗NFT包括BAYC、Doodles等。
3月18日,NFT项目RareBears官方Discord遭遇攻击,提醒用户不要点击任何钓鱼链接或随意连接钱包,注意资产安全。?
3月24日,高达元素NFT项目MekaVerse发推表示,官方Discord被黑,社区其他用户反映,疑似有数十万机器人的钱包已经被盗,似乎没有真实用户影响。
3月28日,有攻击者冒充Cryptovoxel官方进行钓鱼攻击,诱导用户进行授权,偷走了多个NFT然后在opensea上出售。
3月29日,智能元宇宙项目AletheaAI发推称其Discord被黑客攻击,目前正在评估情况。
3月29日,TheDronesNFT项目discord遭受黑客攻击,黑客在discord中发布了一个伪造的mint链接,项目方发布公告愿意赔偿投资者因mint带来的损失。
3月31日,由于涉及被黑推特账户的广泛网络钓鱼攻击,至少有35个NFT被盗。包括BoredApe、MutantApe以及BoredApeKennelClubNFT,价值达90多万美元。
其他安全事件类型
3月4日,在TreasureDAO代码漏洞导致其NFT市场100多个NFT被盗数小时后,开发人员证实黑客已开始归还被盗的“SmolBrains”和其他NFT。
3月23日,主要加密投资公司DeFianceCapital的创始人“Arthur_0x”的一个热钱包遭到黑客攻击,损失超过160万美元的非同质化代币(NFT)和加密货币。
3月25日,LidoDAO已销毁DeFianceCapital创始人价值1330万美元被盗LidoToken,并将它们铸造到由DeFianceCapital控制的新钱包中。
3月28日,谷歌研究人员发现有2个朝鲜黑客组织利用了Chrome浏览器中的一个远程代码执行0day漏洞超过1月,用于攻击新闻媒体、IT公司、加密货币和金融科技机构。
3月31日,Tezos开发团队NomadicLabs今日凌晨在推特上表示,已发布TezosOctez套件的新版本v12.1,修复了Ithaca2Baker软件中可能导致崩溃的漏洞。
总结
从Defi安全形势来看,重入漏洞和外部危险调用成为常客,Solana生态也被黑客觊觎,当然重中之重依然是跨链桥安全问题。知道创宇区块链安全实验室?在此提醒,对合约安全有必要做到常规审计和复合审计,保障合约免受其他攻击影响,同时高度重视授权问题,对于授权要有明确的时间限制。
从网络钓鱼以及局跑路频发来看,黑客和子们对于区块链用户更加青睐,对此用户需要提示自身安全意识,做到拒绝陌生链接以及不合理请求,不可以盲目信服他人,这样才能保障自身财产安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。