3月区块链生态被盗总金额超7亿美元 较典型安全事件超30起

又到了每月安全盘点时刻!据成都链安【链必应-区块链安全态势感知平台】安全舆情监控数据显示:2022年3月,各类安全事件仍然时有发生,3月发生较典型安全事件超『30』起。

【DeFi方面】暴露出来的安全风险创下2022开年以来的新高。本月发生的跨链桥Ronin攻击事件可能是DeFi历史上涉及金额最高的一次攻击,损失超6亿美元。其他DeFi协议也屡遭攻击,其中闪电贷和合约漏洞利用是黑客最青睐的攻击手段。另外,本月【跑路/加密局方面】相关跑路事件也是层出不穷。本月【NFT/元宇宙方面】安全事件有所增加,其中钓鱼攻击方式需要重点关注。

DeFi方面 

共发生『13』起典型安全事件

No.1   3月5日,抵押借贷协议Bacon Protocol遭受闪电贷攻击,损失约96万美元。

No.2  3月10日,算法资产协议Fantasm Finance因合约漏洞被攻击,损失约262万美元。

No.3  3月15日,DeFi 协议 Hundred Finance 与 Agave 遭遇闪电贷攻击。黑客利用两个协议中的可重入漏洞窃取了超1,100万美元。

No.4  3月15日,多链衍生品平台Deus Finance在Fantom遭遇黑客攻击,损失或超过300万美元。

No.5  3月20日,BNB Chain和以太坊上的 Umbrella Network 奖励池被抽取,黑客从中获利70万美元。

No.6  3月20日,跨链DEX聚合协议li.finance遭受call注入攻击,损失约60万美元。

No.7  3月22日消息,Fantom生态稳定币收益优化器OneRing发文表示遭到闪电贷攻击,黑客窃取逾145万美元。

为打击洗仓交易,币安取消比特币现货交易激励措施:7月9日消息,在币安决定取消比特币现货交易费用后,该公司首席执行官赵长鹏正在打击币安发生的洗仓交易。洗仓交易是指交易员买卖自己的资产或进行虚假交易。Mandala Exchange的一名社区经理上周五注意到,短时间内突然有大量比特币交易,但比特币的价格几乎没有变化。这表明大量交易员在买卖,使价格保持稳定。赵长鹏表示,这是由于零费用和人们试图获得VIP级别奖励,并补充说,币安“将比特币交易排除在VIP级别计算之外”,并在交易所“消除所有可能会导致洗仓交易的奖励”。币安目前有9个不同的VIP级别,级别越高,用户交易费用越低。用户在30天内的现货交易量越多,其VIP级别就越高。币安在随后几小时内发布公告,将其13个比特币现货对从VIP福利及其现货流动性提供者计划中剔除。该公司表示,此举是为了“确保为所有用户提供一个公平的交易环境”。(Decrypt)[2022/7/9 2:02:09]

No.8  3月23日,Solana 链上的算法稳定币 Cashio Dollar遭到黑客攻击,损失约4800万美元。

No.9  3月26日,InuSaitama疑似遭遇套利攻击,共获利约430个ETH。

No.10  3月29日,期权协议Auctus合约存在漏洞,黑客利用漏洞从未取消授权的用户中获利约72万美元。

No.11  3月30日,Axie Infinity侧链Ronin遭遇黑客攻击。攻击者控制了9个验证节点中的5个,并使用窃取的私钥来伪造假提款,最终获利约6.2亿美元。这可能是DeFi历史上金额最大的一次攻击。

No.12 3月30日,以太坊上DeFi 项目BasketDAO的BMIZapper因漏洞遭到攻击,黑客获利约120万美元。

No.13  3月31日,Voltage Finance借贷平台遭遇攻击,约400万美元被盗。

跑路/加密局方面 

共发生『7』起典型安全事件

No.1  安全机构监测到$DAOKing-Lucky DAO为项目,其管理员已将505枚BNB存入Tornado.cash,并事先进行了虚假的智能合约升级。

No.2   NFT项目NFTflow已跑路,目前其官方社交账号(@NftflowStarkNet)已注销。

No.3  NFT项目WW3Apes发生Rug Pull,目前已注销其社交媒体账号。与 WW3Apes网站使用同一IP地址的GodZape项目同样发生Rug Pull,并转移了约20枚ETH的资金。

No.4  NFT项目REALSWAK已跑路,其官方社交账号(@REALSWAK)已注销。者已将1300枚BNB转移至TornadoCash混币。

No.5  BNB Chain上DeFi项目BNB DEFI已跑路,项目已关闭其社交媒体群组,并转移约255枚BNB。

No.6  安全机构监测显示,@BinanceNFT_BFT系伪造的Binance NFT推特账户,正在推广「貔貅盘」局。

No.7  BNB Chain上项目BuccaneerFi已跑路。目前项目社交媒体账号以及社群已被删除,约841枚BNB被已转入Tornado.Cash。

 NFT/元宇宙方面 

共发生『6』起典型安全事件

No.1  3月13日,BNB Chain链上的元宇宙金融项目Paraluni遭受黑客攻击,黑客获利逾170万美元。其中约1/3被盗资金(230 ETH)已流入龙卷风。

No.2  基于Arbitrum的TreasureDAO NFT交易市场被曝发现漏洞,黑客以几乎零成本的价格获取了100多个NFT。

No.3  3月14日,NFT项目Wizard Pass的Discord社区被者入侵,者发送假信息以获得用户NFT完全访问权限,造成多枚NFT被盗。

No.4  3月27日,金融NFT项目Revest Finance被攻击,黑客盗取大量相关代币并获利约200万美元。

No.5  APECoin空投遭受闪电贷攻击,攻击者获利约82万美元。

No.6  Defiance Capital创始人Arthur热钱包被盗,60枚价值约69万美元的NFT在链上被转移。本次盗窃事件或为电子邮件钓鱼攻击。

 其它方面 

共发生『4』起典型安全事件

No.1  Convex Finance发布博客表示,投票锁定的CVX(vlCVX)合约存在漏洞,用户存款是安全的,不存在任何风险。

No.2  3月7日消息,韩国一代币开发商高管因窃取加密货币被判入狱5年,因其非法将用业务资金投资的加密货币转移到自己的私人账户。

No.3  三名男子因涉嫌4000万美元的加密货币投资欺诈被美国司法部起诉。

No.4  上海破获一起涉案金额超1亿元虚拟货币网络犯罪案,抓获犯罪嫌疑人10余名。

?注意 ?

鉴于当前区块链安全领域的新形势,『成都链安』在此总结:

从总体上看,2022年3月区块链安全事件较2月份大幅上升,攻击类安全事件被盗总金额超过7亿美元。针对层出不穷的攻击事件,『成都链安』也为开发者提供了如下安全建议。

Ronin跨链桥被攻击事件:1.注意签名服务器的安全性;2.签名服务在相关业务下线时,应及时更新策略,关闭对应的服务模块,并且可以考虑弃用对应的签名账户地址;3.多签验证时,多签服务之间应该逻辑隔离,独立对签名内容进行验证;4.项目方应实时监控项目资金异常情况。

Revest Finance被攻击事件:建议在合约设计时严格按照检查-生效-交互模式设计,并在ERC1155 token相关DeFi项目中加入防重入的功能。

Paraluni安全事件:合约开发者在开发过程中进行完整的测试以及第三方审计,并养成使用Openzeppelin库的ReentrancyGuard合约来进行重入攻击的防范。

TreasureDAO安全事件:建议开发者在开发多种代币的销售贩卖合约时,需要根据不同代币的特性来进行不同情况的业务逻辑设计。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块分享

XLM5分钟用GANs生成CryptoPunks风格图像

2021年,NFT数字艺术品和数字藏品迅速出圈,在这场浪潮中,2017年成立的“加密朋克”(CryptoPunks)项目因其收藏者的知名度和不断刷新的成交价,升值成为最具价值的收藏品之一,更成为了先锋投资者和艺术收藏者身份的象征。 图片来源:larvalabs 多个NFT数字艺术品项目的成功,也将AI生成数字艺术品推至台前。

XLM芯片巨头高通推出1亿美元元宇宙基金

这笔资金还将用于为建立专注于扩展现实的游戏、健康、保健、媒体和娱乐体验的开发者提供资助计划。 跨国软件和微芯片巨头高通推出了1亿美元的元宇宙基金,以支持扩展现实(XR)、人工智能(AI)和增强现实(AR)技术公司。 扩展现实指的是智能手机与增强现实和虚拟现实(VR)等技术(如头戴设备和眼镜)的结合。

UNI13条你必须关注的未来加密赛道

本文梳理自加密研究员 pastry 在个人社交媒体平台上的观点,律动 BlockBeats 对其整理翻译如下: 在加密世界,投资的时机至关重要,尽早进入一个新兴行业或许是你获得成功的最佳机会。以下是我认为未来几年将获得显着增长的一些潜在叙事: 以太坊主网转向权益证明 (PoS) 将是加密行业一个重要的拐点。

[0:15ms0-0:499ms