成都鏈安：5月發生典型安全事件超32起，“黑色5月”，BSC鏈上項目超10起遭受攻擊，損失約達3億美元?_EFI:EBSC

據成都鏈安安全輿情監控數據顯示：2021年5月，據不完全統計，整個區塊鏈生態發生的典型安全事件超32起，整體安全風險評級為。本月，盡管其余方面的典型安全事件有所緩和，但成為典型安全事件頻發的“重災區”，需高度警惕；幣安智能鏈首當其沖，成為黑客發動閃電貸攻擊的“主戰場”。多起BSC鏈上項目在5月集中“暴雷”，業界稱為“黑色5月”，而這也是DeFi歷史上當前所遭受的攻擊頻次最高、損失最大的一個月。據初步統計，所造成的經濟損失約達3億美元。典型安全事件的頻頻發生，也直接引發了多種虛擬資產幣價閃崩。這個5月，對于投資者、項目方，乃至整個DeFi生態來說，都是空前“灰暗”的一個月。

以下為本月安全月報的詳細事項。交易所方面，共發生『1』起典型安全事件

BSN開放聯盟鏈成都鏈已上線:金色財經報道，近日，區塊鏈服務網絡BSN表示，開放聯盟鏈成都鏈已在BSN環境內上線，這是基于BSN環境上線的第9條開放聯盟鏈。BSN開放聯盟鏈（簡稱OPB）包括多條基于公有鏈框架和聯盟鏈框架搭建的公用鏈，此次上線的成都鏈是基于公鏈Casper框架進行合規化改造而來。[2022/12/15 21:46:38]

01Hotbit交易所遭到攻擊者攻擊，導致一些基本服務癱瘓，Hotbit團隊將關閉所有服務7天以上，以進行檢查和恢復。DeFi方面，共發生『14』起典型安全事件

015月2日，DeFi項目Spartan遭遇閃電貸攻擊，導致3,000萬美元損失。025月7日，ValueDeFi被黑客攻擊，IRONFinance的部分池和產品受到攻擊，導致STEELLP代幣可能耗盡。03DeFi收益聚合器RariCapital遭到黑客攻擊，導致價值超過1471萬美元的ETH損失。04DeFi協議xToken遭遇閃電貸攻擊，導致2450萬美元的損失。055月16日，bEarnFi遭到攻擊，導致近1100萬美元的損失。065月19日，BSC最大借貸平臺VENUS發生大額清算。目前給Venus平臺造成了1億多美元的壞賬。075月20日，DeFi收益聚合器PancakeBunny遭到閃電貸攻擊，損失約4500萬美元的WBNB和BUNNY。08鏈上期權協議FinNexus疑似被攻擊。導致黑客通過某個地址在以太坊上鑄造了3.23億枚FNX，價值600萬美元，在BSC上鑄造了6000萬枚FNX，價值160萬美元。09BoggedFinance官方表示，黑客對BOG代幣合約進行了閃電貸攻擊，目前已禁用交易費。10AutoSharkFinance遭閃電貸攻擊，幣價出現閃崩，跌幅一度超過99%。11Merlin疑似遭到攻擊。據悉，項目方貌似已暫時暫停了MERL代幣的鑄造。12BurgerSwap疑似遭遇閃電貸攻擊，被盜約330萬美元的Burger。135月28日，JulSwap遭到閃電貸攻擊，$JULB短時跌幅逾95%。145月30日，BSC鏈上結合多策略收益優化的AMM協議BeltFinance遭到閃電貸攻擊。

成都鏈安：fortress被盜金額已被轉換成1048eth并轉入了Tornado Cash:5月9日消息，據成都鏈安安全輿情監控數據顯示，fortress 遭受預言機價格操控攻擊，被盜金額已被轉換成1048eth并轉入了Tornado Cash。經成都鏈安技術團隊分析，本次攻擊原因是由于fortress項目的預言機FortressPriceOracle的數據源Chain合約的價格提交函數submit中，將價格提交者的權限驗證代碼注釋了，導致任何地址都可以提交價格數據。攻擊者利用這個漏洞，提交一個超大的FST價格，導致抵押品價值計算被操控，進而借貸出了項目中所有的代幣。

攻擊交易：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

攻擊者地址：0xa6af2872176320015f8ddb2ba013b38cb35d22ad

攻擊者合約：0xcd337b920678cf35143322ab31ab8977c3463a45[2022/5/9 3:00:21]

動態 | 成都鏈安：10月發生較典型安全事件共5起:據成都鏈安態勢感知平臺——Beosin?Eagle-Eye統計數據顯示，在過去一個月（10月）中，共發生5起較為典型的安全事件。其中包括：1.EOS鏈上本月內總共發生兩起攻擊事件：一是假EOS攻擊；二是游戲服務器解析參數問題。2.亞馬遜云服務平臺AWS被爆遭到了DDoS攻擊，并因此被迫中斷了服務。3.網頁加密貨幣錢包Safuwallet被黑客通過注入惡意代碼竊取了大量資金，并且殃及幣安。4.Cryptopia被盜資產開始轉移：一部分ETH流入知名DeFi借貸平臺Compound；另有數個ETH流入一個叫做DeFi 2.0的DApp項目。鑒于當前區塊鏈安全新形勢，Beosin成都鏈安在此提醒各鏈平臺需要增強安全意識，重視各類型安全風險，必要時可尋求安全公司合作，通過第三方技術支持，排查安全漏洞，加固安全防線；各錢包項目應進一步做好安全方面的審查，有意識地增強項目系統架構的安全性，并建立完善的應急處理機制。如發生資產損失，可借助安全公司的幫助，進行資產溯源追蹤；用戶在進行投資行為時需謹慎，遠離資金盤，切勿刀口舔血。[2019/10/31]

Beosin評論：

分析 | 成都鏈安：錢包Safuwallet服務器是否存儲了用戶的私鑰是關鍵:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事，成都鏈安在接受金色財經采訪時指出：“safuwallet是第三方extension插件錢包，用戶資產被盜，主要原因還是私鑰被盜，發生了這樣的問題，對于錢包服務器而言只要不存儲用戶的私鑰，只做相關交易數據的處理的話，兩者之間就沒有關系，如果服務器存儲了用戶的私鑰，那黑客就有可能通過攻擊服務器獲取到用戶的私鑰。推特消息稱是safuwallet被注入了惡意代碼，黑客可能先將惡意代碼注入到safuwallet中，然后引誘受害者安裝錢包，再獲取到受害者的私鑰后，進行相關代幣的轉移。事實上，對于非官方錢包，安全性確實不太好保障。對于此類錢包，私鑰被盜的時間時有發生。對于這個事件，后續的影響主要是用戶的損失、錢包和交易所的聲譽。”[2019/10/12]

BSC鏈上項目5月頻頻“暴雷”，損失慘重，這足以向BSC、DeFi，乃至整個區塊鏈生態敲響警鐘。通過復盤各起典型安全事件的共性，不難發現，“閃電貸攻擊”是黑客采取的最主要的攻擊手法；且攻擊金額普遍較大，至少6個項目的損失金額都已超過1000萬美元。在此，成都鏈安·安全團隊鄭重呼吁，后續DeFi項目方需著重防范與“閃電貸”相關的攻擊。安全審計、安全防護、安全加固此類工作，之于DeFi項目方而言，切記是不可忽視的；有必要時，可聯動第三方安全公司的力量，建立一套完善和專業的風控措施。詐騙跑路/加密騙局方面，共發生『7』起典型安全事件

聲音 | 成都鏈安：使用鏈上合約輪詢開獎機制可能具有安全風險:今日早晨7點半，成都鏈安態勢感知系統鷹眼對某游戲合約交易發出預警，我們的安全人員對該預警進行分析發現，攻擊者正在使用一種新的途徑獲得隨機數種子，并通過合約不斷發起延時交易，嘗試預先計算或者得到游戲合約的開獎參數，安全團隊已通知項目方進行確認，建議具有類似基于線上合約定時開獎模式的項目方及時自查，避免遭到損失。望項目方看到本預警消息能夠及時聯系我們。[2019/6/12]

01GEC環保幣多次被地方政府驅趕和調查，本次幣價大跌后，再次被曝光其涉嫌傳銷。02詐騙團隊在SNL的活動詐騙10萬美元的虛擬資產。03有冒充Coingecko團隊成員的人欺騙加密項目方，聲稱付費即可在Coingecko平臺上列出代幣。04一加聯合創始人CarlPei的推特賬戶遭到黑客攻擊，并被用于宣傳加密騙局。05西班牙國民警衛隊的官方YouTube賬戶受到疑似魚叉式網絡釣魚攻擊，已被XRP詐騙者接管。該賬戶的名稱已更改為“Ripple-XRPFoundation”，并刪除了所有內容。06美國貨幣監理署就近期有關加密欺詐電子郵件發出警告稱，沒有發送此類消息，也沒有為個人利益持有任何資金。07基于BSC構建去中心化金融協議DeFi100被曝出是一個騙局，運營者已經騙取了投資者的錢后跑路。

Beosin評論：

本月，雖然安全形勢嚴峻，但依然不能輕視來自的安全威脅。成都鏈安·七星實驗室注意到，近期市面上已出現了多起打著“DeFi”旗號，實為傳銷騙局的各種資金盤項目。作為投資者，切記擦亮雙眼，謹防打著“DeFi”旗號的資金盤傳銷騙局！勒索軟件/挖礦木馬方面，共發生『3』起典型安全事件

01網絡安全軟件公司趨勢科技發現了一種新的惡意軟件，名為“熊貓”。研究人員稱，加密錢包已與銀行帳戶一樣，都成為了在線盜竊的目標。02ColonialPipeline上周五向黑客支付了近500萬美元的贖金，而之前的報道稱該公司并無意愿向黑客支付勒索費，以幫助美國輸油管道恢復運營。03新西蘭懷卡托衛生部確認之前網絡攻擊中使用的勒索軟件為“Zeppelin”，衛生部部長對此不予否認。其他方面，共發生『7』起典型安全事件

01MaskNetwork的ITO合約遭到機器人攻擊，官方已將地址列入黑名單。025月6日，Hpool官方稱官網前端遭受DDOS攻擊，暫時不能正常訪問，但不影響挖礦服務。03FeiProtocol開發團隊FeiLabs發現并披露了一個合約漏洞，并立即暫停了該合約。目前該漏洞未被利用，不會影響任何用戶。04吉爾吉斯斯坦國家安全委員會在首都比什凱克和丘伊州打擊非法挖礦行動，突擊搜查并繳獲了2000臺非法虛擬資產采礦設備。05英國突襲伯明翰附近的一個倉庫，發現其是一個相當大的比特幣礦。該比特幣礦機是由非法從主電源中分離出來的電力驅動，設備已被扣押。06一名加利福尼亞男子承認經營無牌匯款業務、洗錢和未能維持有效的反洗錢計劃，被美國沒收了價值約125萬美元的比特幣和以太坊。07以太坊核心開發人員發現了EIP-1559中的一個重大漏洞，目前開發人員已經向EIP-1559添加了四項檢查，并修復了該漏洞。

鑒于當前區塊鏈生態的安全態勢，『成都鏈安』在此總結：

從總體上來看，5月典型安全事件較4月顯著上升。事件總數突破“30”關口，整體安全風險由陡升為。尤其是在，一連串的黑客攻擊、頻頻發生的安全事件、超3億美元的資金損失，無疑對整個DeFi生態的安全秩序造成了災難性打擊。嚴峻形勢之下，成都鏈安·安全團隊注意到，在Pancakebunny遭到閃電貸攻擊之后，其BSC鏈上諸如Merlin、AutoSharkFinance等仿盤也相繼“淪陷”，這足以說明FORK項目未對原項目有深入的理解，在更新代碼的過程中亦引入了新的安全風險。DeFi作為一種創新的金融模式，如何在“創新”與“安全”方面找尋一個平衡點，做到兼顧與并行，需要廣大DeFi項目開發者深刻反思。在此，我們建議廣大項目方切記做好相關安全防護建設，對存在異常操作進行實時監控，即刻發現，即刻解決！作為用戶，也應當增強自身安全意識，防范安全風險，避免造成經濟損失。

Tags：DEFEFIDEFIBSCDEFLYEarn DeFi CoinDEFI幣EBSC

SAND