創宇區塊鏈7月安全月報-ODAILY_DIS:YVS.Finance

前言

七月隨著幣價的回升，安全事件也變的頻繁發生，攻擊者在本月也是“火力全開”，從各個方面進行攻擊。據知道創宇區塊鏈安全實驗室數據顯示：該月發生的安全事件超43起，其中跑路騙局和釣魚造成的單個損失也愈發嚴重，代表事件為UniswapV3釣魚攻擊和DRACNetwork的RugPull，而月初DeFi協議CremaFinance被攻擊造成的損失尤為慘重。本月安全事件造成的損失總金額共計約29,000,000美元。

通過對本月各類型安全事件的數量和占比分析，不難發現網絡釣魚安全事件仍然占比最多。再次提醒大家要對網絡釣魚提高警惕，可借助一些工具來減少被釣魚的風險，如：FishAlert插件，可減少被釣魚風險。

本月安全事件對比6月數量雖然略有下降，但整體局勢仍處在安全事件高發期。再此提醒大家，對于安全應持續提高安全意識，保持對安全問題的敏銳性。

以下是知道創宇區塊鏈安全實驗室對七月各類型安全資訊的總結，并就其暴露出的問題進行探討。

DeFi安全類型事件

?7月3日，Solana生態流動性協議CremaFinance遭黑客攻擊中損失超600萬美元，黑客使用Solend閃電貸耗盡資金池。

Pinnako社區指責iZUMi Finance拋售其代幣:7月19日消息，加密衍生品交易平臺Pinnako社區用戶指責iZUMi Finance拋售其代幣，造成代幣價格大幅下跌。iZUMi Finance曾于7月7日起與Pinnako推出雙倍獎勵挖礦活動，總獎勵為12萬枚esPIKO和100萬枚iZi。iZUMi疑似拋售PIKO持有者的質押獎勵代幣esPIKO，換成ETH后獎勵iZi持有者。[2023/7/19 11:03:59]

?7月7日，ProjectX項目PXT代幣價格下跌，官方稱價格下降是由于黑客攻擊造成的。攻擊者獲利約1.9萬美元。

?7月10日，去中心化NFT金融化協議OmniX遭到攻擊，攻擊者利用ERC721的重入了清算函數。損失超100萬美元。

?7月11日，DeFi平臺ParallelFinance遭到重入攻擊，導致了約200萬美元的損失。

?7月12日，質押挖礦項目遭到黑客攻擊，攻擊者利用合約中updateBalance函數的加法溢出漏洞，修改攻擊賬戶的質押量，總計獲利約為11萬美元。

?7月12日，多鏈NFT協議CitizenFinance被攻擊，CIFI代幣價格已下跌逾50%，244枚BNB和5.76萬枚MATIC被盜。

?7月14日，BNBChain上項目SpaceGodzilla遭到了黑客的閃電貸攻擊。黑客通過閃電貸借取大量資金并在Pancake上操縱交易池中SpaceGodzilla的價格，攻擊共獲利25,378.78BUSD。

過去24小時ETH鏈上手續費收入突破800萬美元:金色財經報道，Cryptofees.info數據顯示，過去24小時，以太坊鏈上手續費收入為8214906.2美元，Bitcoin鏈上手續費收入為1236261.83美元、Uniswap鏈上手續費收入為784294.12美元，BSC鏈上手續費收入為534274.56美元、SushiSwap鏈上手續費收入為272692.68美元、AAVE鏈上手續費收入為235770.65美元。[2023/5/1 14:36:55]

?7月24日，Web3音樂流媒體服務平臺Audius社區金庫被利用，損失1850萬枚AUDIOToken，黑客將資金在Uniswap兌換為705枚ETH，共獲利約11萬美元。

?7月25日，LPC項目遭受閃電貸攻擊，由于_transfer函數中未更新賬本余額，而是直接在原接收者余額recipientBalance值上進行修改，導致攻擊者余額增加。攻擊者共獲利178BNB，約為45715美元。

?7月28日，基于Solana的去中心化算法穩定幣協議Nirvana遭到閃電貸攻擊，其穩定幣NIRV價格從1美元一度跌至0.09美元，最大跌幅超過90%，攻擊者共獲利3,490,563.69USDT，21,902.48USDC及393,230.32ANA代幣，價值約357萬美元。

?7月3日，Solana生態流動性協議CremaFinance遭黑客攻擊中損失超600萬美元，黑客使用Solend閃電貸耗盡資金池。

?7月7日，ProjectX項目PXT代幣價格下跌，官方稱價格下降是由于黑客攻擊造成的。攻擊者獲利約1.9萬美元。

知情人士：若Genesis破產，DCG需立即向Eldridge償還3.5億美元的貸款:12月20日消息，Digital Currency Group正試圖籌集資金，避免其經紀子公司Genesis破產，部分原因是為了避免立即償還美國金融家Todd Boehly投資公司的貸款。Boehly去年11月通過自己的投資集團Eldridge為DCG進行了一次債務融資，其中包括Eldridge和一群其他投資者提供的6億美元貸款。

知情人士表示，如果Genesis破產，這筆貸款中仍未償還的3.5億美元將立即到期。據悉，優先擔保定期貸款的排名高于其他債務，并擁有一定的優先權，這意味著在任何情況下都必須首先償還。Eldridge認為Genesis暫停提款意味著DCG無法償還債務，因此處于違約狀態。然而，Eldridge急于避免損失其投資，并正在與DCG合作，幫助其籌集資金并支付Genesis的投資者、客戶和顧客。

據悉，DCG欠Genesis的債務為16億美元，但它從Eldridge獲得的貸款具有優惠條款。DCG表示，其與Eldridge的關系“完全獨立于Genesis的重組戰略，對Genesis的任何結果都沒有影響”。（金融時報）[2022/12/20 21:56:22]

?7月10日，去中心化NFT金融化協議OmniX遭到攻擊，攻擊者利用ERC721的重入了清算函數。損失超100萬美元。

?7月11日，DeFi平臺ParallelFinance遭到重入攻擊，導致了約200萬美元的損失。

?7月12日，質押挖礦項目遭到黑客攻擊，攻擊者利用合約中updateBalance函數的加法溢出漏洞，修改攻擊賬戶的質押量，總計獲利約為11萬美元。

Angle Protocol發行的歐元穩定幣agEUR已支持Avalanche與BNB Chain:10月21日消息，去中心化穩定幣協議Angle Protocol發行的歐元穩定幣agEUR已支持Avalanche與BNB Chain，用戶可以使用協議與LayerZero集成的跨鏈橋將穩定幣跨鏈至Avalanche與BNB Chain。[2022/10/21 16:34:35]

?7月12日，多鏈NFT協議CitizenFinance被攻擊，CIFI代幣價格已下跌逾50%，244枚BNB和5.76萬枚MATIC被盜。

?7月14日，BNBChain上項目SpaceGodzilla遭到了黑客的閃電貸攻擊。黑客通過閃電貸借取大量資金并在Pancake上操縱交易池中SpaceGodzilla的價格，攻擊共獲利25,378.78BUSD。

?7月24日，Web3音樂流媒體服務平臺Audius社區金庫被利用，損失1850萬枚AUDIOToken，黑客將資金在Uniswap兌換為705枚ETH，共獲利約11萬美元。

?7月25日，LPC項目遭受閃電貸攻擊，由于_transfer函數中未更新賬本余額，而是直接在原接收者余額recipientBalance值上進行修改，導致攻擊者余額增加。攻擊者共獲利178BNB，約為45715美元。

?7月28日，基于Solana的去中心化算法穩定幣協議Nirvana遭到閃電貸攻擊，其穩定幣NIRV價格從1美元一度跌至0.09美元，最大跌幅超過90%，攻擊者共獲利3,490,563.69USDT，21,902.48USDC及393,230.32ANA代幣，價值約357萬美元。

Gnosis Safe：以太坊合并后將僅支持PoS鏈:9月2日消息，數字資產管理平臺 Safe（原 Gnosis Safe）發布公告表示，以太坊合并后將僅支持 PoS 鏈，即用戶無法再通過官方接口與 PoW 鏈進行交互。Safe 用戶無需因合并執行任何操作，用戶資產仍是安全的。但仍建議用戶不要將任何重要的交易安排在合并時點前后，以防出現問題。

在合并之后，可能會有 2 個以太坊鏈：即 PoW 和 PoS，已創建的 Safe 賬戶將存在于這兩條鏈上。在合并后，如果用戶自行決定與 PoW 鏈進行交互，請確保知道自己在做什么。[2022/9/2 13:05:07]

騙局安全類型事件

?7月4日，分布式節點基礎設施項目Nody(NODY)發生RugPull，當前NODYToken價格下跌93%。

?7月6日，BNBChain項目BabyDAO發生RugPull，代幣下跌99.9%，約773枚BNB被轉移至TornadoCash。

?7月20日，RacKiller發生RugPull，代幣價格下跌超70%。

?7月20日，NumberSwap發生RugPull，代幣價格下跌超96%。

?7月20日，Neoteric.finance發生RugPull，其NTRC代幣價格下跌超91.6%。目前的報告顯示損失約為10萬美元。

?7月20日，AngelsToMiracles項目發生RugPull，ATM代幣價格下跌46%，有1943.3枚BNB轉移至TornadoCash，損失約53萬美元。

?7月20日，ORCHID項目發生RugPull，ORCHID代幣價格下跌超96.4%，目前的報告顯示損失約為5萬美元。

?7月25日，DeFi項目DRACNetwork發生RugPull，代幣TEDDY價格下跌99.4%，1萬枚BNB和200萬枚BUSD轉入幣安。損失約為450萬美元。

?7月26日，SKG代幣項目RugPull，價格下跌超過80%。超過10萬枚SKG被出售，資產利潤超過7萬美元。

?7月27日，LarpFinance項目發生RugPull，LARP代幣跌幅超過80%。合約部署者出售了最初鑄造的LARP代幣并獲利2.8萬美元。

?7月29日，secondunclecoin二舅幣池發生Rugpull，合約部署者已通過TornadoCash清洗贓款，截至目前代幣SUC價格已下跌99.7%。據統計，本次詐騙事件的利潤總額高達130萬美元。

網絡釣魚安全類型事件

?7月6日，NFT項目SpikySpaceFish的Discord服務器遭黑客攻擊，請用戶不要點擊任何鏈接，且不要參與鑄造或批準任何交易。

?7月6日，Otherside官方推特帳號疑似被盜，其個人資料已更改為展示OthersideMetaNFT圖像并推銷騙局。

?7月9日消息，NFT項目DopeApeClub的Discord服務器遭到攻擊。聊天被鎖定，攻擊者發布了一個釣魚鏈接。請社區用戶不要點擊鏈接、鑄造或批準任何交易。

?7月12日，黑客通過釣魚攻擊在UniswapV3上竊取7500ETH，協議本身并無安全問題。

?7月14日，NFT項目AzukiArt的Discord服務器遭到了黑客攻擊，請用戶不要點擊鏈接、鑄造或批準任何交易。

?7月15日，NFT項目LonelyAlienSpaceClub的Discord服務器遭到入侵，請用戶不要點擊鏈接、鑄造或批準任何交易。

?7月16日，P2E元宇宙項目Botborgs的Discord服務器遭到攻擊，請用戶不要點擊鏈接、鑄造或批準任何交易。

?7月17日，NFT管理平臺NFTYDash的Discord服務器和Twitter賬號遭到攻擊，請用戶不要點擊鏈接、鑄造或批準任何交易。

?7月17日，premint.xyz遭到黑客攻擊，黑客在premint.xyz網站中通過植入惡意的JS文件來實施釣魚攻擊，欺騙戶簽名setApprovalForAll(address,bool)的交易，從而盜取用戶的NFT等資產。

?7月18日，originals-adidas.com被證實是一個釣魚網站，19枚ETH和17枚NFT已進入詐騙者地址。

?7月19日，NFT項目Maximalist的Discord服務器遭到攻擊，攻擊者發布了釣魚鏈接，請用戶不要點擊鏈接、鑄造或批準任何交易。

?7月20日，DerpyPunkz的Discord服務器遭到攻擊，攻擊者發布了釣魚鏈接，與此前Maximalist項目攻擊者相同，用戶不要點擊鏈接、鑄造或批準任何交易。

?7月20日，DerpyPunkz的Discord服務器遭到攻擊，攻擊者發布了釣魚鏈接，與此前Maximalist項目攻擊者相同，用戶不要點擊鏈接、鑄造或批準任何交易。

?7月21日，NFT項目TablelandDiscord遭遇攻擊，公告板塊發布釣魚鏈接，團隊部分成員已被踢出。請用戶不要點擊鏈接、鑄造或批準任何交易。

?7月25日，NFT項目NENStudio的Discord服務器遭受攻擊。請社區用戶不要點擊鏈接、鑄造以及批準任何交易。

?7月27日，NFT項目TheAmericansNFT的Discord服務器遭到攻擊，攻擊者發布了釣魚鏈接。請社區用戶不要點擊、鑄造或批準任何交易。

?7月29日，NFT項目OldSport的Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

?7月29日，ApachesNFT項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

?7月29日，DAISUKI項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

其他安全事件類型

?7月4日，英國陸軍的官方推特賬戶和YouTube帳戶遭到黑客攻擊，并發布了有關加密貨幣和NFT的帖子。

?7月4日，多名用戶加密錢包MetaMask的POAP被盜，建議提醒用戶撤銷之前與NFT市場Eporio交互的所有POAP批準。

?7月26日，Windows版Coremail郵件客戶端存在RCE漏洞，攻擊者可通過給用戶發送含有惡意程序的郵件從而控制用戶主機，可能導致錢包私鑰泄露。

總結

從Defi安全形勢來看，本月安全事件中閃電貸攻擊和重入攻擊較為普遍，邏輯漏洞也是頻現，項目方對于此類攻擊事件應做好提前防護。特別是CremaFinance安全事件提醒我們攻擊者能通過閃電貸進行花式攻擊，所以對于閃電貸的安全性項目方一定要深思熟慮。知道創宇區塊鏈安全實驗室在此提醒，對合約安全有必要做到常規審計和復合審計，保障合約免受其他攻擊影響，同時高度重視授權問題，對于授權要有明確的時間限制。

從網絡釣魚以及騙局跑來看，網絡釣魚和騙局跑路所造成的損失也在逐月加重，一方面是數量增多，另一方面單個事件造成的金額損失也增多，所以用戶在投資之余也要多學習區塊鏈知識和防騙意識，確保自己的資產不會不翼而飛。

Tags：NFTANCNCEDISMusician Worlds NFTAnnex FinanceYVS.FinanceBrise Paradise

以太坊價格