創宇區塊鏈三月安全月報-ODAILY_NFT:BEE

前言

三月以來發生的安全事件數量之多、涉及到的金額之高令人沉默，據知道創宇區塊鏈安全實驗室數據顯示：該月發生的安全事件超34起，其中跨鏈橋Ronin攻擊事件涉及金額更是足以媲美去年跨鏈橋ploynetwork攻擊事件，損失超6.2億美元，而本月安全事件涉及到的總金額更是高達7億美元。

以下是知道創宇區塊鏈安全實驗室對三月各類型安全資訊的總結，并就其暴露出的問題進行探討。

Defi安全類型事件

3月5日，BaconProtocol遭受黑客攻擊損失約958,166美元，本次攻擊利用重入漏洞，并憑借閃電貸擴大收益額。

3月16日，xDaiChain上Agave合約因為一個非信任的外部調用遭受攻擊，黑客獲得約raluni，獲利逾170萬美元，約1/3已流入Tornado。

Ava Labs增長與戰略副總裁Garrison Yang：Web2.01是游戲產業創新的下一步:金色財經報道，7月29日由漢威信恒、新火科技與D11 Labs聯合主辦的“ChinaJoy Web3 2023”大會在上海順利召開。Ava Labs增長與戰略副總裁Garrison Yang在現場進行了以《Web2.01，游戲創新的下一步》為主題的演講，他分享道：Web3游戲用戶增長的速度并沒有大家預想中的快，當前依然存在比較大的獲客阻力，比如去中心化錢包的使用門檻、高昂的成本、游戲可玩性差等問題勸退了很多Web2的游戲用戶。

在此基礎之上，Garrison提出“Web2.01”概念：開發者們最大程度地利用Web3和區塊鏈技術的同時最小程度影響用戶的游戲體驗，以Web3的技術實現Web2的游戲體驗。“當下我們應該更著眼于提升Web2的體驗，不要去做玩家還沒做好準備的事。市場已經告訴我們，Web2游戲比Web3游戲體驗領先太多，Web3技術應該去提升這些好的體驗而不是替代它。”Garrison表示到。

今年6月，Ava Labs推出Avalanche Arcad3計劃，致力于幫助Web2游戲公司探索Web3，Arcad3將為Web2游戲公司提供區塊鏈技術、市場營銷和經濟模型等幫助。[2023/7/29 16:05:56]

3月16日，xDaiChain上Agave合約因為一個非信任的外部調用遭受攻擊，黑客獲得約540萬美元的利潤。

Web3公司Startale Labs獲得索尼網絡通信350萬美元投資:金色財經報道，新加坡Web3公司Startale Labs獲得索尼網絡通信公司350萬美元的投資。今年2月，索尼和Startale宣布將合作創建一個Web3孵化器。[2023/6/28 22:05:53]

3月16日，多鏈衍生品協議DeusFinance被監控到在Fantom網絡上被黑客攻擊，黑客共計盜走20萬枚DAI和1,101.8枚ETH，總價值約300萬美元。

3月21日，BNBChain和以太坊上的UmbrellaNetwork由于合約存在整型溢出問題導致獎勵池被抽取，黑客獲利70萬美元。

3月22日，跨鏈DEX聚合協議Li.Finance發推表示，攻擊者利用了Li.Finance的智能合約，約60萬美元從29個錢包中被盜，錯誤已修復并進行重新部署。

3月24日，Solana上的穩定幣項目Cashio遭遇黑客攻擊。黑客利用了協議無限鑄造漏洞，并通過繞過一個未被驗證的賬號，非法增發了20億個CASH代幣，獲利總價值約

歐央行副行長：加密貨幣崩潰的更廣泛影響看起來有限:金色財經報道，歐洲央行副行長金多斯表示：加密資產的基本面“相當薄弱”，（市場）不應該對最近的加密貨幣崩潰感到驚訝，加密貨幣崩潰的更廣泛影響看起來有限。[2022/11/16 13:12:19]

3月24日，Solana上的穩定幣項目Cashio遭遇黑客攻擊。黑客利用了協議無限鑄造漏洞，并通過繞過一個未被驗證的賬號，非法增發了20億個CASH代幣，獲利總價值約5000萬美金。

3月29日，AxieInfinity側鏈Ronin發文表示驗證者節點遭入侵，17.36萬枚ETH和2550萬USDC被盜，總金額約合6.2億美元。

3月30日，去中心化期權協議Acutus的ACOWriter合約存在外部調用風險，攻擊者可以通過此漏洞進行任意外部調用。目前攻擊者利用該手法已經盜取了部分授權過該合約的用戶的資產約72.6萬美金。

3月31日，BasketDAO遭到攻擊，導致用戶損失約120萬美元。目前發現大部分被盜資金都被存入了TornadoCash。

Bee2Bee網絡啟動3000萬美元學徒擴展捐贈基金和Bee2Bee幣:金色財經報道，The Bee2Bee Network學徒計劃宣布啟動其新的 \"3000萬美元學徒擴展捐贈基金 \"及其標志性加密貨幣Bee2Bee Coin,這將支持其基于信息技術的注冊學徒計劃的創新企業舉措。

經佛羅里達州教育部和美國勞工部批準和認可，Bee2Bee網絡學徒計劃正在創建和擴大注冊學徒和行業認可的學徒計劃（IRAP），涉及的高需求領域包括網絡安全、信息技術、遠程醫療/保健、電子商務、數字營銷、房地產、零售、時尚、娛樂、旅游和金融科技。學徒們在學習新的技術技能、認證、軟技能的同時，還有機會在學徒期間購買和/或賺取Bee2Bee Coin加密貨幣，這將成為他們未來有形和不斷增長的投資工具。更重要的是，Bee2Bee幣還可以用來購買商品和服務，包括通過學徒們正在研究的LifeStyles In 360電子商務虛擬購物NFT平臺購買房地產。（prnewswire）[2022/8/9 12:10:46]

3月31日，去中心化借貸網絡OlaFinance遭遇黑客攻擊，損失約470萬美元。

元宇宙數字地圖公司Spinview完成550萬英鎊Pre-A輪融資，Alchemmy領投:7月13日消息，總部位于英國倫敦的元宇宙數字地圖公司Spinview宣布完成550萬英鎊Pre-A輪融資，管理咨詢公司Alchemmy領投，英國政府創新基金Future Fund和一批天使投資人參投。作為元宇宙的一部分，Spinview結合了來自各種來源的數據并將其可視化，使客戶能夠理解和觀察他們的數據，其工具可以將實物資產映射到數字平臺，并使用這些數據遠程分析其效率、狀況和狀態，或衡量利益相關者對虛擬環境的反應方式，目前這家元宇宙公司的主要業務覆蓋事建筑、公路和鐵路基礎設施等。[2022/7/13 2:10:22]

3月31日，Fuse鏈上借貸協議VoltageFinance借貸平臺被攻擊，損失約為400萬美元。

3月31日，CastleFinance開發者發現Solana生態DeFi借貸協議JetProtocol存在重大漏洞，該漏洞可以使得攻擊者從任意賬戶中提取代幣。

騙局安全類型事件

3月10日，$DAOKing-LuckyDAO被監測到為詐騙項目，其管理員已將505枚BNB存入Tornado.cash，并事先進行了虛假的智能合約升級。

3月15日，NFT項目NFTflow發生RugPull，目前其官方社交賬號已注銷。

3月22日，NFT項目WW3Apes發生RugPull，目前已刪除其社交媒體賬號。其另一關聯項目GodZape也發生了RugPull，損失約20ETH，并已在數天前刪除其社交媒體賬號。

3月28日，DeFi項目BuccaneerFinance發生RugPull，目前其官方社交賬號已注銷，詐騙者已將841枚BNB轉移至TornadoCash混幣。

3月29日，BNBDEFI發生RugPull，DEFI代幣短時下跌68%。目前該項目已關閉其社交媒體群組，損失達255枚BNB。

3月31日，@BinanceNFT_BFT系偽造的BinanceNFTTwitter賬戶，正在推廣“貔貅盤”騙局。BinanceNFT官方Twitter賬戶，請認準@TheBinanceNFT。

網絡釣魚安全類型事件

3月7日，Solana上出現多起授權釣魚事件。攻擊者批量給用戶空投NFT，用戶通過空投NFT描述內容里的鏈接進入目標網站，連接錢包，點擊批準后該錢包里的所有原生資產都會被轉走。

3月15日，詐騙者入侵NFT項目WizardPass社群，被盜NFT包括BAYC、Doodles等。

3月18日，NFT項目RareBears官方Discord遭遇攻擊，提醒用戶不要點擊任何釣魚鏈接或隨意連接錢包，注意資產安全。

3月24日，高達元素NFT項目MekaVerse發推表示，官方Discord被黑，社區其他用戶反映，疑似有數十萬機器人的錢包已經被盜，似乎沒有真實用戶影響。

3月28日，有攻擊者冒充Cryptovoxel官方進行釣魚攻擊，誘導用戶進行授權，偷走了多個NFT然后在opensea上出售。

3月29日，智能元宇宙項目AletheaAI發推稱其Discord被黑客攻擊，目前正在評估情況。

3月29日，TheDronesNFT項目discord遭受黑客攻擊，黑客在discord中發布了一個偽造的mint鏈接，項目方發布公告愿意賠償投資者因mint帶來的損失。

3月31日，由于涉及被黑推特賬戶的廣泛網絡釣魚攻擊，至少有35個NFT被盜。包括BoredApe、MutantApe以及BoredApeKennelClubNFT，價值達90多萬美元。

其他安全事件類型

3月4日，在TreasureDAO代碼漏洞導致其NFT市場100多個NFT被盜數小時后，開發人員證實黑客已開始歸還被盜的“SmolBrains”和其他NFT。

3月23日，主要加密投資公司DeFianceCapital的創始人“Arthur_0x”的一個熱錢包遭到黑客攻擊，損失超過160萬美元的非同質化代幣(NFT)和加密貨幣。

3月25日，LidoDAO已銷毀DeFianceCapital創始人價值1330萬美元被盜LidoToken，并將它們鑄造到由DeFianceCapital控制的新錢包中。

3月28日，谷歌研究人員發現有2個朝鮮黑客組織利用了Chrome瀏覽器中的一個遠程代碼執行0day漏洞超過1月，用于攻擊新聞媒體、IT公司、加密貨幣和金融科技機構。

3月31日，Tezos開發團隊NomadicLabs今日凌晨在推特上表示，已發布TezosOctez套件的新版本v12.1，修復了Ithaca2Baker軟件中可能導致崩潰的漏洞。

總結

從Defi安全形勢來看，重入漏洞和外部危險調用成為常客，Solana生態也被黑客覬覦，當然重中之重依然是跨鏈橋安全問題。知道創宇區塊鏈安全實驗室在此提醒，對合約安全有必要做到常規審計和復合審計，保障合約免受其他攻擊影響，同時高度重視授權問題，對于授權要有明確的時間限制。

從網絡釣魚以及騙局跑路頻發來看，黑客和騙子們對于區塊鏈用戶更加青睞，對此用戶需要提示自身安全意識，做到拒絕陌生鏈接以及不合理請求，不可以盲目信服他人，這樣才能保障自身財產安全。

Tags：NFTWEBANCBEEI will poop it NFTweb3域名值錢嗎Impossible FinanceBee AI Labs

火必交易所