*1.前言*
八月,web3.0方面安全事件數量依舊高居不下,沒有下降趨勢。根據知道創宇區塊鏈安全實驗室數據顯示:該月發生的安全事件超42起,和上月基本持平,造成的損失總金額共計約2.44億美元。
通過對8月各類型安全事件的數量和占比分析,騙局跑路類安全事件仍然最為嚴重,這表明大部分投資者在進行項目投資之前還是未對項目的本質進行辨別從而被騙。值得一提的是跨鏈通訊協議Nomad在本月遭到有史以來最混亂的一次黑客攻擊導致近1.9億美元損失。
本月安全事件趨勢相比上月未出現明顯變化,安全事件仍頻頻發生。千里之堤毀于蟻穴,這需要大家和項目方時刻都做好安全準備,避免造成個人損失。
以下是知道創宇區塊鏈安全實驗室對八月各類型安全資訊的總結,并就其暴露出的問題進行探討。
*2.DeFi安全類型事件*
8月2日,知道創宇區塊鏈安全實驗室檢測到,跨鏈通訊協議Nomad遭到攻擊,導致近1.9億美元的加密貨幣被移除。
8月2日,收益聚合器ReaperFarm遭到攻擊,攻擊者已轉移160萬DAI和62枚ETH至Tornado.Cash。
聲音 | 北京金融局局長:下周公布監管沙箱第一批入箱項目 包括區塊鏈技術:北京市十五屆人大三次會議即將召開,1月11日晚,“一府兩院”有關部門現場接受代表詢問,活動現場,針對北京市在全國率先試點的金融科技“監管沙箱”,北京市地方金融監督管理局局長霍學文表示,金融科技“監管沙箱”已于去年落地,下周公布第一批入箱項目。其透露,任何一個應用到金融領域的技術都可以入箱測試,一定會有區塊鏈技術納入“監管沙箱”測試。他表示,測試區塊鏈技術的關鍵不僅測試技術本身,也會測試項目服務實體經濟的作用,比如能多大程度服務小微、提升金融風險管理、給更多百姓提供金融價值。(新京報)[2020/1/12]
8月5日,EtnProduct項目遭到閃電貸攻擊,攻擊者總共獲利約3074美元和一個價值7380美元的NFT。
8月5日,ANCHStakePool項目遭到價格操縱攻擊,攻擊者共獲利106931USDT。
8月8日,BSC上的EGDFinance項目遭到黑客攻擊,導致代幣價格被閃電貸操控從而獲利。黑客共獲利約36000BUSD。
8月14日,Acala因iBTC/aUSD池的漏洞遭到黑客攻擊,團隊正在通過一項緊急投票,暫停Acala上的操作,同時正調查并解決這個問題。
動態 | 科藍軟件簽約長治市金融服務區塊鏈建設:11月24日,由長治市發改委主辦、國家級高新區長治高新區管委會承辦的長治市區塊鏈產業生態建設研討會召開,長治市副市長尚日紅出席。會上,國家級高新區長治高新區區塊鏈產業聯盟及專家委員會正式成立,科藍軟件當選為專家委員會主任。此外,科藍軟件王安京董事長與長治高新區簽約代表賈俊就金融服務區塊鏈建設簽署了項目合作協議。[2019/11/26]
8月17日,Stader.Near在其官方社交媒體發文表示,黑客利用了NearX智能合約中的一個漏洞,造成約165,000枚NEAR損失。Stader.Near已暫停其智能合約,用戶在此期間無法質押、解除質押或提款。
8月22日,BNBChain上DeFi借貸協議CreamFinance正面臨流動性危機,造成此次危機的原因主要是協議允許某用戶在無抵押物的情況下最多借貸10.7萬枚BNB。
8月24日,BNBChain上DeFi協議KaoyaSwap遭到交易函數的錯誤邏輯引起的攻擊,攻擊利潤在37294枚BUSD和271.2枚WBNB左右。
8月31日,BNBChain上CUPID代幣合約遭遇閃電貸攻擊,CUPID代幣和VENUS代幣均暴跌,攻擊者獲利78622美元。
聲音 | 房愛卿:要促進電商技術創新 使區塊鏈等技術電子商務深度融合:據每日經濟新聞報報道,全國政協經濟委員會副主任房愛卿指出,要促進電商技術創新,使物聯網、人工智能、大數據和云計算、區塊鏈等技術與電子商務深度融合,為電商提供更為高效、安全的技術手段和交易方式。[2019/8/24]
*3.騙局安全類型事件*
8月3日,加密項目TiFiToken發生RugPull,代幣TiFi價格下跌20%,共獲利約700BNB。
8月7日,加密項目SaxonJamesMusk疑似發生RugPull,代幣SJMUSK下跌逾68%,0x53a開頭的EOA地址不斷賣出,已獲利約1355BNB。
8月8日,Polygon鏈游Dragoma疑似發生RugPull,其代幣DMA從1.8美元暴跌至0.003美元左右,跌幅超99%。損失約為270萬美元。
8月10日,XSTABLE.PROTOCOL發生RugPull,代幣XST價格下跌98.4%,官網xstable.finance疑似已被關閉,推特賬號則已被刪除。
8月10日,DeFi項目BlurFinance疑似發生RugPull,其TokenBLR價格下跌99%。此外,該項目的社交媒體賬號已刪除,并且Polygon和BNB鏈上價值60萬美元資產被轉移。
聲音 | 經合組織:發達國家正積極利用區塊鏈等技術研究對間接稅的管理:據中國永州新聞網消息,近日,經濟合作與發展組織(OECD)發布了《2018年消費稅趨勢》研究報告。報告提到,“強化納稅遵從(tax compliance)和降低增值稅稅制欺詐風險措施”已成發達國家消費稅變化九大趨勢之一,發達國家正積極利用大數據、人工智能和區塊鏈等技術研究對間接稅的管理。[2019/2/27]
8月11日,與五糧液同名的NFT項目Wuliangye疑似發生RugPull,目前官網與Discord社群已關閉。該項目與名酒品牌五糧液無關,僅為同名。項目方共獲利70.5枚ETH。
8月12日,BNBGrowth代幣發生RugPull,合約部署者將代幣以393BNB的價格售出,并發送到外部賬戶(EOA)。
8月12日,GameFi項目DLWorld疑似發生RugPull,GSG價格下跌超97%,約183000美元的資產被轉移。
8月12日,由0xea16地址以400枚BNB資助的詐騙者創建了包括Bitnity、ACKToken等約20個合約發生RugPull,他們抬高價格后抽空合約資金,3900枚BNB被轉移。
動態 | 日本茨城縣筑波市采用區塊鏈技術進行投票:據itmedia報道,日本茨城縣筑波市在日本國內首次嘗試,使用My number card和區塊鏈進行在線投票。擁有My number card的用戶,可以參加8月下旬在筑波市舉行的“筑波Society 5.0社會實踐實驗支援事業”投票,支持自己喜歡的項目。“筑波Society 5.0社會實踐實驗支援事業”旨在將人工智能,物聯網,機器人等利用創新技術的示范實驗真正落實到城市建設當中。據悉,其中有13個項目正在進行最終審核,5名審查員的審查結果將同大眾投票結果相結合,最終確定了5個實施項目。[2018/7/31]
8月14日,GEMDAO發生RugPull,項目方共卷走322BNB(約105,553.49美元)。
8月14日,BNBChain上項目MMFinance發生RugPull,MMF代幣下跌超過93%。
8月14日,巴西加密借貸平臺BlueBenx禁止其所有22000名用戶提取資金,稱遭遇黑客攻擊損失達3200萬美元。BlueBenx未提供黑客攻擊細節,有投資者質疑黑客攻擊或為騙局。
8月15日,Polygon鏈上項目FIOProtocol發生RugPull,FIOToken價格下跌100%。
8月15日,BNBChain上GoCoin項目疑似發生RugPull,Go代幣下跌95%,合約部署者將費用設置為最高,并將禁止出售的地址列入黑名單。
8月23日,NFT交易平臺sudoswap仿盤SudoRare疑似RugPull,被盜519枚ETH,目前官方社交賬號已注銷。
8月25日,BNBChain上RSHIB項目發生RugPull,RSHIB代幣價格暴跌92%。合約部署者移除流動性并向外部賬戶(EOA)地址發送約47枚BNB。該項目的推特帳戶也已被刪除。
8月27日,BNBChain上項目ArcadeEarn發生RugPull,代幣價格下跌超過59%。部署者將40000枚ArcadeEarn代幣發送至一個外部賬戶(EOA),并以約15300美元的價格出售。
*4.網絡釣魚安全類型事件*
8月2日,GasGuzzlers項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。
8月2日,CyberCrew項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。
8月2日,Miningverse項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。
8月3日,NFT項目dTweenies的Discord服務器遭到攻擊,請用戶不要點擊鏈接、鑄造或批準任何交易。
8月5日,DogeCapital項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。
8月11日,MogulProductions項目的Discord服務器遭到攻擊,請用戶不要點擊鏈接、鑄造或批準任何交易。
8月15日,NFT項目PirateApes的Discord服務器遭到攻擊,請用戶不要點擊鏈接、鑄造或批準任何交易。
8月29日,Floaties項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。
8月31日,推特帳戶@WJahitucker被黑客劫持,黑客使用其冒充NFT交易市場LooksRare的帳戶,并發布了空投騙局。
*5.其他安全事件類型*
8月3日,Solana錢包Phantom疑似遭到黑客攻擊,估計損失為800萬美元。
8月3日,加密交易平臺中幣的熱錢包似乎因私鑰泄露而被黑客攻擊,黑客共計獲利約合480萬美元。
8月4日,SlopeWallet(Android,Version:2.2.2)的sentry服務存在私鑰泄露。
8月10日,去中心化交易平臺CurveFinance在社交媒體表示其網站前端被攻擊,提醒用戶如果在數小時內使用過Curve請立即解除授權。此次攻擊黑客已竊取價值570,000美元的ETH,并已轉移到FixedFloat。
8月18日,CelerNetwork推出的跨鏈橋cBridge遭到DNS劫持攻擊,重定向用戶操作與惡意合約進行交互從而盜取用戶資產。目前該攻擊者,已經將攻擊獲取的加密資產對換成127ETH,并且已轉入TornadoCash。
8月21日,黑客利用GeneralBytes旗下比特幣ATM服務器中的零日漏洞(zero-dayvulnerability)從客戶那里竊取加密貨幣。當用戶通過ATM存款或購買加密貨幣時,資金反而會被黑客竊取。
*6.總結*
從DeFi安全形勢來看,本月安全事件中閃電貸攻擊和邏輯漏洞最為頻繁,其他安全事件攻擊類型形式也變得更加多樣化。縱觀今年的DeFi形式,跨鏈項目越來越受到黑客的青睞,同時每次跨鏈安全事件所造成的損失也是極為嚴重,所以我們需要深思如何安全的利用跨鏈。知道創宇區塊鏈安全實驗室在此提醒大家,合約安全對于安全來說有必要進行常規審計和復合審計,以此來保障合約免受其他攻擊影響,同時也要高度重視授權問題,對于授權要有明確的時間限制。
從網絡釣魚以及騙局跑路來看,這兩種類型的安全事件之所以一直很多,一方面是攻擊手法簡單容易操作,另一方面是所涉及的用戶幾乎沒有技術背景因此更加容易被騙。希望用戶在進行投資和項目考察的過程中也要多學習區塊鏈相關知識,盡可能減少自己的潛在損失;當然用戶也可以借助一些工具來減少被釣魚的風險,比如FishAlert插件,遇到陌生的域名,先問一問「它」,就可以極大減少風險。
ForesightNews消息,公鏈SeiNetwork宣布與鏈上數據解決方案KYVE建立合作關系,使KYVE作為其數據流和存儲解決方案.
1900/1/1 0:00:00Respecteduser:hopoowillcarryoutasystemstrategyupgradeat23:00onSeptember3.
1900/1/1 0:00:00DearValuedUsers,HuobiGlobalwillbeopeningXNO(XenoNFTHub)spottrading(XNO/USDT)andspotGridtrading(XN.
1900/1/1 0:00:00Gate.io將于2022年9月5日22:00~22:10進行現貨交易引擎升級,時間約為10分鐘。升級期間可能帶來現貨交易部分服務不可用,預計會有1s以內的交易中斷時間和查詢中斷時間.
1900/1/1 0:00:00BTC周末兩天基本在19600和20000之間窄幅震蕩,波動很小,目前仍然在30分鐘的中樞震蕩區間范圍.
1900/1/1 0:00:00尊敬的ZB用戶: 為了提升系統的安全性,系統將于本公告發布時間2022年09月02日18點,暫新用戶注冊和任何用戶注冊信息更新修改,而在2022年09月04上午11時到19時.
1900/1/1 0:00:00