黑客野蠻 項目方失守 10月區塊鏈生態損失總金額約9億8104萬美元_區塊鏈:ETH

又到了每月安全盤點時刻！根據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，2022年10月，各類安全事件數量和涉及金額較9月大幅上升。10月發生較典型安全事件超『25』起，其中攻擊類安全事件損失總金額約9億8104萬美元，為2022年以來區塊鏈領域損失金額最高的一個月。

本月DeFi領域攻擊事件頻發，共發生11起單次損失金額超100萬美元的事件，其中包括兩起損失過億的安全事件。本月BNBChain官方跨鏈橋攻擊事件涉及金額巨大，錢包安全在本月也是值得關注的重點，共發生3起典型安全事件。

Flashbots產品負責人Bert Miller：“0xbaDc0dE”開頭地址在單筆交易中賺了 800 ETH，但一小時后被黑客盜走損失1,100 ETH:金色財經報道，據研究機構 Flashbots 產品負責人 Bert Miller 在社交媒體發文稱，一個“0xbaDc0dE”開頭地址的 MEV Bot 機器人操作員在單筆交易中賺了 800 ETH，但一小時后損失了高達 1,100 ETH，該地址在過去幾個月中執行了 220,000 筆交易。Bert Miller 解釋說，“0xbaDc0dE” 利用了一位試圖在 Uniswap v2 上出售價值 180 萬美元 cUSDC 的用戶，通過將交易與涉及許多不同 DeFi dApp 精心套利交易賺了 800 ETH（102 萬美元），而那位不幸的賣家從該交易中只收到了 500 美元。但僅僅一個小時后，“0xbaDc0dE” 所有 ETH 都被盜了，一名黑客從該錢包中獲取 1,101 ETH（約合 140 萬美元），區塊鏈安全公司 PeckShield 也發現了這筆交易并發布了與黑客相關的鏈上信息。[2022/9/29 22:38:56]

DeFi方面

加密投資基金遭遇黑客攻擊 26.6萬名用戶數據被泄露:一家加密投資基金Trident Crypto Fund遭遇重大數據泄露，這是加密貨幣領域遭遇的最新一起隱私泄露事件。網絡安全公司DeviceLock的首席技術官Ashot Oganesyan表示，在該基金注冊的約26.6萬人的個人數據在該事件發生后被發布在多個文件共享網站上。Oganesyan說，被盜的數據庫包括電子郵件地址、手機號碼、加密密碼和IP地址，在2月20日發布在網上，同時還公布了網站的漏洞描述，這使得這次攻擊成為可能。他補充說，3月3日，不知名的黑客解密并公布了12萬個加密的數據集。該俄羅斯媒體聯系了數據庫中的一位用戶，他證實自己與Trident Crypto Fund有關聯，不過他只注冊了該公司主辦的一個研討會，沒有投資。該基金沒有在網站上列出其團隊成員，也沒有在LinkedIn上露面。目前還不清楚該基金的注冊地或具體位置。（Coindesk）[2020/3/5]

共發生『16』起典型安全事件

分析 | 數據顯示比特大陸算力逼近51%，但評論認為黑客攻擊更值得擔憂:數據顯示，上周比特大陸旗下的兩個礦池，BTC.com和蟻池在過去7天時間里挖出的區塊數量達到了41.9%。Bitcoinist認為，比特幣和BCH采用了同一種算法，一旦比特大陸不再挖BCH，而是把這部分算力切換到比特幣網絡，其掌握的算力就可能達到約45%。而這個數字和51%十分接近。但Bitcoinist認為不必太過擔心比特大陸實施51％攻擊，因為不存在實施攻擊的激勵。更值得擔心的是外部黑客攻擊等問題。[2018/6/25]

No.1?10月2日，跨鏈交易平臺聚合器TransitSwap遭到黑客攻擊，超2100萬美元資產被盜。

No.210月4日，DeFi應用Sovryn遭到價格操縱攻擊，損失金額約110萬美元。

韓國黑客假扮頂級設計師進行數字貨幣詐騙:據韓國網絡安全公司ESTSecurity透露，韓國現出現一種攜帶勒索病的郵件，該郵件內容自稱來自頂級平面設計師Mr Kim，并稱收件者侵犯了Mr Kim的的著作權。一旦郵件內的附帶圖片被打開，勒索病將被激活，用戶只有向特定地址支付價值600美元的DASH才能解封。 元的DASH才能解封。[2018/3/28]

No.310月7日，跨鏈橋BSCTokenHub因跨鏈驗證方式存在漏洞遭到攻擊，損失達8.1億美元，或是區塊鏈領域涉及金額最大的一次攻擊。

No.410月9日，XaveFinance項目遭受黑客攻擊，導致RNBW增發了1000倍。

No.510月11日，TempleDAO項目因合約函數缺少權限校驗遭受黑客攻擊，涉及金額約236萬美元。

No.610月11日，QANplatform跨鏈橋被攻擊疑似因項目方私鑰泄露，損失金額約200萬美元。

No.710月12日，Journeyofawakening(ATK)項目遭受閃電貸攻擊，攻擊者獲利12萬美元。

No.810月12日，Solana生態去中心化交易平臺Mango遭到價格操縱攻擊，涉及金額達1.16億美元。

No.910月13日，FTX交易所遭到gas竊取攻擊，黑客獲利約10萬美元。

No.1010月17日，MTDAO項目方的未開源合約遭受閃電貸攻擊，損失近50萬美元。

No.1110月19日，Celo上的MoolaMarket協議遭受價格操縱攻擊，黑客獲利約840萬美元。攻擊者將約93.1%的所得資金返還給了MoolaMarket項目方，自己留下了總計65萬個CELO作為賞金。

No.1210月24日，CurvePoolOracle被黑客攻擊，損失約138ETH。

No.1310月25日，ULME代幣項目被黑客攻擊，造成約5萬美元損失。

No.1410月25日，Melody_SGS鏈下模塊被黑客攻擊，造成約63萬美元損失。

No.1510月27日，TeamFinance在由Uniswapv2遷移至v3的過程中遭到黑客攻擊，損失約1300萬美元。

No.1610月28日，FriesDAO因Profanity漏洞遭遇攻擊，損失逾230萬美元。

錢包安全方面

共發生『3』起典型安全事件

No.110月11日，DeBank插件錢包Rabby表示其RabbySwap智能合約存在漏洞，攻擊者竊取約19萬美元。

No.210月18日，錢包BitKeepSwap遭黑客攻擊，共有1名黑客和5名模仿黑客，損失約163萬美元。

No.310月27日，多鏈錢包UvToken遭遇攻擊，黑客獲利約150萬美元。

詐騙跑路/加密騙局方面

共發生『5』起典型安全事件

No.110月5日，Web3社交平臺SexDAO疑似已Rug，原白皮書已刪除，目前官網及推特賬號均已無法訪問。

No.210月9日，Jumpnfinance項目發生Rugpull，涉及金額約115萬美元。

No.3BNBChain上RKC代幣合約留有組合類后門，攻擊者已轉出17.6個BNB。

No.410月24日，加密投資平臺Freeway已停止平臺所有取款。所有團隊成員的名字已從網站刪除，疑似發生Rugpull，所涉金額達1億美元。

No.5巴西突襲涉嫌詐騙受害者7.66億美元的加密詐騙團伙，受害者被承諾每月的投資回報率高達20%。

其他方面

共發生『1』起典型安全事件

No.1?據日本國家警察廳提供的信息，日本多家加密交易所遭到朝鮮黑客組織LazarusGroup發起的網絡攻擊。

鑒于當前區塊鏈安全領域的新形勢，『Beosin』在此總結：

從總體上看，2022年10月各類區塊鏈安全事件數量和涉及金額較9月份大幅上升。10月攻擊類安全事件損失總金額約9億8104萬美元，約為9月損失金額的5.97倍。

和上月相比，本月被攻擊的項目類型更加多樣化，建議各種類型的項目方都應做好安全防護工作。本月錢包安全事件和私鑰泄露事件有所增加，建議項目方和用戶都應注重簽名服務的安全性，保護好私鑰，規范操作，謹慎使用第三方工具或組件，不要點擊來路不明的鏈接。本月依舊有60%的攻擊事件來自合約漏洞利用，建議項目上線前尋求專業的公司進行安全審計。

Tags：ETH區塊鏈SWAPASHETHPAD區塊鏈域名選什么后綴好GigoswapSynth sDASH

FTT