前言
六月以來,安全事件仍層出不窮,即使幣價下跌,攻擊者卻沒有停下攻擊的腳步。據知道創宇區塊鏈安全實驗室??數據顯示:該月發生的安全事件超46起,其中跑路騙局變得更加嚴重,而跨鏈橋HarmonyBridge由于驗證者節點的私鑰泄露損失高達1億美元。本月安全事件造成的損失總金額共計約1.21億美元。
以下是?知道創宇區塊鏈安全實驗室?對六月各類型安全資訊的總結,并就其暴露出的問題進行探討。
DeFi安全類型事件
6月2日,BNBChian上項目CoFiXProtocol遭受價格操控攻擊,攻擊者獲利約14萬美元。
6月4日,fomo-dao項目遭到攻擊,目前攻擊者獲利11萬美元,已經轉至Tornado.cash。
6月7日,EqualizerFinance遭受閃電貸攻擊。此次攻擊的主要原因在于EqualizerFinance協議的FlashLoanProvider合約與Vault合約不兼容。損失約為831美元。
6月9日,部署在Osmosis區塊鏈上的678號池遭到攻擊,金額或涉及500萬美元。通過利用此漏洞,用戶可以退出池并獲得最初存入池中的額外50%的資產。
Huobi回應商標訴訟:有權自由使用Huobi Global Limited商標:6月21日消息,Huobi 就“李林控制的 X-Spot 就商標侵權起訴 Huobi Global”發表回應稱:
1、Huobi Global Limited在全球很多的法律管轄區中擁有商標使用權,因此有權自由使用。
2、Huobi Global Limited的注冊地并非香港。香港地區的商標使用權取決于香港的法律法規。
3、目前我們尚末正式收到任何法院的受理通知,對于該訴訟并未得到詳細的了解。我們會積極溝通。
據此前吳說獨家報道,李林控制的X-Spot有限公司今天在香港特別行政區高等法院起訴火必(Huobi Global Limited)商標侵權。早先在孫宇晨封鎖李林弟弟賬戶并指責其傾銷HT后,火必開始重新使用“火幣”商標。(panews)[2023/6/21 21:52:34]
6月14日,Fswap官方表示,其于6月13日22:08遭到黑客攻擊,此次攻擊為非被攻擊項目漏洞事件,是惡意借貸攻擊事件。損失1751BNB,價值約為39萬美元。
6月21日,whaleswap.finance項目遭受攻擊,至少損失5946個BUSD和5964個USDT,價值約11910美元。
Robinhood Wallet已向iOS用戶開放,不再需要排隊等待或邀請碼:3月1日消息,Robinhood官方宣布,其加密貨幣錢包Robinhood Wallet現已通過Apple App Store向全球范圍130多個國家/地區開放下載,不再需要排隊等待或邀請碼。據悉,Robinhood Wallet現在支持以太坊和Polygon網絡。[2023/3/1 12:37:07]
6月23日,pandorachainDAO項目遭受閃電貸攻擊,導致了價值約12.8萬美元的資產損失。
6月24日,由Layer1公鏈Harmony開發的以太坊與Harmony間的資產跨鏈橋Horizon遭到攻擊,損失金額約為1億美元。
6月26日,NFT借貸協議XCarnival遭到攻擊,黑客獲利3087枚以太坊,而協議損失可能更高。
6月28日,Goldfinch項目的SeniorPool合約遭受攻擊,攻擊者通過套利累計獲利28523個USDC,項目方累計損失541158個USDC。
騙局安全類型事件
6月1日,BNBChian上項目ArmadilloCoin發生RugPull,詐騙者已將663.4枚BNB轉入TornadoCash。損失價值約21萬美元。
英國財政部長希望在復活節前通過金融監管法案:金色財經報道,英國國會議員和財政部長Andrew Griffith希望在復活節前通過金融服務和市場法案,在周四的英國城市年度晚宴上,格里菲斯說,他希望在復活節前將該法案列入法規匯編。法規書是英國通過和制定的所有立法的記錄。(theblock)[2023/2/5 11:47:54]
6月3日,StarMan發生RugPull,幣價下跌99.5%,詐騙者已將約640.4枚BNB轉移至TornadoCash。損失價值約19.6萬美元。
6月6日,ACC代幣暴跌超70%,近期交易中有7筆被認定為可疑的RugPull,損失達12萬美元。
6月8日,BNBChian上項目BabyElon發生RugPull,代幣下跌98%,詐騙者已將623枚BNB轉入TornadoCash,損失約為18萬美元。
6月12日,HEGECoin已被確認為RugPull跑路項目,HEGE代幣的價格暴跌超過97%。目前損失金額約為43萬USC-USD。
6月13日,ElonMVP代幣發生RugPull,代幣價格下跌99%,超622枚BNB轉入Tornado.Cash,損失約為13萬美元。
SBF保釋后FTX與Alameda相關加密錢包異常活躍:12月28日消息,前FTX首席執行官SBF在以2.5億美元保釋金獲釋后,FTX與Alameda Research相關加密錢包發生資金移動,且這些資金轉移的方式引起了社區的關注。Alameda錢包被發現將ERC20小額代幣交換為ETH/USDT,然后ETH和USDT通過去中心化交易所和混幣器進行匯集。
例如,一個以0x64e9開頭的錢包地址從屬于Alameda的錢包收到了600多枚ETH,其中一部分被兌換成USDT,另一部分被發送到ChangeNow。鏈上分析師ZachXBT指出,Alameda錢包最終使用FixedFloat和ChangeNow等去中心化交易所將資金換成比特幣。這些平臺經常被黑客和攻擊者用來隱藏他們的交易路線。[2022/12/28 22:12:53]
6月14日,區塊鏈云基礎設施Chain或發生RugPull,Token價格24小時下跌96.28%。
6月20日,MoveToEarn應用StepUpGames發生RugPull,Token價格下跌84%,部署者鑄造大量STP并進行拋售。
6月21日,DHE項目發生RugPull,導致DHE代幣價格下跌超過91%。目前損失總額約為14.2萬美元。
隱私身份安全公司443ID完成800萬美元種子輪融資:6月10日消息,隱私身份安全公司 443ID 宣布完成 800 萬美元種子輪融資,本輪融資由 Bill Wood Ventures 和 Silverton Partners 領投。該公司通過構建 OSINT 身份圖在跨越身份和訪問管理、網絡安全、加密貨幣、廣告技術和開源情報 (OSINT) 領域提供服務。443ID 能夠實時提供商業風險情報的全面視圖,包括集成第三方數據,以透明且經濟實惠的方式對用戶進行身份驗證、注冊或授權并做出更多決策。[2022/6/10 23:05:40]
6月22日,LVPLUS項目已被確認為跑路項目。北京時間2022年6月21日,該項目因RugPull攻擊損失了約150萬美元。
6月29日,LVMetaverse(代幣LVP)項目再次發生RugPull,合約部署者再次拿走價值5萬美元的代幣。
網絡釣魚安全類型事件
6月4日,HomelessFriendsNFT的Discord遭到攻擊,homelessfriendsnet系釣魚網站。
6月4日,NFT項目NotBoredApes的Discord遭到攻擊,一個mod賬戶似乎被黑,開始頻繁發布網絡釣魚鏈接。請對官方未公布的Mint保持警惕。
6月4日,NFT項目WibinWolves的Discord服務器遭到攻擊,社區用戶被踢,所有服務器邀請鏈接被關閉。
6月5日,NFT項目「無聊猿」的Discord服務器遭到短暫攻擊,有價值約200ETH的NFT被盜。
6月6日,NFT項目Aiternate的Discord已被攻擊,請用戶不要點擊任何Discord私信或鏈接。
6月7日,Elrond網絡近日遭黑客攻擊,超165萬美元EGLD被盜,部分并已通過去中心化交易平臺Maiar出售,引發Maiar停機維護,部分發送至Binance。
6月7日,專注于女性賦權的NFT系列BossBeauties的Discord被攻擊,截至目前仍在頻繁轉入轉出NFT,總量已達40余枚。
6月8日,NFT項目DapperDinos的Discord遭遇攻擊,http://dapperdrop.com?是釣魚網站。
6月9日,http://mint-samsung.com?是一個釣魚網站。該釣魚網站冒充三星(Samsung)鑄造網站盜取了VeeFriendsSeries2#44451NFT。
6月9日,NFT項目AlphaKongsClub的Discord遭到攻擊,http://alphakongsclubnft.org?是釣魚網站,用戶不要與該項目的Discord發送的任何鏈接互動。
6月12日,NFT項目GooniezGang的Discord遭到攻擊并發布了網絡釣魚鏈接。
6月12日消息,科幻NFT卡牌游戲Parallel發推稱,其Discord遭到攻擊,團隊正在恢復。請用戶不要點擊任何Mint鏈接。
6月14日,NFT發現和交易平臺KnownOrigin的Discord已被攻擊,http://knownoriginpass.io?是釣魚網站,請用戶不要點擊任何Discord私信或鏈接。
6月21日,NFT項目NeoHunters官方推特發文稱,其官方Discord遭遇黑客攻擊,提醒用戶不要點擊任何鏈接。
6月22日,rrbayc.art系釣魚網站,謹防上當受騙。真正的RR/BAYC項目頁面已被OpenSea下架。
6月23日,http://punkcomics.net?網站被認定為詐騙網站,詐騙者已經以0美元的價格獲得了Otherdeed、TheSandboxLAND等100多個NFT。
6月26日,Cardano鏈上NFT項目UglyBros的Discord遭到攻擊并發布包括網絡釣魚鏈接的公告。請社區用戶不要點擊任何鏈接與之交互。
6月26日,Web3安全分析師Serpent表示,已發現一種將盜取錢包內NFT的惡意文件偽裝成PDF文件的攻擊形式,目前TwitterID為@RabbitinM的藝術家已因此遭到了損失。
6月27日,加密KOLZachXBT在其社交網站發文表示,Nouns官方推特賬號被盜,黑客借機發布釣魚網站信息,提醒用戶謹慎點擊相關鏈接。
其他安全事件類型
6月9日,去中心化交易平臺ApolloX發布針對黑客攻擊事件的最新聲明,「一名黑客利用ApolloX的交易獎勵合約中的一個漏洞積累了255個簽名,然后使用這些簽名從提款合約中盜取了5300萬枚APXToken。
6月16日,包括MetaMask和Phantom在內的至少10款瀏覽器插件錢包由于Javascript語言中的某個問題導致可能存在暴露登錄信息的可能性,該漏洞會使得助記詞在內存中存儲一段時間從而被攻擊者利用。目前MetaMask及Phantom已修復了該漏洞。
6月24日消息,RibbonFinance發推表示遭遇DNS攻擊,某用戶損失16.5WBTC。
總結
從Defi安全形勢來看,本月安全事件中閃電貸攻擊和預?機操控仍然是常客,對于這些方面的安全需要項目方著重注意。同時跨鏈橋HarmonyBridge安全事件也提醒我們要保護好自己的私鑰,以及如何針對私鑰泄漏做到更好的安全防護。知道創宇區塊鏈安全實驗室?在此提醒,對合約安全有必要做到常規審計和復合審計,保障合約免受其他攻擊影響,同時高度重視授權問題,對于授權要有明確的時間限制。
從網絡釣魚以及騙局跑日漸頻繁來看,用戶對于項目的鑒別能力弱,容易被項目方的高回報給騙進去,同樣的,釣魚事件也會利用各種免費餡餅勾引用戶進入他們設置的全套。用戶在進行投資的過程中也要多學習區塊鏈相關知識,盡可能減少自己的潛在損失。
來源:金色財經
每一次技術的進步,都是其量變積累導致的結構性質變,“結構”與“應用”方式的轉變是其關鍵。未來Web3.0將如何發展,我們或許無從得知,但是在未來的Web3.0世界中,LoveDAO必定不會缺席.
1900/1/1 0:00:00雙碳目標已在全球各國達成共識,脫碳革命成為趨勢。ESG理念逐步深入人心,利用區塊鏈技術的創新來幫助應對氣候變化成為重要趨勢.
1900/1/1 0:00:00頭條 ▌比特幣礦工收入一年來首次超過以太坊金色財經報道,近一年來,比特幣礦工的收入在6月份首次超過了以太坊。但即便如此,由于加密貨幣寒冬,這兩種數字資產的利潤率都在下降.
1900/1/1 0:00:00實驗環境 兩條平行鏈-鏈A(2008)和鏈B(2009) 一條中繼鏈 實驗目的 通過orml-xcm打開鏈A和鏈B之間的hrmpchannel 前提準備 平行鏈代理賬戶需要一定的中繼鏈token.
1900/1/1 0:00:00記者|司林威 加密貨幣熊市開始影響到交易平臺的人員擴張。6月29日,界面新聞獲悉,知情人士稱加密貨幣平臺火幣開始進行裁員,初步規模約在30%.
1900/1/1 0:00:00在每一絲曙光破曉之前,一定是快要窒息的漫長黑夜;在每一次榮光到來之前,一定有太多狼狽的時刻,被看不起的日子;在每一陣掌聲到來之前,總有太多唏噓,太多冷眼;在每一個山頂峰巔,總有貝殼.
1900/1/1 0:00:00