創宇區塊鏈：6 月安全月報-ODAILY_DIS

前言

六月以來，安全事件仍層出不窮，即使幣價下跌，攻擊者卻沒有停下攻擊的腳步。據知道創宇區塊鏈安全實驗室數據顯示：該月發生的安全事件超46起，其中跑路騙局變得更加嚴重，而跨鏈橋HarmonyBridge由于驗證者節點的私鑰泄露損失高達1億美元。本月安全事件造成的損失總金額共計約1.21億美元。

以下是知道創宇區塊鏈安全實驗室對六月各類型安全資訊的總結，并就其暴露出的問題進行探討。

DeFi安全類型事件

6月2日，BNBChian上項目CoFiXProtocol遭受價格操控攻擊，攻擊者獲利約14萬美元。

6月4日，fomo-dao項目遭到攻擊，目前攻擊者獲利11萬美元，已經轉至Tornado.cash。

6月7日，EqualizerFinance遭受閃電貸攻擊。此次攻擊的主要原因在于EqualizerFinance協議的FlashLoanProvider合約與Vault合約不兼容。損失約為831美元。

6月9日，部署在Osmosis區塊鏈上的678號池遭到攻擊，金額或涉及500萬美元。通過利用此漏洞，用戶可以退出池并獲得最初存入池中的額外50%的資產。

nd4.eth及其追隨者地址近半小時內再次銷毀3枚BAYC、2枚MAYC及2枚BAKC:8月10日消息，據鏈上數據顯示，nd4.eth以及其行為追隨者地址（blackholefaller.eth）近半小時內再次合計將3枚BAYC、2枚MAYC及2枚BAKC轉入黑洞地址銷毀。值得注意的是，blackholefaller.eth早已于15天前和nd4.eth一同將其ENS域名轉入黑洞地址銷毀。[2023/8/10 16:18:44]

6月14日，Fswap官方表示，其于6月13日22:08遭到黑客攻擊，此次攻擊為非被攻擊項目漏洞事件，是惡意借貸攻擊事件。損失1751BNB，價值約為39萬美元。

6月21日，whaleswap.finance項目遭受攻擊，至少損失5946個BUSD和5964個USDT，價值約11910美元。

6月23日，pandorachainDAO項目遭受閃電貸攻擊，導致了價值約12.8萬美元的資產損失。

6月24日，由Layer1公鏈Harmony開發的以太坊與Harmony間的資產跨鏈橋Horizon遭到攻擊，損失金額約為1億美元。

Curve、Metronome和Alchemix向黑客提供10%的賞金以敦促其歸還加密貨幣:金色財經報道，Curve Finance和本周受重入攻擊影響的其他項目計劃向黑客提供10%的賞金，以換取其歸還剩余的加密貨幣。7月30日的漏洞導致約7000萬美元的加密貨幣被盜，這將使賞金接近700萬美元。Curve、Metronome和Alchemix 在發送給黑客以太坊地址的鏈上消息中寫道：“我們不會進一步追查此事，也不會有執法問題等風險”。

發送給黑客的聲明補充稱：“如果您選擇不參加自愿歸還并在8月6日08：00 UTC之前完成該流程，我們將向公眾擴大賞金范圍，并向能夠通過以下方式識別您身份的人提供全額 10% 的獎勵：導致你在法庭上被定罪。我們將在法律允許的范圍內從各個角度追捕你”。

金色財經曾報道，此次攻擊是由于Vyper編程語言版本中的嚴重漏洞造成的。使用Vyper 0.2.15、0.2.16 和 0.3.0 的多個資金池成為重入攻擊的目標，影響了 Curve Finance 上的四個流動資金池。[2023/8/4 16:17:46]

6月26日，NFT借貸協議XCarnival遭到攻擊，黑客獲利3087枚以太坊，而協議損失可能更高。

Velodrome社區提議Stargate將150萬美元POL轉移到Velodrome上:金色財經報道，Optimism上AMM協議Velodrome在Commonwealth上發起Make Velodrome the STG Hubon Optimism提案，增加Stargate在Optimism上的流動性。該提案提議基于LayerZero的跨鏈流動性協議Stargate將150萬美元POL（協議擁有的流動性）從UniswapLP池轉移到Velodrome并賄賂STG-USDC池，Velodrome將按照Tourde OP激勵計劃匹配Stargate 40%的賄賂（bribes），由此可以對STG-USDC的流動性激勵Chans4倍以上影響。

同時，LP仍將被使用，并切Stargate可以選擇將額外的POL遷移到Optimism上。Stargate將把質押收益中的VELO獎勵鎖定為veVELO，以減少對STG釋放需求，同時在Optimism上保持流動性。鎖定的veVELO將自動使Stargate獲得鎖定獎勵，通常價值為鎖定的VELO的30-40%，以OP支付。

Stargate將開始試運行價值50萬美元的STG，以每周10萬美元的速度賄賂STG-USDC池。Velodrome將匹配Stargate每周40%的賄賂。若北京時間3月2日通過一次投票，Stargate的LP將獲得更高的APR，并逐漸減少STG釋放。[2023/2/27 12:31:21]

6月28日，Goldfinch項目的SeniorPool合約遭受攻擊，攻擊者通過套利累計獲利28523個USDC，項目方累計損失541158個USDC。

Web3社交聊天工具Console Beta測試版上線:12月16日消息，Web3社交聊天工具Console已上線Beta測試版，旨在通過錢包登錄和ENS域名身份驗證等功能解決“垃圾信息”、“機器人”等社交網絡現有的問題。此外，Console還提供支持投票、線程消息、事件、賞金和財庫等工具，以幫助推動新興加密社區的發展。（CoinDesk）[2022/12/16 21:48:32]

騙局安全類型事件

6月1日，BNBChian上項目ArmadilloCoin發生RugPull，詐騙者已將663.4枚BNB轉入TornadoCash。損失價值約21萬美元。

6月3日，StarMan發生RugPull，幣價下跌99.5%，詐騙者已將約640.4枚BNB轉移至TornadoCash。損失價值約19.6萬美元。

6月6日，ACC代幣暴跌超70%，近期交易中有7筆被認定為可疑的RugPull，損失達12萬美元。

6月8日，BNBChian上項目BabyElon發生RugPull，代幣下跌98%，詐騙者已將623枚BNB轉入TornadoCash，損失約為18萬美元。

央行等八部門印發建設科創金融改革試驗區總體方案：支持試驗區內區域性股權市場開展區塊鏈應用試點:金色財經報道，中國人民銀行、發展改革委、科技部、工業和信息化部、財政部、銀保監會 證監會、外匯局發布關于印發《上海市、南京市、杭州市、合肥市、嘉興市建設科創金融改革試驗區總體方案》的通知，其中指出在依法合規、風險可控的前提下，積極探索區塊鏈技術在供應鏈金融、貿易金融、交易清算、征信等金融場景的安全應用，支持長三角征信鏈建設，推動長三角征信一體化發展。支持試驗區內高等院校、研究機構和金融科技企業加強合作。支持試驗區內區域性股權市場開展區塊鏈應用試點，建立區域性股權市場與中國證券登記結算有限責任公司的賬戶對接機制。[2022/11/21 22:12:26]

6月12日，HEGECoin已被確認為RugPull跑路項目，HEGE代幣的價格暴跌超過97%。目前損失金額約為43萬USC-USD。

6月13日，ElonMVP代幣發生RugPull，代幣價格下跌99%，超622枚BNB轉入Tornado.Cash，損失約為13萬美元。

6月14日，區塊鏈云基礎設施Chain或發生RugPull，Token價格24小時下跌96.28%。

6月20日，MoveToEarn應用StepUpGames發生RugPull，Token價格下跌84%，部署者鑄造大量STP并進行拋售。

6月21日，DHE項目發生RugPull，導致DHE代幣價格下跌超過91%。目前損失總額約為14.2萬美元。

6月22日，LVPLUS項目已被確認為跑路項目。北京時間2022年6月21日，該項目因RugPull攻擊損失了約150萬美元。

6月29日，LVMetaverse(代幣LVP)項目再次發生RugPull，合約部署者再次拿走價值5萬美元的代幣。

網絡釣魚安全類型事件

6月4日，HomelessFriendsNFT的Discord遭到攻擊，homelessfriendsnet系釣魚網站。

6月4日，NFT項目NotBoredApes的Discord遭到攻擊，一個mod賬戶似乎被黑，開始頻繁發布網絡釣魚鏈接。請對官方未公布的Mint保持警惕。

6月4日，NFT項目WibinWolves的Discord服務器遭到攻擊，社區用戶被踢，所有服務器邀請鏈接被關閉。

6月5日，NFT項目「無聊猿」的Discord服務器遭到短暫攻擊，有價值約200ETH的NFT被盜。

6月6日，NFT項目Aiternate的Discord已被攻擊，請用戶不要點擊任何Discord私信或鏈接。

6月7日，Elrond網絡近日遭黑客攻擊，超165萬美元EGLD被盜，部分并已通過去中心化交易平臺Maiar出售，引發Maiar停機維護，部分發送至Binance。

6月7日，專注于女性賦權的NFT系列BossBeauties的Discord被攻擊，截至目前仍在頻繁轉入轉出NFT，總量已達40余枚。

6月8日，NFT項目DapperDinos的Discord遭遇攻擊，http://dapperdrop.com是釣魚網站。

6月9日，http://mint-samsung.com是一個釣魚網站。該釣魚網站冒充三星(Samsung)鑄造網站盜取了VeeFriendsSeries2#44451NFT。

6月9日，NFT項目AlphaKongsClub的Discord遭到攻擊，http://alphakongsclubnft.org是釣魚網站，用戶不要與該項目的Discord發送的任何鏈接互動。

6月12日，NFT項目GooniezGang的Discord遭到攻擊并發布了網絡釣魚鏈接。

6月12日消息，科幻NFT卡牌游戲Parallel發推稱，其Discord遭到攻擊，團隊正在恢復。請用戶不要點擊任何Mint鏈接。

6月14日，NFT發現和交易平臺KnownOrigin的Discord已被攻擊，http://knownoriginpass.io是釣魚網站，請用戶不要點擊任何Discord私信或鏈接。

6月21日，NFT項目NeoHunters官方推特發文稱，其官方Discord遭遇黑客攻擊，提醒用戶不要點擊任何鏈接。

6月22日，rrbayc.art系釣魚網站，謹防上當受騙。真正的RR/BAYC項目頁面已被OpenSea下架。

6月23日，http://punkcomics.net網站被認定為詐騙網站，詐騙者已經以0美元的價格獲得了Otherdeed、TheSandboxLAND等100多個NFT。

6月26日，Cardano鏈上NFT項目UglyBros的Discord遭到攻擊并發布包括網絡釣魚鏈接的公告。請社區用戶不要點擊任何鏈接與之交互。

6月26日，Web3安全分析師Serpent表示，已發現一種將盜取錢包內NFT的惡意文件偽裝成PDF文件的攻擊形式，目前TwitterID為@RabbitinM的藝術家已因此遭到了損失。

6月27日，加密KOLZachXBT在其社交網站發文表示，Nouns官方推特賬號被盜，黑客借機發布釣魚網站信息，提醒用戶謹慎點擊相關鏈接。

其他安全事件類型

6月9日，去中心化交易平臺ApolloX發布針對黑客攻擊事件的最新聲明，「一名黑客利用ApolloX的交易獎勵合約中的一個漏洞積累了255個簽名，然后使用這些簽名從提款合約中盜取了5300萬枚APXToken。

6月16日，包括MetaMask和Phantom在內的至少10款瀏覽器插件錢包由于Javascript語言中的某個問題導致可能存在暴露登錄信息的可能性，該漏洞會使得助記詞在內存中存儲一段時間從而被攻擊者利用。目前MetaMask及Phantom已修復了該漏洞。

6月24日消息，RibbonFinance發推表示遭遇DNS攻擊，某用戶損失16.5WBTC。

總結

從Defi安全形勢來看，本月安全事件中閃電貸攻擊和預?機操控仍然是常客，對于這些方面的安全需要項目方著重注意。同時跨鏈橋HarmonyBridge安全事件也提醒我們要保護好自己的私鑰，以及如何針對私鑰泄漏做到更好的安全防護。知道創宇區塊鏈安全實驗室在此提醒，對合約安全有必要做到常規審計和復合審計，保障合約免受其他攻擊影響，同時高度重視授權問題，對于授權要有明確的時間限制。

從網絡釣魚以及騙局跑日漸頻繁來看，用戶對于項目的鑒別能力弱，容易被項目方的高回報給騙進去，同樣的，釣魚事件也會利用各種免費餡餅勾引用戶進入他們設置的全套。用戶在進行投資的過程中也要多學習區塊鏈相關知識，盡可能減少自己的潛在損失。

Tags：NFTORDDISDISCNFTBMeme LordzThe Swedish TrustDisCas Vision

世界幣