2021年就要畫下句號,復盤這一年區塊鏈領域發生的安全事件,涉及金額和影響最大的當屬8月份跨鏈互操作協議PolyNetwork遭黑客攻擊,被盜資金超6.1億美元,這也是DeFi史上涉及金額最高的一次攻擊事件。
而發生安全事件次數較多、金額較大的月份為5月、8月和10月、11月、12月。
Q4也成為今年安全事件高發季度。據不完全統計,第4季度發生安全事件超40起,損失金額超7億美元,涉及的領域和類型多樣。Odaily星球日報特整理了Q4各月的重要安全事件,并篩出幾起損失金額較大的,進一步展開介紹,以向項目方及參與者揭示相應風險。
回顧九起損失金額較大的加密領域安全事件
美國眾議院金融服務委員會9月聽證會將討論穩定幣等問題:金色財經消息,近日,美國眾議院金融服務委員會主席Maxine Waters公布了9月的聽證會日程表。其中,美國國家安全、國際發展和貨幣政策小組委員會將于美國東部時間9月20日上午10點召開“替代支付系統及其發展對國家安全的影響”主題聽證會。此外,委員會全體成員將于美國東部時間9月21日上午10點召開名為“讓大型銀行負起責任:對美國最大消費者銀行的監管”主題聽證會。這兩場聽證會都涉及金融科技領域的討論,因為替代支付是金融科技行業的一個領先領域,大型銀行正受到數字銀行和新銀行(提供銀行服務的非特許金融科技公司)越來越多的挑戰。同樣值得注意的是,穩定幣也可能會出現在會議日程上,這意味著該立法應該很快就會被委員會通過并提交給眾議院。(未央網)[2022/9/8 13:15:40]
12月5日,BitMart創始人兼CEOSheldonXia發推表示,發現了兩個熱錢包相關的大規模安全漏洞,黑客提取價值約1.5億美元的資產。6日,SheldonXia表示這個安全漏洞主要是由于兩個熱錢包被盜私鑰造成。BitMart的其他資產是安全的,沒有受到損害。BitMart將使用自己的資金來彌補這一事件并補償受影響的用戶。
中國信通院正式啟動《元宇宙產業圖譜》征集工作:8月12日消息,為進一步梳理元宇宙產業上下游相關企業及產品分布情況,洞察產業發展現狀,研判未來發展趨勢,推動元宇宙產業高質量發展,中國信息通信研究院依托元宇宙創新探索方陣(籌)、內容科技產業推進方陣、可信區塊鏈推進計劃、中國互聯網協會區塊鏈技術應用委員會、中國通信標準化協會TC602、中國通信標準化協會TC603等組織正式開展《元宇宙產業圖譜》編制工作。(財聯社)[2022/8/12 12:21:03]
10月27日,DeFi借貸協議CreamFinance再次遭受攻擊,損失超過1.3億美元。被盜的資金主要是CreamLP代幣和其他ERC-20代幣。PeckShield發現了一筆用于實施這一攻擊行為的大額閃電貸。
ING銀行將其加密貨幣托管平臺分拆后并入GMEX Group:7月11日消息,總部位于荷蘭的ING銀行已剝離剝其加密貨幣托管和交易基礎設施平臺Pyctor,并將其并入數字資產交易技術平臺GMEX。GMEX首席執行官Hirander Misra被任命為Pyctor董事長,Pyctor將繼續與ING銀行以及其數字資產團隊合作。(CoinDesk)[2022/7/11 2:05:06]
10月30日,去中心化交易協議BXH在BSC鏈遭到攻擊,被盜超1.3億美元。初始黑客獲利地址將4000ETH從BSC鏈轉移到ETH鏈,接著將300BTCB兌換為renBTC跨鏈到地址。
12月3日,去中心化組織BadgerDAO確認遭受攻擊,損失達1.203億美元,包括約2,100枚BTC和151枚ETH。BadgerDAO表示,12月2日發生的網絡釣魚事件是由運行在Badger云網絡上的應用平臺Cloudflare的“惡意注入片段”引起的。黑客使用在Badger工程師不知情或未授權的情況下創建的受損API密鑰定期注入影響其部分客戶的惡意代碼。
耶倫:國會必須推進數字資產監管:6月17日消息,美國財長耶倫表示,國會必須推進數字資產監管。
此前金色財經報道,美國財長將與銀行業高管討論加密貨幣。(金十)[2022/6/17 4:33:35]
11月26日,Compound遭預言機攻擊,9000萬美元資產遭清算。此次Compound巨額清算是由于預言機信息源CoinbasePro的DAI價格劇烈波動導致的,操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊。
12月12日,頂峰AscendEX的內部安全審計報告發現,部分ERC-20、BSC和Polygon代幣被異常轉移出交易所熱錢包,AscendEX冷錢包不受此次事件影響。安全公司PeckShieldInc.發推稱,據估計,頂峰AscendEX的損失總計達7770萬美元。
11月30日,自動做市商協議MonoX確認遭閃電貸攻擊,攻擊者耗盡Polygon和Ethereum上的流動性池,獲利約3100萬美元。
11月11日,USDM團隊利用Convex對Curve發起治理攻擊,損失或超過3000萬美元。
10月15日,被動收益協議IndexedFinance遭到攻擊,受影響的資金池包括DEFI5和CC10。官方在Discord中表示,本次攻擊造成的損失約1600萬美元。
事件復盤后的經驗總結
從遭攻擊的項目所屬賽道來看,多為中心化交易所、DEX等DeFi協議,原因主要有錢包漏洞、閃電貸攻擊、網絡釣魚事件等。
作為項目方,除加強安全方面的預算和投入、接受多方審計外,設置風控或災備方案,一定程度上也能起到“增信”的作用。
作為用戶,首先最好大致了解一些市場基本參數的平均水平,對吸引力太過驚人的項目多些警惕和復核。如果不具備代碼能力,建議通篇閱讀由頭部安全公司出具的對應項目審計報告,往往都會提示具體的潛在風險點,并在項目方和其審計機構兩處交叉核驗報告的真實性和時效性,在此也分享一個小工具:DeFiYield出的DeFi項目審計數據庫,可按項目名、幣名、地址或審計機構搜索查詢審計報告。
再有就是保持一些互聯網時代也通用的防范意識,謹防假網站釣魚、電信詐騙、跑路風險等。對所參與項目的最新進展多加關注,日常刷刷官方通告渠道或社區,一旦有技術升級、產品更新、服務暫停、漏洞預警或事故披露,也能第一時間獲悉并行動起來。
最后,一旦所參與的項目不幸中招,不要輕信非官方人員的指導,慌亂操作;當然,如果能在篩選項目的一步建立經驗的話,即便出現安全事故,更靠譜的項目方往往也會快速給出合理的賠償方案。
推薦閱讀
Chainlink-《項目開發者必讀:十大DeFi安全問題解決方案》
成都鏈安-《解析當DeFi淪為黑客的「提款機」,我們如何保證它的安全性?》
Odaily星球日報-《對話頭部安全公司,為什么受傷的總是跨鏈橋?》
Odaily星球日報-《DeFi之暗面——HackFi》
尊敬的XT用戶: 由于杠桿ETF產品SUSHI3L,FIL3L和MATIC3S觸發了XT杠桿ETF產品份額合并機制.
1900/1/1 0:00:00尊敬的XT用戶: 由于BSC錢包升級維護,XT.COM現已暫停所有BSC鏈上代幣的充值與提現業務.
1900/1/1 0:00:00TheLockONIT&Earn#3(term14days)willlaunchat8:00UTConMar20atGate.io''s“HODL&Earn”section.
1900/1/1 0:00:00阿迪達斯毫不猶豫地開始動手,在最近幾周剛剛向這個領域介紹自己之后,本周發布了他們的第一個NFT;政務舞臺現在已經看到了NFT滲透;一家游戲工作室看到了NFT的巨大阻力,以至于他們完全改變了方向.
1900/1/1 0:00:00","fcontent_m":"...","fcreateTime":"2021-12-2410:57:25"},{"fid":2623.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品 背景 當我們再次著重筆墨談及波卡平行鏈時,預示著平行鏈第一輪拍賣已經結束,而在今天凌晨,我們順利集齊了5條平行鏈,并準備“召喚”平行鏈的正式上線.
1900/1/1 0:00:00