作者:鄭冉
2021年就要畫下句號,復盤這一年區塊鏈領域發生的安全事件,涉及金額和影響最大的當屬8月份跨鏈互操作協議PolyNetwork遭黑客攻擊,被盜資金超6.1億美元,這也是?DeFi?史上涉及金額最高的一次攻擊事件。
而發生安全事件次數較多、金額較大的月份為5月、8月和10月、11月、12月。
Q4也成為今年安全事件高發季度。據不完全統計,第4季度發生安全事件超?40起,損失金額超?7億美元,涉及的領域和類型多樣。Odaily星球日報特整理了Q4各月的重要安全事件,并篩出幾起損失金額較大的,進一步展開介紹,以向項目方及參與者揭示相應風險。
香港將允許散戶投資者在新規則下交易主流加密貨幣,暫時禁止穩定幣、自營交易、借貸等服務:5月23日消息,香港宣布散戶投資者可以根據數字資產行業的新規則進行加密貨幣交易,香港證券及期貨事務監察委員會(SFC)今日下午詳細介紹了零售參與的咨詢總結文件。預計個人投資者從 6 月 1 日開始在適當的保障措施下可以交易 BTC 和 ETH 等主流加密貨幣。
SFC 文件顯示,對于規定非證券型代幣須具有至少 12 個月往績紀錄的意見。穩定幣的監管安排預計將于 2023/24 年實施。在穩定幣于香港受到規管前,穩定幣不應獲納入以供零售買賣。關于自營交易,SFC 同意交易平臺上的流動性對客戶來說十分重要。因此,SFC 允許由第三方做市商進行流動性提供活動。然而,現時禁止自營交易的規定是全面性的,并實際上禁止持牌虛擬資產交易平臺的集團公司擁有任何虛擬資產的持倉。
SFC 表示,平臺營運者不應提供與買賣特定虛擬資產相關的獎勵活動。這項原則構成了規定平臺營運者不應登載有關特定虛擬資產的任何廣告的依據。關于虛擬資產市場上其他常見服務(例如收益、存款及借貸),SFC 不允許持牌虛擬資產交易平臺提供這些服務。[2023/5/23 15:21:04]
回顧九起損失金額較大的加密領域安全事件
美聯儲利率掉期顯示,美聯儲3月加息25個基點的幾率穩定在80%左右:金色財經報道,美聯儲利率掉期顯示,美聯儲3月加息25個基點的幾率穩定在80%左右。[2023/3/14 13:04:02]
12月5日,BitMart創始人兼CEOSheldonXia發推表示,發現了兩個熱錢包相關的大規模安全漏洞,黑客提取價值約1.5億美元的資產。6日,SheldonXia表示這個安全漏洞主要是由于兩個熱錢包被盜私鑰造成。BitMart的其他資產是安全的,沒有受到損害。BitMart將使用自己的資金來彌補這一事件并補償受影響的用戶。
10月27日,DeFi借貸協議?Cream?Finance再次遭受攻擊,損失超過1.3億美元。被盜的資金主要是CreamLP代幣和其他ERC-20代幣。PeckShield發現了一筆用于實施這一攻擊行為的大額閃電貸。
Velodrome:團隊擁有的一個錢包被盜,損失35萬美元運營資金:8月4日消息,Optimism上AMM協議Velodrome發推表示,“在今日15:50注意到團隊擁有的一個錢包出現異常活動,顯示該錢包被盜,并損失了35萬美元的運營資金。在發現異常活動后,團隊迅速將該錢包其余資產轉移至多簽中。”[2022/8/4 12:02:34]
10月30日,去中心化交易協議BXH在BSC鏈遭到攻擊,被盜超1.3億美元。初始黑客獲利地址將4000?ETH從BSC鏈轉移到ETH鏈,接著將300BTCB兌換為renBTC跨鏈到地址。
12月3日,去中心化組織Badger?DAO確認遭受攻擊,損失達1.203億美元,包括約2,100枚BTC和151枚ETH。BadgerDAO表示,12月2日發生的網絡釣魚事件是由運行在Badger云網絡上的應用平臺Cloudflare的“惡意注入片段”引起的。黑客使用在Badger工程師不知情或未授權的情況下創建的受損API密鑰定期注入影響其部分客戶的惡意代碼。
為打擊洗倉交易,幣安取消比特幣現貨交易激勵措施:7月9日消息,在幣安決定取消比特幣現貨交易費用后,該公司首席執行官趙長鵬正在打擊幣安發生的洗倉交易。洗倉交易是指交易員買賣自己的資產或進行虛假交易。Mandala Exchange的一名社區經理上周五注意到,短時間內突然有大量比特幣交易,但比特幣的價格幾乎沒有變化。這表明大量交易員在買賣,使價格保持穩定。趙長鵬表示,這是由于零費用和人們試圖獲得VIP級別獎勵,并補充說,幣安“將比特幣交易排除在VIP級別計算之外”,并在交易所“消除所有可能會導致洗倉交易的獎勵”。幣安目前有9個不同的VIP級別,級別越高,用戶交易費用越低。用戶在30天內的現貨交易量越多,其VIP級別就越高。幣安在隨后幾小時內發布公告,將其13個比特幣現貨對從VIP福利及其現貨流動性提供者計劃中剔除。該公司表示,此舉是為了“確保為所有用戶提供一個公平的交易環境”。(Decrypt)[2022/7/9 2:02:09]
11月26日,Compound?遭預言機攻擊,9000萬美元資產遭清算。此次Compound巨額清算是由于預言機信息源?Coinbase?Pro的DAI價格劇烈波動導致的,操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊。
12月12日,頂峰AscendEX的內部安全審計報告發現,部分ERC-20、BSC和?Polygon?代幣被異常轉移出交易所熱錢包,AscendEX冷錢包不受此次事件影響。安全公司PeckShieldInc.發推稱,據估計,頂峰AscendEX的損失總計達7770萬美元。
11月30日,自動做市商協議MonoX確認遭閃電貸攻擊,攻擊者耗盡Polygon和Ethereum上的流動性池,獲利約3100萬美元。
11月11日,USDM團隊利用Convex對?Curve?發起治理攻擊,損失或超過3000萬美元。
10月15日,被動收益協議IndexedFinance遭到攻擊,受影響的資金池包括DEFI5和CC10。官方在Discord中表示,本次攻擊造成的損失約1600萬美元。
事件復盤后的經驗總結
從遭攻擊的項目所屬賽道來看,多為中心化交易所、DEX?等DeFi協議,原因主要有錢包漏洞、閃電貸攻擊、網絡釣魚事件等。
作為項目方,除加強安全方面的預算和投入、接受多方審計外,設置風控或災備方案,一定程度上也能起到“增信”的作用。
作為用戶,首先最好大致了解一些市場基本參數的平均水平,對吸引力太過驚人的項目多些警惕和復核。如果不具備代碼能力,建議通篇閱讀由頭部安全公司出具的對應項目審計報告,往往都會提示具體的潛在風險點,并在項目方和其審計機構兩處交叉核驗報告的真實性和時效性,在此也分享一個小工具:DeFiYield出的DeFi項目審計數據庫,可按項目名、幣名、地址或審計機構搜索查詢審計報告。
再有就是保持一些互聯網時代也通用的防范意識,謹防假網站釣魚、電信詐騙、跑路風險等。對所參與項目的最新進展多加關注,日常刷刷官方通告渠道或社區,一旦有技術升級、產品更新、服務暫停、漏洞預警或事故披露,也能第一時間獲悉并行動起來。
最后,一旦所參與的項目不幸中招,不要輕信非官方人員的指導,慌亂操作;當然,如果能在篩選項目的一步建立經驗的話,即便出現安全事故,更靠譜的項目方往往也會快速給出合理的賠償方案。
2021年,DeFi領域依舊火爆,同時也帶領新的領域向前延展,最成功的產品就是去中心化交易所。近日,波場TRON全力打造的去中心化交易所SunSwap又出新進展.
1900/1/1 0:00:0012月21日,鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,UniswapV3流動性管理協議VisorFinance于北京時間12月21日晚上10點18分遭受攻擊,總損失約為820萬美元.
1900/1/1 0:00:00此前,我們詳細的介紹了近期發展較為迅猛的頭部P2E公會AvocadoDAO。而早在11月底,AvocadoDAO的A輪融資中,融資金額達到了1800萬美元,并創下P2E公會賽道史上最大的融資金額.
1900/1/1 0:00:00點擊上方“藍色字”可關注我們!暴走時評:根據OpenSea的數據,交易量最大的兩個NFT系列正在激烈爭奪銷售額的頭把交椅,目前BAYC處于領先地位.
1900/1/1 0:00:00據可靠消息稱“FIL知名礦商人人礦場rrmine,境內運營公司海南算一科技有限公司、海南安邁云科技有限公司、海南力云科技有限公司,因涉嫌違法犯罪.
1900/1/1 0:00:00來源:Patrick 編譯:0xtree/?深潮TechFlowRoelofBotha是世界上歷史最悠久、最成功的風險投資公司之一紅杉資本的合伙人.
1900/1/1 0:00:00