1.前言
隨著行情逐漸的好轉,十月各類攻擊事件也突增并且涉及金額相當巨大,令人瞠目結舌。據知道創宇區塊鏈安全實驗室數據顯示:該月發生的安全事件超53起,總損失高達超8.5億美元。其中DeFi安全事件飛速增加,最具代表性的當屬BNBChain跨鏈橋TokenHub系統合約遭到黑客攻擊事件,損失高達5.6億美元。
2.數據分析
1、占比分析:
通過對本月各類型安全事件的數量和占比分析,可以發現幾乎一半攻擊都來自DeFi攻擊,而網絡釣魚也仍然是高事件攻擊類型。
2、對比數據分析:
通過對比發現,本月DeFi安全以及跑路騙局事件翻倍增加,而其他安全事件也處于小幅度增長或持平狀態。
3、2022年月安全趨勢:
本月,安全事件數量總體明顯上升,對比上月安全事件數量上升超一倍,可見行情逐漸的回暖同時也帶來了極大的安全威脅。
3.DeFi安全類型事件
10月2日,跨鏈DEX聚合器TransitSwap遭到攻擊,截至目前,損失估計已超過2800萬美元。此次攻擊,主要是針對那些已經批準TransitSwap&CrossApproveProxy合約的地址。
持有逾10萬枚GMX的巨鯨9小時前用27枚ETH買入131萬枚LION:金色財經報道,據鏈上分析師余燼監測,持有102397 GMX(價值752萬美元)的鯨魚在9小時前將30 ETH 轉至0x2a2地址,隨后使用27 ETH買入了131萬LION(價值5.6萬美元)。[2023/4/23 14:21:16]
10月7日,BNBChain跨鏈橋TokenHub系統合約遭到黑客攻擊,被分兩次提取200萬枚BNB,約合5.6億美元。
10月9日,XaveFinance項目遭到黑客攻擊,導致RNBW增發了1000倍。
10月11日,QANplatform橋智能合約遭到攻擊,攻擊者在以太坊上獲利資產約960,000美元,在BNBChain上獲利資產約1,140,000美元。
10月11日,DeFi協議TempleDAO疑似遭到攻擊,損失約234萬美元。
10月11日,Rabby項目遭到黑客攻擊,涉及金額約20萬美元。
10月12日,基于Solana的去中心化金融平臺Mango遭到潛在1億美元的攻擊。
10月12日,ATK項目遭受閃電貸攻擊,攻擊者獲利12萬美元。
10月14日,MEV機器人(0x00000.....be0d72)被利用,損失約為187.75WETH。
彭博社:對沖基金巨頭Ken Griffin參與了硅谷銀行救助計劃:金色財經報道,據彭博社披露,美國對沖基金巨頭、美國城堡投資集團(Citadel Investment Group)創始人Ken Griffin參與了硅谷銀行救助計劃,他對美國金融系統的緊急支持得到了Larry Summers和Bill Ackman在內的多個知名投資者的支持和贊揚,據悉Ken Griffin是拜登政府的批評者也是共和黨捐助者。[2023/3/14 13:03:23]
10月17日,MTDAO項目方的未開源合約遭受閃電貸攻擊,損失近50萬美元。
10月18日,BitKeepSwap遭到黑客攻擊,開發團隊已進行緊急處理,黑客的攻擊行為已被阻止,攻擊集中于BNBChain,造成約100萬美元的損失。
10月18日,PLTD項目遭到黑客攻擊,其交易池中的所有BUSD被全部兌空,攻擊者共獲利24,497枚BUSD。
10月19日,Celo上的Moola協議遭受攻擊,黑客獲利約900萬美元。
10月20日,代幣GEO合約被攻擊,請勿在BNBChain上購買GEO。
10月20日,一項名為「以太坊鬧鐘」(EthereumAlarmClock)的服務因智能合約漏洞而被利用,目前黑客已經獲取了204個ETH,價值約259800美元。
多鏈錢包Blocto以8000萬美元的估值完成了A輪融資:金色財經報道,多鏈錢包 Blocto 以 8000 萬美元估值完成 A 輪融資,本輪融資由 Mark Cuban、IPX 和 500 Global 參投,具體融資金額未透露。據悉,目前 Blocto 已支持 Aptos、Ethereum、Solana、Polygon、Flow 和 BNB Chain 網絡。
Blocto 最近一次籌集資金是在 2021 年完成了由 Animoca Brands 領投,CMS Holdings、Double Peak Group 和Alameda Research參與的 800 萬美元 A 輪融資。此次融資后不久,這家初創公司還完成了800 萬美元的私人代幣融資,投資方包括 SevenX Ventures、Alameda Research 和Dapper Labs 首席執行官Roham Garegozlou 。[2023/2/22 12:23:00]
10月20日,推特用戶披露BitBTC和Optimism之間的跨鏈橋存在「虛假鑄幣」漏洞,現已修復。
10月21日,OlympusDAO因代碼漏洞導致約29.2萬美元損失。
10月23日,Optimism生態投資項目Layer2DAO遭遇黑客攻擊,黑客通過獲取了Layer2DAO的多重簽名權限盜走約4995萬枚L2DAOToken并將部分拋售。損失約為32萬美元。
NFT碳信用額遠期融資市場GreenTrade完成百萬歐元pre-seed輪融資:8月30日消息,據外媒報道,總部位于柏林的 NFT 碳信用額遠期融資市場 GreenTrade 宣布完成“7 位數”pre-seed 輪融資(具體金額暫未披露),本輪融資由 Web3 風險投資公司 Cerulean 領投,Draft Ventures、Allegory 和 Flori Ventures 以及 Tom O'Keefe 和 Sundeep Ahuja 等天使投資人參投。
GreenTrade 由 Katrin Klingenberg、Ulf Hackbarth、Carsten Hermann 和 Frederick Leuschner 創立,該公司通過與項目開發商簽訂長期承購協議并將這些合同轉化為可交易的 NFT 數字資產來加速新碳項目融資,這些 NFT 可供企業買家使用,同時也能讓碳信用領域里的開發人員更高效地獲得資金支持。(tech.eu )[2022/8/30 12:58:00]
10月24日,QuickSwap因閃電貸攻擊損失22萬美元,將暫時關閉借貸市場。
10月25日,ULME代幣項目遭黑客攻擊,損失50646BUSD。
10月25日,MelodySGS項目的AssetsDepositUpgrade合約疑似遭受黑客攻擊,攻擊共造成2225枚BNB損失。損失約為64萬美元。
Web3社交平臺Taki完成345萬美元種子輪融資:8月4日消息,Token驅動的 Web3 社交平臺Taki宣布已完成345萬美元種子輪融資,Alameda Research、CoinDCX、Coinbase Ventures、Formless Capital、Gemini Frontier Fund、Huobi Ventures、Kraken Ventures、Luno Expeditions、OKX Blockdream Ventures、Roka Works和Solana Ventures參投。(apnnews)[2022/8/4 12:02:22]
10月27日,多鏈錢包UvToken遭遇攻擊,UVT代幣價格下跌99%,攻擊者已將盜取的約5011枚BNB轉入TornadoCash。
10月27日,TeamFinance團隊表示,該協議管理資金在由Uniswapv2遷移至v3的過程中遭到黑客攻擊,已確定的損失為1450萬美元。
10月27日,TrustSwap項目遭受黑客攻擊,影響金額至少約779萬美元。
10月27日,項目VictortheFortune遭閃電貸攻擊,攻擊者已獲利約5.8萬美元。
10月28日,FriesDAO因Profanity漏洞遭到攻擊,損失約230萬美元。
4.騙局安全類型事件
10月2日,BTU(BTU)項目出現88%以上的跌幅,已確認該項目為RugPull項目。
10月6日,Easier(EAI)出現66%以上的跌幅,已確認該項目為RugPull項目。
10月7日,山寨項目GMX(GMX)出現88%以上的跌幅,已確認該項目為RugPull項目。
10月9日,Jumpnfinance項目發生Rugpull,目前被盜資金中2100BNB已轉入Tornado.Cash,剩余部分2,058BNB還存放在攻擊者地址。
10月16日,SHOK項目價格跌幅超過83%,已被確認為RugPull,該騙局已獲利約7.14萬美元。
10月20日,MangoINU項目已確認是RugPull,幣價跌幅超過80%,該騙局已獲利約4.85萬美元。
10月20日,DD項目價格跌幅超過87%,已被確認為RugPull,該騙局已獲利約10.9萬美元。
10月24日,Freeway項目方刪除了官方名單并且實施了RugPull,涉及金額或超1億美元。
10月24日,Mango攻擊者通過部署RugPull項目MangoInu獲利10萬美元。
10月28日,一偽裝成Aptos官方的空投騙局已獲利114.8枚ETH,切勿點擊釣魚網站airdrop.aptlabs.fi。
5.網絡釣魚安全類型事件
10月9日,英國知名女子組合辣妹合唱團(SpiceGirls)成員MelB已向當地報警,稱其Whatsapp遭加密黑客攻擊,黑客向MelB的社交網絡好友發布了一個慈善比特幣捐款項目請求,她的家人和名人朋友收到了大量虛假加密貨幣捐贈請求。
10月8日,Flaskies項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
10月9日,價值超過70萬美元的七只「無聊猿」BAYC已經被盜,分別是BAYC4317、755、6567、8761、2951、9611、8274。受害者被誘騙批準了一個惡意合約,導致錢包內BAYC被盜。
10月15日,WhisbeVandalz項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
10月16日,ProjectKaito項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
10月18日,XANA項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
10月22日,Gate官方推特賬號疑似被黑,并發送釣魚信息,請用戶注意資產安全。
10月22日,Vivity項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
10月22日,ProjectShojira項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
10月25日,FTX和3CommasAPI密鑰相關釣魚事件的攻擊者還攻擊了BinanceUS和Bittrex交易所,分別盜取了1053枚ETH和301枚ETH。
10月26日,NFT項目primordials的Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
10月28日,NFT項目OxyaOrigin的Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。
6.其他安全事件類型
10月11日,paraswap部署者私鑰疑似泄露,資金在多個鏈上被盜。
10月11日,TokenPocket官網遭受異常流量攻擊,技術團隊正在進行緊急維護。
10月17日,日本多家交易所遭到LazarusGroup發起的網絡攻擊,據信該集團由朝鮮政府直接控制。
10月25日,Web3娛樂社交應用Melody代幣地址被黑客盜用,團隊暫時關閉提現功能。
10月26日,SpookieFinance前端疑似遭到攻擊,GHOST幣價幾乎歸零。
7.總結
從DeFi的角度看所涉及的安全事件中,除最常見的閃電貸攻擊外,跨鏈橋攻擊也愈發頻繁。這里再次提醒大家合約審計的重要性:在相當多的攻擊事件中,邏輯問題基本上是影響最為嚴重的,所以開發人員在開發時,需要對合約功能邏輯進行嚴謹開發。同時對合約安全有必要做到常規審計和復合審計,保障合約免受其他攻擊影響,同時高度重視閃電貸和跨鏈橋合約。
從網絡釣魚以及騙局跑路角度來看,跑路騙局相比于上月大量增加,這警示著投資者需要對項目及項目方各個方面都進行全面考察,謹慎對待沒一個項目,防止無良項目方騙錢跑路;網絡釣魚相比于上月基本持平,增加幅度不大,但事件數量卻絲毫不減,可以看出攻擊者仍然認為網絡釣魚更容易欺騙到用戶從而獲利,而普通投資者也確實在這方面容易掉以輕心,知道創宇區塊鏈安全實驗室提醒大家不要點擊、鑄造或授權任何不明交易,交互過程中注意錢包或者瀏覽器提示信息,涉及Approve授權操作應格外注意。
7:00-12:00關鍵詞:香港、黑龍江、Polkadot、TwitterBlue1.香港特區政府發表虛擬資產政策宣言.
1900/1/1 0:00:00本周加密貨幣市場的交易一直橫盤整理,而比特幣和以太坊則保持其地位。隨著今天的交易量增長超過40%,比特幣在本周增長超過6%之后,仍然保持著相當不錯的支撐.
1900/1/1 0:00:00活動時間:2022.10.3000:00-?24:00(UTC8)新人注冊獎活動期間注冊用戶,每日隨機抽取50位發放10USDT獎勵.
1900/1/1 0:00:00狗狗幣市場繼續維持上行趨勢。即使是現在DOGE/USD的價格走勢仍然準備進一步向上推動。狗狗幣預測統計數據:狗狗幣價格:0.1274美元狗狗幣市值:172.2億美元狗狗幣流通量:1326.7億狗.
1900/1/1 0:00:00由于美聯儲加息決定和評論預計會出現波動,因此人們擔心比特幣可能已經見頂。 公眾號:財圈小風 所有平臺均為,由于平臺限制,圖片未能展現出來,大家可以到公眾平臺閱讀此文比特幣(比特幣20,474美元.
1900/1/1 0:00:00?10月開始,比特幣、山寨幣和狗幣等memecoins的價格下跌,受美聯儲量化緊縮和加息的支持。比特幣跌破20k心理關口,引發市場投資者緊張。然而,當月結束時,市場上一些山寨幣的價格大幅上漲.
1900/1/1 0:00:00