2021年就要畫下句號,復盤這一年區塊鏈領域發生的安全事件,涉及金額和影響最大的當屬8月份跨鏈互操作協議PolyNetwork遭黑客攻擊,被盜資金超6.1億美元,這也是DeFi史上涉及金額最高的一次攻擊事件。
而發生安全事件次數較多、金額較大的月份為5月、8月和10月、11月、12月。
Q4也成為今年安全事件高發季度。據不完全統計,第4季度發生安全事件超40起,損失金額超7億美元,涉及的領域和類型多樣。Odaily星球日報特整理了Q4各月的重要安全事件,并篩出幾起損失金額較大的,進一步展開介紹,以向項目方及參與者揭示相應風險。
回顧九起損失金額較大的加密領域安全事件
CoinsPaid和Alphapo約850萬美元被盜資金被兌換為290枚比特幣:8月3日消息,鏈上分析師@tayvano_監測,昨晚來自CoinsPaid和Alphapo的約850萬美元被盜資金(還有Atomic錢包的一些剩余資金)流向了3條鏈上的300多個地址。
其中約4600枚ETH被分配到125個新的以太坊地址,隨后轉入Avalanche網絡,再轉為比特幣。截至目前,約290枚BTC存放在125個新的比特幣地址中,每個地址持有約1-3枚BTC。[2023/8/3 16:15:23]
12月5日,BitMart創始人兼CEOSheldonXia發推表示,發現了兩個熱錢包相關的大規模安全漏洞,黑客提取價值約1.5億美元的資產。6日,SheldonXia表示這個安全漏洞主要是由于兩個熱錢包被盜私鑰造成。BitMart的其他資產是安全的,沒有受到損害。BitMart將使用自己的資金來彌補這一事件并補償受影響的用戶。
高盛:余額超過10萬BTC的比特幣地址減少31%:金色財經報道,高盛 (GS) 在一份報告中表示,5 月份的鏈上統計數據顯示比特幣 (BTC) 和以太坊 (ETH) 采用情況喜憂參半。報告稱,以太坊基本沒有變化,但余額超過10萬BTC的比特幣地址減少31%。表明已實現利潤程度的比特幣支出產出利潤率(SOPR) 在本月出現了多次飆升,達到了 2020 年 12 月以來的最高水平,表明現貨市場發生了相當大的獲利了結。[2023/6/6 21:18:55]
10月27日,DeFi借貸協議CreamFinance再次遭受攻擊,損失超過1.3億美元。被盜的資金主要是CreamLP代幣和其他ERC-20代幣。PeckShield發現了一筆用于實施這一攻擊行為的大額閃電貸。
安全團隊:BGEO Token或存在“無限鑄幣”漏洞:10月20日消息,據Dataverse在社交媒體透露,目前已經檢測到黑客對GEO BSC合約進行攻擊,并提醒用戶不要在BSC購買GEO,因為相關操作可能無效。后續GeoCash將對相關問題進行維護,也將根據ETH/Polygon鏈上快照進行空投。
另據派盾(PeckShield)在社交媒體上分析,該問題可能是BGEO(Binance GeoDB Coin)的鑄造函數存在“允許無限鑄幣”漏洞導致。[2022/10/20 16:31:20]
10月30日,去中心化交易協議BXH在BSC鏈遭到攻擊,被盜超1.3億美元。初始黑客獲利地址將4000ETH從BSC鏈轉移到ETH鏈,接著將300BTCB兌換為renBTC跨鏈到地址。
以太坊L2網絡總鎖倉量為47.3億美元:金色財經消息,L2BEAT數據顯示,截至5月27日,以太坊Layer2上總鎖倉量為47.3億美元。其中鎖倉量最高的為擴容方案Arbitrum,約25.8億美元,占比54.51%。其次是dYdX,鎖倉量9.47億美元,占比20.1%。Optimism占據第三,鎖倉量4.82億美元,占比10.18%。[2022/5/27 3:46:14]
12月3日,去中心化組織BadgerDAO確認遭受攻擊,損失達1.203億美元,包括約2,100枚BTC和151枚ETH。BadgerDAO表示,12月2日發生的網絡釣魚事件是由運行在Badger云網絡上的應用平臺Cloudflare的“惡意注入片段”引起的。黑客使用在Badger工程師不知情或未授權的情況下創建的受損API密鑰定期注入影響其部分客戶的惡意代碼。
11月26日,Compound遭預言機攻擊,9000萬美元資產遭清算。此次Compound巨額清算是由于預言機信息源CoinbasePro的DAI價格劇烈波動導致的,操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊。
12月12日,頂峰AscendEX的內部安全審計報告發現,部分ERC-20、BSC和Polygon代幣被異常轉移出交易所熱錢包,AscendEX冷錢包不受此次事件影響。安全公司PeckShieldInc.發推稱,據估計,頂峰AscendEX的損失總計達7770萬美元。
11月30日,自動做市商協議MonoX確認遭閃電貸攻擊,攻擊者耗盡Polygon和Ethereum上的流動性池,獲利約3100萬美元。
11月11日,USDM團隊利用Convex對Curve發起治理攻擊,損失或超過3000萬美元。
10月15日,被動收益協議IndexedFinance遭到攻擊,受影響的資金池包括DEFI5和CC10。官方在Discord中表示,本次攻擊造成的損失約1600萬美元。
事件復盤后的經驗總結
從遭攻擊的項目所屬賽道來看,多為中心化交易所、DEX等DeFi協議,原因主要有錢包漏洞、閃電貸攻擊、網絡釣魚事件等。
作為項目方,除加強安全方面的預算和投入、接受多方審計外,設置風控或災備方案,一定程度上也能起到“增信”的作用。
作為用戶,首先最好大致了解一些市場基本參數的平均水平,對吸引力太過驚人的項目多些警惕和復核。如果不具備代碼能力,建議通篇閱讀由頭部安全公司出具的對應項目審計報告,往往都會提示具體的潛在風險點,并在項目方和其審計機構兩處交叉核驗報告的真實性和時效性,在此也分享一個小工具:DeFiYield出的DeFi項目審計數據庫,可按項目名、幣名、地址或審計機構搜索查詢審計報告。
再有就是保持一些互聯網時代也通用的防范意識,謹防假網站釣魚、電信詐騙、跑路風險等。對所參與項目的最新進展多加關注,日常刷刷官方通告渠道或社區,一旦有技術升級、產品更新、服務暫停、漏洞預警或事故披露,也能第一時間獲悉并行動起來。
最后,一旦所參與的項目不幸中招,不要輕信非官方人員的指導,慌亂操作;當然,如果能在篩選項目的一步建立經驗的話,即便出現安全事故,更靠譜的項目方往往也會快速給出合理的賠償方案。
推薦閱讀
Chainlink-《項目開發者必讀:十大DeFi安全問題解決方案》
成都鏈安-《解析當DeFi淪為黑客的「提款機」,我們如何保證它的安全性?》
Odaily星球日報-《對話頭部安全公司,為什么受傷的總是跨鏈橋?》
Odaily星球日報-《DeFi之暗面——HackFi》
Tags:DEFIEFIDEFBTCDeFinitionBlaze DeFipinetworkdefi幣怎么退出熱門了MOBTC價格
尊敬的中幣用戶: ????中幣將開放GLS的Staking挖礦,用戶可以在中幣官網或APP上參與GLS存幣挖礦,將自有的GLS加入存幣挖礦,每天獲得收益.
1900/1/1 0:00:00原文作者:BenSchecter 原文編譯:谷昱 近日,a16z在其官網發布了RabbitHole的運營負責人BenSchecter的文章,該文認為隨著加密協議的發展.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線XNL,並開啟XNL/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2021年12月17日18:00; XNL 項目簡介:Chronicle是世界.
1900/1/1 0:00:00灰度GBTC溢價率達到-21.36%,達到歷史性低位,這足可以看出美股市場上的拋售意愿。這其中原因一方面在于,國外資本在圣誕節前出逃意向較為明顯;另一方面則是在于美聯儲加息預期上升,比特幣等風險.
1900/1/1 0:00:00據CNBC12月17日消息,Meta加密貨幣項目高管MeronColbeci近日已離開Meta,加入總部位于英國的數字支付公司Checkout.com,后者是歐洲最大的私人控股金融科技公司之一.
1900/1/1 0:00:00幣安槓桿和質押借幣聖誕限定活動:參與交易或借貸,與您分享40,000BUSD元宇宙代幣和聖誕NFT盲盒2021-12-1709:55值此聖誕狂歡季,為了感謝您一直以來的支持.
1900/1/1 0:00:00