概覽
據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io) 統計,2023 年 8 月 14 日至 8 月 20 日,共發生安全事件 10 起,總損失約 1996.3 萬美元。
具體事件
2023 年 8 月 14 日,以太坊上 Zunami Protocol 協議遭遇價格操縱攻擊,損失 1,179 個 ETH(約 220 萬美元)。事件發生的原因是漏洞合約中 LP 價格計算依賴了合約自身的 CRV 余額,和 CRV 在 wETH/CRV 池中的兌換比例。攻擊者通過向合約中轉入 CRV 并操控 wETH/CRV 池子的兌換比例,從而操控了 LP 價格。據 MistTrack 分析,目前 ETH 都已轉入 Tornado Cash。
值得一提的是,此前我們的系統掃到了該漏洞,我們也善意提醒其出現漏洞,但項目方沒有重視,等到事件發生了已為時已晚。
數據:過去一周USDC流通量減少5億美元:金色財經報道,據官方數據,過去7天Circle共發行11億美元USDC,贖回16億美元USDC,流通量減少5億美元。截至8月5日,USDC總流通量為260億美元,儲備量為261億美元,其中現金18億美元,Circle Reserve Fund持有243億美元。
\u2028[2023/8/6 16:20:52]
2023 年 8 月 15 日,以太坊擴容解決方案 Metis 官方推特賬號被盜。據官方表示,團隊成員成為了 SIM 交換攻擊的受害者,導致惡意行為者能夠接管該帳戶大約 30 小時。
SIM 交換攻擊的目的是身份盜竊,攻擊者接管受害者的電話號碼,使他們能夠訪問銀行賬戶、信用卡或加密賬戶。慢霧 CISO 在接受 Cointelegraph 采訪時表示:“隨著 Web3 的普及,吸引更多人進入該行業,由于其技術要求相對較低,SIM 交換攻擊的可能性也隨之增加。此類 SIM 交換攻擊在 Web2 世界中也很普遍,因此看到它在 Web3 環境中出現也不足為奇。”
近一周比特幣鏈上活躍地址數量持續位于近期高位:Tokenview數據顯示,近一周(06.08-06.14)比特幣全網算力平穩,單日鏈上活躍地址數量觸及18年后2月后的最高位。在鏈上基本指標方面,七日新增地址數均值為44.57萬BTC,環比上升1.75%,活躍地址數均值為89.12??萬BTC,環比上升4%。七日鏈上交易均值為84.94萬BTC,環比回落16.34%;日均交易筆數為31.08萬筆,環比回落3.18%。其中6月11日比特幣全網活躍地址數量達104.02 萬,觸及近兩年來的高位。[2020/6/15]
(https://cointelegraph.com/news/crypto-sim-swap-how-easy-is-sim-swap-crypto-hack)
由于 SIM 交換攻擊對黑客的技術技能要求不高,因此用戶必須注意自己的身份安全,以防止此類黑客攻擊。針對 SIM 交換黑客攻擊,我們建議使用多因素身份驗證、增強帳戶驗證(如附加密碼)或為 SIM 卡或手機帳戶建立安全的 PIN 或密碼。
動態 | DeFi項目鎖倉價值11.4億美元 過去一周環比增加8.89%:據DAppTotal.com DeFi專題頁面數據顯示:截至目前,已統計的31個DeFi項目共計鎖倉資金達11.4億美元,其中EOSREX鎖倉3.89億美元,占比34.23%,排名第一位;Maker鎖倉2.61億美元,占比22.95%,排名第二位;排名第三位的是Edgeware鎖倉2.14億美元,占比18.87%;Compound,Synthetix、dYdX、Nuo等其他DeFi類應用共占比23.95%。截至目前,ETH鎖倉總量達334.59萬個,占ETH市場總流通量的3.11%,EOS鎖倉總量達1.02億個,占EOS市場總流通量的10.02%。過去一周,整體而言:1、增長較快的DeFi項目分別有DDEX、Kyber、dYdX、Nuo等,其中新上線DDEX鎖倉環比增加107.85%;2、Maker再一次調低穩定費率至14.5%,主要為了穩定DAI價格保持在1美元,并鼓勵更多的人抵押資產;3、Edgeware宣布正式完成了階段鎖倉空投,截至目前共計鎖倉ETH 119萬個;4、DeFi項目整體鎖倉價值較上周環比增加8.89%。[2019/9/9]
2023 年 8 月 15 日,Sei Network 官方 Discord 服務器遭入侵。
分析 | 最近一周ETH?Dapp?單筆平均交易額環比下降39.78%:據RatingDapp和RatingToken大數據監測顯示,最近一周,三大公鏈EOS/ETH/TRON?Dapp交易筆數分別為EOS(26208833)>TRON(5138201)>ETH(555460);交易額EOS($167909257.01)>TRON($84869324.83)>ETH($66362082.26)。從各公鏈Dapp單筆平均交易額來看:EOS 6.41美元,環比上周上漲1.58%;ETH 119.47美元,環比上周下降39.78%;TRON16.52美元,環比上周下降14.79%。[2019/5/29]
RocketSwap
2023 年 8 月 15 日,Base 生態項目 RocketSwap 遭遇攻擊,攻擊者竊取了 RCKT 代幣,將其轉換為價值約 86.8 萬美元的 ETH 并跨鏈到以太坊,然后黑客創建了一個名為 LoveRCKT 的 memecoin,目的可能是想利用盜來的資產操縱市場情緒以謀取個人利益。
這一事件也引發了人們對 RocketSwap 的質疑,尤其是部署流程和私鑰存儲。然而,該團隊否認內部參與,并將此次行為歸因于第三方黑客。RocketSwap 表示:“團隊在部署 Launchpad 時需要使用離線簽名并將私鑰放在服務器上。目前檢測到服務器被暴力破解,且由于農場合約使用代理合約,存在多個高危權限導致農場資產轉移。”
過去一周6家公司共獲超2400萬美元融資:據不完全統計,過去一周(4月9日—4月15日),全球區塊鏈行業共發生融資事件6起,已披露金額約2460萬美元。[2018/4/16]
SwirlLend
2023 年 8 月 16 日,借貸協議 SwirlLend 團隊從 Base 盜取了約 290 萬美元的加密貨幣,從 Linea 盜取了價值 170 萬美元的加密貨幣,被盜資金均被跨鏈到以太坊。截至目前,部署者已將 254.2 ETH 轉移到 Tornado Cash。SwirlLend 官方 Twitter 和 Telegram 帳戶已經注銷,其官方網站也無法訪問。據 MistTrack 分析,部署者使用了 SwftSwap、XY Finance、Orbiter Finance 等,同時,發現了如下 IP:50.*.*.106、50.*.*.58、50.*.*.42。
Made by Apes
2023 年 8 月 16 日,鏈上分析師 ZachXBT 發推稱,BAYC 推出的鏈上許可申請平臺 Made by Apes 的 SaaSy Labs APl 存在一個問題,允許訪問 MBA 申請的個人詳細信息。該問題在披露前已向 Yuga Labs 反饋,現已修復。Yuga Labs 回應稱,目前不確定是否存在數據濫用的情況,正在聯系任何可能暴露信息的人,并將為任何可能需要的用戶提供欺詐和身份保護。
(https://twitter.com/zachxbt/status/1691514780119343104)
Exactly Protocol
2023 年 8 月 18 日,DeFi 借貸協議 Exactly Protocol 遭受攻擊,損失超 7,160 枚 ETH(約 1204 萬美元)。兩個合約攻擊者通過多次調用函數 kick() 進行攻擊,并使用以太坊上的開發者合約將存款轉移到 Optimism,最終將被盜資金轉回以太坊。據了解,Exactly Protocol 被攻擊的根本原因是 insufficient_check,攻擊者通過直接傳遞未經驗證的虛假市場地址,并將 _msgSender 更改為受害者地址,從而繞過 DebtManager 合約杠桿函數中的許可檢查。然后,在不受信任的外部調用中,攻擊者重新進入 DebtManager 合約中的 crossDeleverage 函數,并從 _msgSender 種盜取抵押品。Exactly Protocol 在推特發文稱,協議已解除暫停,用戶可以執行所有操作,沒有發生任何清算。黑客攻擊只影響到使用外圍合約(DebtManager)的用戶,協議仍在正常運行。
Harbor Protocol
2023 年 8 月 19 日,Cosmos 生態跨鏈穩定幣協議 Harbor Protocol 發推表示,Harbor Protocol 被利用,導致 stable-mint、stOSMO、LUNA 和 WMATIC 金庫中的部分資金被耗盡。從目前收集到的信息來看,攻擊者使用以下地址執行所有操作:comdex1sma0ntw7fq3fpux8suxkm9h8y642fuqt0ujwt5。據悉,Harbor Protocol 在攻擊中損失了 42,261 枚 LUNA、1,533 枚 CMDX、1,571 枚 stOSMO 和 18,600 萬億枚 WMATIC。
Thales
2023 年 8 月 20 日,衍生品市場 Thales 發布公告稱,一名核心貢獻者的個人電腦/Metamask 遭到黑客攻擊,一些充當臨時部署者(2.5 萬美元)或管理員機器人(1 萬美元)的熱錢包已被攻破。請勿與 BNB Chain 上任何 Thalesmarket 合約交互,并撤銷任何待批準的合約。Optimism、Arbitrum、Polygon 和 Base 上的所有資金安全。Thales 表示,由于這次攻擊將正式放棄對 BSC 的支持。
總結
本周有兩起事件是由私鑰泄露造成的損失。過往因項目方私鑰管理不當而導致損失的事件也很常見,比如損失超 6.1 億美元的 Ronin Network 事件、損失超 1 億美元的 Harmony 事件、損失超 1.6 億美元的 Wintermute 事件。私鑰被盜的原由有許多種,針對項目方的私鑰安全主要有三方面:私鑰破解、社會工程學攻擊、生態安全。由于私鑰的重要性,提高安全存儲等級(如硬件加密芯片保護)、去除單點風險等都是防范攻擊的重要手段。私鑰/助記詞的備份上也可以考慮降低單點風險,并且使用一些安全的備份方式、介質或流程等,具體可參考慢霧出品的加密資產安全解決方案:https://github.com/slowmist/cryptocurrency-security。
慢霧科技
個人專欄
閱讀更多
金色財經
金色財經 善歐巴
web3中文
金色早8點
YBB Capital
吳說Real
元宇宙簡史
作者:Ben Lilly,來源:substack;編譯:Kate, Marsbit 大地在震動。 當你感到腳下的不穩定開始加劇時,你可能最不想聽到的就是千里之外發生的事情.
1900/1/1 0:00:00作者:0xTodd,無為資本 來源:推特,@0x_Todd很多人問Layer2怎么盈利呢?大家交給L2的GAS費=收入L2交給以太坊的GAS費=支出L2本質上是手續費雁過拔毛的生意.
1900/1/1 0:00:00DeFi之道訊,4月18日,以太坊基礎設施開發公司ConsenSys發布報告表示,以太坊合并將徹底改變構建和訪問以太坊的方式.
1900/1/1 0:00:00來源:財聯社|區塊鏈日報記者徐賜豪4月18日晚間,天下秀數字科技集團發布2021年財報。報告期內,天下秀實現營業收入45.1億元,同比增長47.4%,近五年收入的年復合增長率達到57.7%;扣非.
1900/1/1 0:00:002022年4月1日愚人節周杰倫在Instagram上發文稱持有的BAYC#3738NFT已被盜了! 納尼??盡然敢盜華語天王的數字藏品?當大家都以為是一場玩笑的時候黑客已經將周杰倫的NFT轉走并.
1900/1/1 0:00:004月8日下午,由上海區塊鏈技術協會主辦的《區塊鏈講堂》成功舉辦,本次課程主題為“上海疫情防控帶來的啟示——區塊鏈賦能社區自治。”此次線上分享氛圍火爆,線上直播間觀看人數超過3000余次.
1900/1/1 0:00:00