前言
八月,web3.0方面安全事件数量依旧高居不下,没有下降趋势。根据知道创宇区块链安全实验室 【被黑事件档案库】 数据显示:该月发生的安全事件超 42 起,和上月基本持平,造成的损失总金额共计约 2.44 亿美元。
通过对 8 月各类型安全事件的数量和占比分析,骗局跑路类安全事件仍然最为严重,这表明大部分投资者在进行项目投资之前还是未对项目的本质进行辨别从而被骗。值得一提的是跨链通讯协议 Nomad 在本月遭到有史以来最混乱的一次黑客攻击导致近 1.9 亿美元损失。
本月安全事件趋势相比上月未出现明显变化,安全事件仍频频发生。千里之堤毁于蚁穴,这需要大家和项目方时刻都做好安全准备,避免造成个人损失。
以下是知道创宇区块链安全实验室对八月各类型安全资讯的总结,并就其暴露出的问题进行探讨。
DeFi 安全类型事件
8 月 2 日,知道创宇区块链安全实验室检测到,跨链通讯协议 Nomad 遭到攻击,导致近 1.9 亿美元的加密货币被移除。
8 月 2 日,收益聚合器 Reaper Farm 遭到攻击,攻击者已转移 160 万 DAI 和 62 枚 ETH 至 Tornado.Cash。
8 月 5 日,EtnProduct 项目遭到闪电贷攻击,攻击者总共获利约 3074 美元和一个价值 7380 美元的 NFT。
8 月 5 日,ANCHStakePool 项目遭到价格操纵攻击,攻击者共获利 106931 USDT。
8 月 8 日,BSC 上的 EGD Finance 项目遭到黑客攻击,导致代币价格被闪电贷操控从而获利。黑客共获利约 36000 BUSD。
8 月 14 日,Acala 因 iBTC/aUSD 池的漏洞遭到黑客攻击,团队正在通过一项紧急投票,暂停 Acala 上的操作,同时正调查并解决这个问题。
8 月 17 日,Stader.Near 在其官方社交媒体发文表示,黑客利用了 NearX 智能合约中的一个漏洞,造成约 165,000 枚 NEAR(约合 88 万美元)损失。Stader.Near 已暂停其智能合约,用户在此期间无法质押、解除质押或提款。
8 月 22 日,BNB Chain 上 DeFi 借贷协议 Cream Finance 正面临流动性危机,造成此次危机的原因主要是协议允许某用户(0xE94f7a43d3fD2A159952a28B23D3A181564B7baA)在无抵押物的情况下最多借贷 10.7 万枚 BNB。
8 月 24 日,BNB Chain上DeFi 协议 KaoyaSwap 遭到交易函数的错误逻辑引起的攻击,攻击利润在 37294 枚 BUSD 和 271.2 枚 WBNB(约 8 万美元)左右。
8 月 31 日,BNB Chain 上 CUPID 代币合约遭遇闪电贷攻击, CUPID 代币和 VENUS 代币均暴跌,攻击者获利 78622 美元。
骗局安全类型事件
8 月 3 日,加密项目 TiFi Token 发生 Rug Pull,代币 TiFi 价格下跌 20%,共获利约 700 BNB。
8 月 7 日,加密项目 Saxon James Musk 疑似发生 Rug Pull,代币 SJMUSK 下跌逾 68%,0x53a 开头的 EOA 地址不断卖出,已获利约 1355 BNB(约 42 万美元)。
8 月 8 日,Polygon 链游 Dragoma 疑似发生 RugPull,其代币 DMA 从 1.8 美元暴跌至 0.003 美元左右,跌幅超 99%。损失约为 270 万美元。
8 月 10 日,XSTABLE.PROTOCOL 发生 Rug Pull,代币 XST 价格下跌 98.4%,官网 xstable.finance 疑似已被关闭,推特账号则已被删除。
8 月 10 日,DeFi 项目 Blur Finance 疑似发生 Rug Pull,其 Token BLR 价格下跌 99%。此外,该项目的社交媒体账号已删除,并且 Polygon 和 BNB 链上价值 60 万美元资产被转移。
8 月 11 日,与五粮液同名的 NFT 项目 Wuliangye 疑似发生 Rug Pull,目前官网与 Discord 社群已关闭。该项目与名酒品牌五粮液无关,仅为同名。项目方共获利 70.5 枚 ETH。
8 月 12 日,BNBGrowth 代币发生 Rug Pull,合约部署者将代币以 393 BNB(约 12.7 万美元)的价格售出,并发送到外部账户 (EOA)。
8 月 12 日,GameFi 项目 DL World 疑似发生 Rug Pull,GSG 价格下跌超 97%,约 183000 美元的资产被转移。
8 月 12 日,由 0xea16 地址以 400 枚 BNB 资助的诈骗者创建了包括 Bitnity、ACKToken 等约 20 个合约发生 Rug Pull,他们抬高价格后抽空合约资金,3900 枚 BNB 被转移。
8 月 14 日,GEMDAO 发生 Rug Pull,项目方共卷走 322 BNB (约 105,553.49 美元)。
8 月 14 日,BNB Chain 上项目 MMFinance 发生 Rug Pull,MMF 代币下跌超过 93%。
8 月 14 日,巴西加密借贷平台 BlueBenx 禁止其所有 22000 名用户提取资金,称遭遇黑客攻击损失达 3200 万美元。BlueBenx 未提供黑客攻击细节,有投资者质疑黑客攻击或为骗局。
8 月 15 日,Polygon 链上项目 FIO Protocol 发生 Rug Pull,FIO Token 价格下跌 100%。
8 月 15 日,BNB Chain 上 Go Coin 项目疑似发生 Rug Pull,Go 代币下跌 95%,合约部署者将费用设置为最高,并将禁止出售的地址列入黑名单。
8 月 23 日,NFT 交易平台 sudoswap 仿盘 SudoRare 疑似 Rug Pull,被盗 519 枚 ETH(81.5 万美元),目前官方社交账号已注销。
8 月 25 日,BNB Chain 上 RSHIB 项目发生 Rug Pull,RSHIB 代币价格暴跌 92%。合约部署者移除流动性并向外部账户 (EOA) 地址发送约 47 枚 BNB。该项目的推特帐户也已被删除。
8 月 27 日,BNB Chain 上项目 ArcadeEarn 发生 Rug Pull,代币价格下跌超过 59%。部署者将 40000 枚 ArcadeEarn 代币发送至一个外部账户 (EOA),并以约 15300 美元的价格出售。
网络钓鱼安全类型事件
8 月 2 日,Gas Guzzlers 项目 Discord 服务器遭到攻击。请用户不要点击链接、铸造或批准任何交易。
8 月 2 日,Cyber Crew 项目 Discord 服务器遭到攻击。请用户不要点击链接、铸造或批准任何交易。
8 月 2 日,Miningverse 项目 Discord 服务器遭到攻击。请用户不要点击链接、铸造或批准任何交易。
8 月 3 日,NFT 项目 dTweenies 的 Discord 服务器遭到攻击,请用户不要点击链接、铸造或批准任何交易。
8 月 5 日,Doge Capital 项目 Discord 服务器遭到攻击。请用户不要点击链接、铸造或批准任何交易。
8 月 11 日,Mogul Productions 项目的 Discord 服务器遭到攻击,请用户不要点击链接、铸造或批准任何交易。
8 月 15 日,NFT 项目 Pirate Apes 的 Discord 服务器遭到攻击,请用户不要点击链接、铸造或批准任何交易。
8 月 29 日,Floaties 项目 Discord 服务器遭到攻击。请用户不要点击链接、铸造或批准任何交易。
8 月 31 日,推特帐户 @WJahitucker 被黑客劫持,黑客使用其冒充 NFT 交易市场 LooksRare 的帐户,并发布了空投骗局。
其他安全事件类型
8 月 3 日,Solana 钱包 Phantom 疑似遭到黑客攻击,估计损失为 800 万美元。
8 月 3 日,加密交易平台中币的热钱包似乎因私钥泄露而被黑客攻击,黑客共计获利约合 480 万美元。
8 月 4 日,Slope Wallet (Android, Version: 2.2.2) 的 sentry 服务存在私钥泄露。
8 月 10 日,去中心化交易平台 Curve Finance 在社交媒体表示其网站前端被攻击,提醒用户如果在数小时内使用过 Curve 请立即解除授权。此次攻击黑客已窃取价值 570,000 美元的 ETH,并已转移到 FixedFloat。
8 月 18 日,Celer Network 推出的跨链桥 cBridge 遭到 DNS 劫持攻击,重定向用户操作与恶意合约进行交互从而盗取用户资产。目前该攻击者,已经将攻击获取的加密资产对换成 127 ETH,并且已转入 Tornado Cash。
8 月 21 日,黑客利用 General Bytes 旗下比特币 ATM 服务器中的零日漏洞 (zero-day vulnerability) 从客户那里窃取加密货币。当用户通过ATM存款或购买加密货币时,资金反而会被黑客窃取。
总结
从 DeFi 安全形势来看,本月安全事件中闪电贷攻击和逻辑漏洞最为频繁,其他安全事件攻击类型形式也变得更加多样化。纵观今年的 DeFi 形式,跨链项目越来越受到黑客的青睐,同时每次跨链安全事件所造成的损失也是极为严重,所以我们需要深思如何安全的利用跨链。知道创宇区块链安全实验室在此提醒大家,合约安全对于安全来说有必要进行常规审计和复合审计,以此来保障合约免受其他攻击影响,同时也要高度重视授权问题,对于授权要有明确的时间限制。
从网络钓鱼以及骗局跑路来看,这两种类型的安全事件之所以一直很多,一方面是攻击手法简单容易操作,另一方面是所涉及的用户几乎没有技术背景因此更加容易被骗。希望用户在进行投资和项目考察的过程中也要多学习区块链相关知识,尽可能减少自己的潜在损失;当然用户也可以借助一些工具来减少被钓鱼的风险,比如 FishAlert (https://fishalert.knownseclab.com)插件,遇到陌生的域名,先问一问「它」,就可以极大减少风险。