EST:CertiK 8月报：31起重大攻击事件，最高一次蒸发近2亿美元-ODAILY_Nestree

Web3.0世界本年度发生了共计377次黑客攻击，到目前为止因漏洞风险及局所造成的资产损失已达到了约2,338,681,983美元。

8月份出现的重大攻击事件共31起，与7月相比，退出局、闪电贷攻击、Discord和NFT事件均有所减少。

8月闪电贷攻击造成了约74.5万美元的资产损失，与7月相比下降了95%，成为了继今年2月份之后，本年度闪电贷安全方面表现最佳的月份。

8月的RugPull事件及其余退出局也比上月降低了25.9%，总计损失约为1,004万美元。Discord和NFT事件报告了86起，相比7月下降了30%。

Espresso Sequencer测试网版本Doppio已发布，未来数月将向外部节点开放:7月20日消息，区块链基础设施公司Espresso Systems在Polygon zkEVM分叉版本上发布了Espresso Sequencer的测试网版本Doppio。该测试网已经在该公司内部运行，并将在未来几个月内向外部节点开放。

另外，该团队还计划利用ETH质押来确保与以太坊Layer1的经济一致性，目前正在与Eigenlayer合作。

在Polygon zkVM上启动测试网之后，Espresso联合创始人Jill Gunter指出，Espresso还在与Caldera合作，以在Espresso Sequencer和OP堆栈之间建立集成。此外，Espresso已经与Spire、Injective和Catalyst AMM达成合作，以支持这些项目优先与Espresso的Sequencer集成。[2023/7/20 11:06:37]

退出局

Larry Cermak：编写开源代码的能力和拥有隐私的普通用户是加密货币中最重要的原则之一:金色财经报道，The Block研究副总裁Larry Cermak在社交媒体上称，我认为现在要问的一个有趣的问题是，为什么只有 Tornado Cash 受到影响，而其他隐私项目（如 CoinJoin、Monero 甚至 Zcash）仍然可以，是因为最近使用了 Tornado，还是有其他一些因素在这里起作用？只是奇怪，无论如何，编写开源代码的能力和拥有隐私的普通用户是加密货币中最重要的原则之一。我们需要尽我们所能保护那些将他们的安全置于危险之中的开发者。[2022/8/13 12:23:23]

8月共发生了33起退出局事件，尽管相比7月降低了25.9%，但损失资产仍高达1,004万美元。其中被认定为大规模恶劣局的事件有19起，相比上月增长了5%。

Larry Cermak：币安领投了Terra 2019年种子轮融资和2021年的融资:5月15日消息，The Block研究副总裁Larry Cermak在推特上表示，很容易理解为什么CZ（赵长鹏）一连发布了多条关于LUNA的推文。币安领投了Terra 2019年的种子轮融资和2021年的融资。在大概6个月前结束的上一轮融资中，他们以4年vest和1年cliff（最短生效期）投资了3亿美元（与Jump Crypto相同）。

此前消息，Luna Foundation Guard（LFG）宣布完成10亿美元融资，本轮融资通过场外销售LUNA代币完成，由Jump Crypto和三箭资本领投，Republic Capital、GSR、Tribe Capital、DeFiance Capital等参投。[2022/5/15 3:17:13]

Web3孵化器DAOsquare提前关闭RICE在Balancer上的LBP:Web3孵化器DAOsquare（RICE）发布公告称，由于市场环境影响导致交易量未达预期，官方提前关闭了其代币RICE在Balancer上的LBP。[2021/5/24 22:37:16]

其中规模最大的退出局为DayofRights/AMO代币，与该项目有关的钱包抛售了大量代币，欺诈者获取了约200万美元的收益。

在探讨退出局事件的数据时，我们不得不提到7月的RaccoonNetwork跑路事件。该事件导致了2,520万美元的损失，成为了今年规模最大的退出局，并且在近一年黑客攻击导致的损失资产金额排行榜上位列第三。

Balancer前端短时屏蔽YFII流动性挖矿页面，团队已道歉:据YFII社群表示，Balancer前端代码曾短时屏蔽YFII的流动性挖矿页面，代码显示将其定义为「ScamPool（欺诈资金池）」。据了解，该情况不影响资金安全，但充提过程会变得十分繁琐。且屏蔽YFII流动性挖矿页面后，意味着新用户的进入将会变得十分困难。不过截止发稿时，Balancer官方已道歉并重新开发页面。

据社群透露，YFII为中国团队开发项目。由DeFi协议yearn.finance分叉而来，其分叉原因是由yearn.finance社区治理YIP-8提出了增发提案，对每个矿池的每周增发量进行减半。但YIP-8提案因最终参与投票数量不足未获得通过，因此对该提案赞成的社区成员发起了硬分叉，并创建了与YFI基本相同的新项目名为YFII。

Balancer前后端开发主管Timur Badretdinov表示是自己的操作失误导致了YFII池子出现被屏蔽问题，目前已重新开放了YFII的流动性挖矿页面，他对此带来的影响表示抱歉。（BlockBeats）[2020/7/29]

RaccoonNetwork事件直接导致7月的退出局数据不太具备参考性，因此我们在统计时减去了该事件造成的损失——减去2,520万美元后，7月损失约为1,353万美元。

如果再不考虑FreedomProtocol退出局的影响，7月和8月之间的数据差异就不大了。

除以上提到的事件外，本月发生的许多小规模案例并未统计在内，这些高发生率的活动可能与OFAC对TornadoCash的制裁有关。

闪电贷攻击

8月闪电贷攻击的表现令人看到了Web3.0世界在安全方面的良好趋势：自今年2月起，8月份闪电贷攻击导致的损失金额创下了新低——7次的攻击事件共导致了约74.5万美元的损失，与7月相比下降了95%。

其中规模最大的闪电贷攻击是XStable事件，攻击者操纵价格获利约36.7万美元。

闪电贷攻击仍是Web3.0世界安全领域的一个主要痛点，目前的良好趋势或许反映了未来的前景较为乐观。

根据目前的数据，CertiK预测2022年整年，闪电贷攻击所造成损失将达到511,601,181美元，这个数字比上次的预计下降了8万美元以上。

重大攻击事件

8月共发生31起重大攻击事件——这一数字与7月相同。平均每次攻击损失约701万美元，相比于7月的平均损失212万美元有了显著增长。与6月的漏洞相比，8月重大攻击事件的总损失金额占比也更高了。

而在8-13日的短短一周内，就发生了12起攻击事件，其中3起是本月损失金额最为庞大的事件，位于攻击规模和损失金额排行榜首位的是NomadBridge攻击：

NomadBridge攻击事件：NomadBridge遭受攻击导致了价值约1.9亿美元的损失。到目前为止，白帽黑客已追回其中3270万美元。该事件是今年第三大攻击事件，仅次于3月的RoninBridge和2月的WormholeBridge攻击事件。该事件发生的原因在于合约中“committedRoot”被错误地初始化为0，攻击者可以绕过消息验证过程，从桥合约中提取代币。

Solana攻击事件：北京时间8月3日早7时左右，Solana生态遭到了重大黑客攻击，损失约为800万美元。Solana钱包的供应商SlopeFinance被确定为该事件的攻击者。经过开发人员调查，Slopes的移动钱包应用程序创建、导入或曾经使用过此次事件被影响的超过8,000个独特钱包地址。

ZB交易所事件：ZB交易所热钱包中的一个私人密钥被泄露，导致了约480万美元的损失。ZB交易所已于8月2日通知他们的社群：由于“突发故障”，将暂停存款和提款活动。原因是“核心应用程序突然失效”。

Discord及NFT

本月Discord攻击及网络钓鱼攻击事件的数量略有减少——7月共发生123起，8月下降至86起。

CertiK调查了其中96起事件中26个与服务器上钓鱼网站相连的钱包，发现共112个NFT被盗，这个数字在近4个月内的连续下降意味着NFT社区对局的抵抗力越来越高。

相比之下，其它社交媒体如推特、网站中发生的网络钓鱼攻击影响则要大得多——在CertiK调查的7起网络钓鱼事件中，有80个NFT被盗。

8月规模最大的网络钓鱼事件是NFT项目WeAllSurvivedDeath的山寨推特获利了155个NFT，这些NFT在事件发生时的总底价价值约为11.7ETH，随后4个BAYC和一个Otherdeed被盗，底价为289.7ETH。

写在最后

8月的这些安全事件充分表明了用户及项目保持警惕的重要性。CertiK安全团队专家认为，无论一个项目认为自己有多安全，都需要时刻保持对黑客攻击的警惕，因为在项目提升安全标准的同时，黑客们也一直在寻找漏洞。

CertiK的端到端安全解决方案，从智能合约审计和KYC项目背景调查服务，到Skynet天网动态扫描系统和SkyTrace等区块链分析工具，以及漏洞赏金计划，在助力每一个项目充分发挥潜力的同时为Web3.0打造用户和投资者高参与的生态系统。

标签：ESTSTRNestreeNESTSAFEST币Fitness InstructorNEST币

SOL热门资讯