链资讯 链资讯
Ctrl+D收藏链资讯

SCOR:创宇区块链10月安全月报-ODAILY_DAO

作者:

时间:

1.前言

随着行情逐渐的好转,十月各类攻击事件也突增并且涉及金额相当巨大,令人瞠目结舌。据知道创宇区块链安全实验室数据显示:该月发生的安全事件超53起,总损失高达超8.5亿美元。其中DeFi安全事件飞速增加,最具代表性的当属BNBChain跨链桥TokenHub系统合约遭到黑客攻击事件,损失高达5.6亿美元。

2.数据分析

1、占比分析:

通过对本月各类型安全事件的数量和占比分析,可以发现几乎一半攻击都来自DeFi攻击,而网络钓鱼也仍然是高事件攻击类型。

2、对比数据分析:

通过对比发现,本月DeFi安全以及跑路局事件翻倍增加,而其他安全事件也处于小幅度增长或持平状态。

3、2022年月安全趋势:

JustLend正式上线USDD存款挖矿:据官方最新消息,JustLend已正式上线USDD存款挖矿。

JustLend是波场TRON网络首个官方借贷平台,用于建立基于波场TRON资产的供求变化,以算法计算得出利率的资金池。USDD(Decentralized USD)是波场联合储备与区块链主流机构发起的去中心化算法稳定币。USDD运行在波场网络上,并通过BTTC跨链协议接入以太坊与币安链,将接入更多区块链。USDD借助TRX实现与美元(USD)挂钩并保持其价格稳定,以确保用户能够使用一个稳定的、 去中心化的、保障金融自由的数字美元体系。[2022/5/12 3:11:23]

本月,安全事件数量总体明显上升,对比上月安全事件数量上升超一倍,可见行情逐渐的回暖同时也带来了极大的安全威胁。

3.DeFi安全类型事件

10月2日,跨链DEX聚合器TransitSwap遭到攻击,截至目前,损失估计已超过2800万美元。此次攻击,主要是针对那些已经批准TransitSwap&CrossApproveProxy合约的地址。

10月7日,BNBChain跨链桥TokenHub系统合约遭到黑客攻击,被分两次提取200万枚BNB,约合5.6亿美元。

10月9日,XaveFinance项目遭到黑客攻击,导致RNBW增发了1000倍。

JustSwap总流动性突破新高,达到5.1亿美金:据最新数据显示,JustSwap总流动性突破新高,达到5.1亿美金,24小时成交额达到41,175,121美金,同比增长123.49%。目前JustSwap中最受欢迎的资产交易对前三名为:USDJ-TRX、USDT-TRX、JST-TRX,其中第一名USDJ-TRX资产流动性已达到150,784,663美元。

据悉,JustSwap是TRON上的第一个通证交换协议,用户可以在任意TRC20 Token 间相互兑换。系统定价,交易方便,而且协议不会抽取手续费,所有的手续费都提供给协议的流动性提供者。[2021/2/19 17:30:25]

10月11日,QANplatform桥智能合约遭到攻击,攻击者在以太坊上获利资产约960,000美元,在BNBChain上获利资产约1,140,000美元。

10月11日,DeFi协议TempleDAO疑似遭到攻击,损失约234万美元。

10月11日,Rabby项目遭到黑客攻击,涉及金额约20万美元。

10月12日,基于Solana的去中心化金融平台Mango遭到潜在1亿美元的攻击。

10月12日,ATK项目遭受闪电贷攻击,攻击者获利12万美元。

10月14日,MEV机器人(0x00000.....be0d72)被利用,损失约为187.75WETH。

JustLend 上线45分钟总存款规模突破3000万美元:据官方最新消息,波场TRON网络上的首个官方借贷项目JustLend已于今晚八点半正式上线,JustLend 上线45分钟总存款规模突破3000万美元,截至目前,存款规模Top前三的币种分别为TRX、USDT、BTC。

据悉,JustLend致力于打造完美的去中心化借贷协议,将成为波场上的首个官方的“去中心化算法银行“。JustLend是波场TRON网络首个官方借贷平台,用于建立基于波场TRON资产的供求变化,以算法计算得出利率的资金池。协议中存在两种角色,包括资产的存款方和借款人,并且资产的存款方和借款人可以直接与协议进行交互,从而赚取或支付浮动利率。JustLend首批将会支持TRX、USDT、USDJ、SUN、WIN、BTC、JST、WBTT共计8大币种的抵押借贷。[2020/12/7 14:30:30]

10月17日,MTDAO项目方的未开源合约遭受闪电贷攻击,损失近50万美元。

10月18日,BitKeepSwap遭到黑客攻击,开发团队已进行紧急处理,黑客的攻击行为已被阻止,攻击集中于BNBChain,造成约100万美元的损失。

10月18日,PLTD项目遭到黑客攻击,其交易池中的所有BUSD被全部兑空,攻击者共获利24,497枚BUSD。

Acala社区新提案拟将12.88亿不当获得的aUSD进行销毁:8月15日消息,Acala社区今日发起公投新提案,拟将12.88亿不当获得的aUSD进行销毁。据称,为帮助解决铸币错误、恢复aUSD挂钩并恢复Acala运营,该提案希望针对以下问题进行全民投票:

1.错误铸造的1,288,561,129aUSD留在这16个账户上的aUSD被退回到honzon协议以被有效销毁;

2.iBTC/aUSD奖励池中剩余的4,299,119个错误铸造的aUSD将返回到honzon协议进行有效销毁。

由于情况紧急,一旦提案得到验证,提案人要求快速跟踪,以便尽快解决错误。[2022/8/15 12:26:43]

10月19日,Celo上的Moola协议遭受攻击,黑客获利约900万美元。

10月20日,代币GEO合约被攻击,请勿在BNBChain上购买GEO。

10月20日,一项名为「以太坊闹钟」(EthereumAlarmClock)的服务因智能合约漏洞而被利用,目前黑客已经获取了204个ETH,价值约259800美元。

10月20日,推特用户披露BitBTC和Optimism之间的跨链桥存在「虚假铸币」漏洞,现已修复。

10月21日,OlympusDAO因代码漏洞导致约29.2万美元损失。

CremaFinance:找到了黑客在黑客事件中使用的可疑discord账户:金色财经报道,CremaFinance在社交媒体上称,根据合作伙伴提供的线索,我们找到了黑客在黑客事件中使用的可疑discord账户。我们正在与有关方面接触,以获得更多可能有助于侦查的信息。

金色财经此前报道,CremaFinance被黑客攻击损失约880万美元。[2022/7/4 1:50:09]

10月23日,Optimism生态投资项目Layer2DAO遭遇黑客攻击,黑客通过获取了Layer2DAO的多重签名权限盗走约4995万枚L2DAOToken并将部分抛售。损失约为32万美元。

10月24日,QuickSwap因闪电贷攻击损失22万美元,将暂时关闭借贷市场。

10月25日,ULME代币项目遭黑客攻击,损失50646BUSD。

10月25日,MelodySGS项目的AssetsDepositUpgrade合约疑似遭受黑客攻击,攻击共造成2225枚BNB损失。损失约为64万美元。

10月27日,多链钱包UvToken遭遇攻击,UVT代币价格下跌99%,攻击者已将盗取的约5011枚BNB转入TornadoCash。

10月27日,TeamFinance团队表示,该协议管理资金在由Uniswapv2迁移至v3的过程中遭到黑客攻击,已确定的损失为1450万美元。

10月27日,TrustSwap项目遭受黑客攻击,影响金额至少约779万美元。

10月27日,项目VictortheFortune遭闪电贷攻击,攻击者已获利约5.8万美元。

10月28日,FriesDAO因Profanity漏洞遭到攻击,损失约230万美元。

4.局安全类型事件

10月2日,BTU(BTU)项目出现88%以上的跌幅,已确认该项目为RugPull项目。

10月6日,Easier(EAI)出现66%以上的跌幅,已确认该项目为RugPull项目。

10月7日,山寨项目GMX(GMX)出现88%以上的跌幅,已确认该项目为RugPull项目。

10月9日,Jumpnfinance项目发生Rugpull,目前被盗资金中2100BNB已转入Tornado.Cash,剩余部分2,058BNB还存放在攻击者地址。

10月16日,SHOK项目价格跌幅超过83%,已被确认为RugPull,该局已获利约7.14万美元。

10月20日,MangoINU项目已确认是RugPull,币价跌幅超过80%,该局已获利约4.85万美元。

10月20日,DD项目价格跌幅超过87%,已被确认为RugPull,该局已获利约10.9万美元。

10月24日,Freeway项目方删除了官方名单并且实施了RugPull,涉及金额或超1亿美元。

10月24日,Mango攻击者通过部署RugPull项目MangoInu获利10万美元。

10月28日,一伪装成Aptos官方的空投局已获利114.8枚ETH,切勿点击钓鱼网站airdrop.aptlabs.fi。

5.网络钓鱼安全类型事件

10月9日,英国知名女子组合辣妹合唱团(SpiceGirls)成员MelB已向当地报警,称其Whatsapp遭加密黑客攻击,黑客向MelB的社交网络好友发布了一个慈善比特币捐款项目请求,她的家人和名人朋友收到了大量虚假加密货币捐赠请求。

10月8日,Flaskies项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

10月9日,价值超过70万美元的七只「无聊猿」BAYC已经被盗,分别是BAYC4317、755、6567、8761、2951、9611、8274。受害者被诱批准了一个恶意合约,导致钱包内BAYC被盗。

10月15日,WhisbeVandalz项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

10月16日,ProjectKaito项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

10月18日,XANA项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

10月22日,Gate官方推特账号疑似被黑,并发送钓鱼信息,请用户注意资产安全。

10月22日,Vivity项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

10月22日,ProjectShojira项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

10月25日,FTX和3CommasAPI密钥相关钓鱼事件的攻击者还攻击了BinanceUS和Bittrex交易所,分别盗取了1053枚ETH和301枚ETH。

10月26日,NFT项目primordials的Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

10月28日,NFT项目OxyaOrigin的Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

6.其他安全事件类型

10月11日,paraswap部署者私钥疑似泄露,资金在多个链上被盗。

10月11日,TokenPocket官网遭受异常流量攻击,技术团队正在进行紧急维护。

10月17日,日本多家交易所遭到LazarusGroup发起的网络攻击,据信该集团由朝鲜政府直接控制。

10月25日,Web3娱乐社交应用Melody代币地址被黑客盗用,团队暂时关闭提现功能。

10月26日,SpookieFinance前端疑似遭到攻击,GHOST币价几乎归零。

7.总结

从DeFi的角度看所涉及的安全事件中,除最常见的闪电贷攻击外,跨链桥攻击也愈发频繁。这里再次提醒大家合约审计的重要性:在相当多的攻击事件中,逻辑问题基本上是影响最为严重的,所以开发人员在开发时,需要对合约功能逻辑进行严谨开发。同时对合约安全有必要做到常规审计和复合审计,保障合约免受其他攻击影响,同时高度重视闪电贷和跨链桥合约。

从网络钓鱼以及局跑路角度来看,跑路局相比于上月大量增加,这警示着投资者需要对项目及项目方各个方面都进行全面考察,谨慎对待没一个项目,防止无良项目方钱跑路;网络钓鱼相比于上月基本持平,增加幅度不大,但事件数量却丝毫不减,可以看出攻击者仍然认为网络钓鱼更容易到用户从而获利,而普通投资者也确实在这方面容易掉以轻心,知道创宇区块链安全实验室提醒大家不要点击、铸造或授权任何不明交易,交互过程中注意钱包或者浏览器提示信息,涉及Approve授权操作应格外注意。

标签:SCORBCHAINDAOSTLSCOR价格lbchainRaDAOSTL价格

比特币最新价格热门资讯
END:对话BendDAO:遭遇流动性危机,社区是我们的中坚力量-ODAILY_Crypto Mafia

主持人:BlairZhu,MintVentures品牌总监嘉宾:Splinter,HeadofDevelopmentofBendDAO采访时间:2022年11月1日采访英文原地址:WEB3Fou.

APE:2022波场黑客松大赛第三季项目评审即将开启,超200个项目进入最终角逐-ODAILY_AUNIT

2022波场黑客松大赛第三季所有参赛项目均已完成提交,参赛项目分布各个赛道。其中,Web3和NFT赛道最为火热,分别吸引63、50个项目.

UST:JustLend DAO借贷市场存款APY项目一览-ODAILY_END

最新数据显示,截至12月6日,JustLendDAO借贷市场中存款APY最高的是BTT,达到18.93%,其次是JST和WIN,分别达到16.75%、13.70%.

DID:DID火热下的冷思考:信息孤岛、场景单一,如何破局?-ODAILY_REDMAR

2021年11月,加密独角兽AmberGroup发表研报“去中心化身份DID:Web3通行证”,系统介绍DID概念及生态系统.

Huobi:部分报道严重失实,火必Huobi公开信列举8大重点直面争议-ODAILY_Huobi FIL

近日,知名交易所火必Huobi裁员计划就被炒的沸沸扬扬,谣言满天飞。为此,波场TRON创始人、火必Huobi全球顾问委员会成员孙宇晨回应表示,相关报道中关于火必Huobi人员优化的内容多为未经证.

RON:Messari发布TRON第三季度调研报告:网络活跃度达到全新水平,TVL环比增长61%-ODAILY_StrongHands

据最新消息,顶级加密数据研究机构Messari于日前发布了波场TRON第三季度调研报告。报告指出,在5月推出USDD后,波场网络的活跃度达到了全新水平,质押规模也急剧增加,TVL在第三季度环比增.