前言
五月以来,币价虽然在不断下滑然而发生的安全事件的数量却在显著攀升,据知道创宇区块链安全实验室数据显示:该月发生的安全事件超37起,其中跑路局和网络钓鱼事件频发,而Terra生态的原生算法稳定币UST因资本围猎和债务危机,出现UST严重脱锚事件,导致Luna暴跌,损失高达410亿美元。本月安全事件除Luna外涉及到的安全事件总金额共计约3000万美元。
以下是知道创宇区块链安全实验室对五月各类型安全资讯的总结,并就其暴露出的问题进行探讨。
DeFi安全类型事件
5月5日,Cronos生态DEXMM.Finance遭到前端攻击,黑客利用DNS漏洞从用户那里窃取超过200万美元的CROToken。被盗资金已转入TornadoCash。
5月14日,BNBChain上借贷协议Venus发布LUNA预言机事件补充公告称,UTC时间5月12日09:20左右,Chainlink对LUNA的价格反馈达到价格下限,并被其以0.107美元的价格暂停,而Venus的LUNA市场继续运行,但现货价格继续下跌,4小时后现货价格约为0.01美元时团队发现问题并暂停协议,资金损失缺口约1420万美元。
《新时代的中国网络法治建设》白皮书:积极推行区块链等现代科技在诉讼服务等领域的深度应用:3月16日消息,国务院新闻办公室16日发布的《新时代的中国网络法治建设》白皮书指出,中国积极探索司法活动与网络技术深度融合的新路径、新领域、新模式,让社会正义“提速”。
白皮书指出,中国积极推行大数据、云计算、人工智能、区块链等现代科技在诉讼服务、审判执行、司法管理等领域的深度应用,先行先试构建中国特色的网络司法模式。鼓励各地法院因地制宜,结合当地互联网产业发展情况和网络纠纷特点,探索具有地域特色的新型互联网审判机制。[2023/3/16 13:08:29]
5月16日,BNBChain上项目FeministMetaverse(FM_Token)遭到攻击。攻击者获利1838BNB,约54万美元,之后攻击者将BNB转入tornado.cash。
5月16日,多链DeFi协议FEG遭到攻击,共损失144枚以太坊和3280枚BNB,约130万美元。
5月17日,多链DeFi协议FEG再次受到攻击,损失约190万美元。
5月21日,bDollar项目遭到价格操控攻击,攻击者获利2381WBNB。
中国网安发布区块链服务基础设施BSI:近日,在“2020成都全球创新创业交易会——首届国际区块链产业博览会”的“区块链技术发展峰会”上,中国网安发布了区块链技术成果——区块链服务基础设施BSI。据悉,“区块链服务基础设施(Blockchain Service Infrastructure,BSI)是中国网安集合区块链、密码、安全等多领域核心技术打造的大型联盟链基础设施平台产品。通过BSI平台提供的一键式部署功能,快速构建区块链应用,消除区块链技术在应用中的技术障碍和高成本压力。同时,BSI还为区块链服务节点提供了区块链节点运维平台,实时展示节点资源的使用情况和运行状态,为节点的运维管理人员提供便捷的运维管理服务。(中国国防科技信息中心)[2020/11/6 11:49:40]
5月24日,hackerDao项目遭到价格操控攻击,攻击者实施了两次攻击,总计获利约200BNB,已经转至Tornado.cash。
5月25日,以太坊上MVEbot疑似遭到攻击,损失8.18个ETH,约15971.72美元。
5月29日,在Terra新链启动后,LUNC的预言机价格达到5美元,而实际价格远低于5美元,Anchor平台一名用户注意到该漏洞,存入大约2000万个LidoBondedLunaToken,并成功借出4000万UST,最终提取并获利约80万美元。
中国网安安红章:应推动区块链基础设施建设:中国网安区块链研发中心总经理安红章表示,诊断收益和数据收益的分摊、医疗事故责任和数据泄露责任的界定,是远程医疗的堵点,这些障碍的本质是各医疗机构之间相互不信任,而区块链就是用于解决信任问题。由于缺乏跨地域数据共享、技术协同平台,不同省市的区块链技术标准不同,多方实体的数据协调难度大,目前还未能实现全国范围的“健康码”链上数据互通。安红章说,区块链本应成为解决省际流动人员健康数据互信问题的关键技术,因此应推动区块链的基础设施建设。(经济参考报)[2020/4/30]
5月30日,DeFi项目Novo疑似遭遇攻击,黑客已将280枚BNB转移至Tornado.cash。
局安全类型事件
5月11日,Diaos项目发生RugPull,Diaos价格暴跌,合约所有者利用mint()函数向铸造了100万枚Diaos代币并发送到了另一个账户,随后向其他地址分发代币并通过PancakeSwap出售。
5月16日,TOM项目发生RugPulls,代币下跌了99.94%。目前已经有1200BNB转入了TornadoCash。
数据:平台币在交易所总储备金中占比排前三的是 Huobi、Bitfinex、Crypto.com:金色财经报道,据知识图谱协议 0xScope 数据,平台币在交易所总储备金中占比比例位居前三的交易所分别为 HuobiGlobal 、Bitfinex、Crypto.com 。
具体来说,从总储备金证明中来看,火币平台币 HT 占总投资组合的比例高达 32.31%, BTC 占13.84%, ETH占4.5%(仅计算原生币);Bitfinex 平台币 LEO 占总投资组合的 28.39%,而BTC占 34.76%, ETH 占 33.4%(仅计算原生币);Crypto.com 平台币 CRO 占总投资组合的 14.33%,而BTC占 22.59%, ETH 占 9.59%(仅计算原生币)。[2022/11/25 20:45:35]
5月17日,BSC链上项目TokenALG发生RugPull,价格下跌99.95%,约581.5BNB被转入TornadoCash。
5月18日,JJHDAO项目发生RugPull。其项目代币JJH价格跌副超过94%。
5月24日,KCT代币发生RugPull,代币价格下跌100%,超607枚BNB转入Tornado.Cash。
Aave:大部分CRV抵押头寸已被清算,剩余264万枚CRV债务:11月23日消息,DeFi协议Aave在推特上表示:“我们想要解决今天发生在Aave协议CRV池中的清算周期问题。清算是成功的(和设计的一样),但不幸的是,头寸的规模在协议中留下了一些多余的债务。上周积累的大量CRV借款大部分已通过协议清算流程清算。但是,该头寸并未完全覆盖,仍有264万CRV(按当前价值计算约为160万美元)。这代表小于0.1%的协议借款。构建Aave生态系统时使用了许多机制,Aave社区可以部署这些机制来应对这类事件,包括安全模块、生态系统储备和DAO库。在未来几天,我们相信Aave社区及其贡献者将针对这一事件发起讨论。社区贡献者@monetsupply还在治理论坛上开启了关于审查Aave V2市场长期资产风险的讨论。”
此前昨日晚间消息,一巨鲸从Aave V2抵押了6360万美元,借入了9200万枚CRV,并转入交易所试图做空CRV。做空Curve的巨鲸在Aave V2上的借贷开始被清算。[2022/11/23 7:59:21]
5月25日,BNBChian上项目DecentraWorld发生RugPull,代币DEWO下跌97%,DecentraWorld社交账户已注销,约3200枚BNB从DecentraWorld合约部署器中被提取。
5月25日,BNBChian上项目Starship发生RugPull,其代币价格几乎归零,约715枚BNB转入TornadoCash。
5月27日,BNBChian上链游项目Pokemoney发生RugPull,导致代币PMY价格下跌99.98%,者共提取了1.18万枚BNB。
5月27日,BNBChain上生态MovetoEarn应用Sport为局,SPORTToken跌幅逾94%。
网络钓鱼安全类型事件
5月9日,有数十个YouTube频道通过剪辑马斯克和杰克多尔西和ArkInvest的旧视频进行,者在这些视频中加入其虚假加密信息,包括指向欺诈性加密赠品网站的链接,有数百万美元被盗。
5月18日,美国演员SethGreen遭遇钓鱼攻击,致4个NFT被盗,钓鱼者地址已将NFT全部售出,获利近160枚ETH。
5月18日,CyberConnect、Moonbirds、PROOF、Memeland、RTFKT官方Discord均遭遇黑客攻击,并在Discord中放出钓鱼链接。
5月20日,FlareCommunity在推特上提醒用户警惕FLR预售相关网络钓鱼。目前已发现96个FlareNetwork的冒名虚假网站以Discord用户为目标,发布FlareNetwork进行FLR预售的虚假信息及钓鱼链接。
5月22日,数字艺术家Beeple的推特账号遭到黑客攻击,并被攻击者用于推广网络钓鱼局,Beeple推特账号发布的推文中包含路易威登NFT合作抽奖的虚假钓鱼链接。子还使用该账号发布其他虚假NFT系列的钓鱼链接。
5月23日,NFT项目APIENS的Discord遭遇攻击,130枚NFT已被转移,包括24枚Apiens及1枚ENS。
5月23日,NFT项目TheFracture的Discord遭遇攻击,攻击者已获利455枚SOL。
5月25日,推特用户@CirrusNFT的推文显示,29个MoonbirdsNFT在一次黑客攻击中被盗,损失金额达150万美元。
5月25日,NFT稀有度排名工具TraitSniper的Discord遭到黑客攻击,59枚NFT已被转移到0x3E8Da开头的地址,其中包括3枚Otherdeed、1枚CloneX、2枚RTFKT-MNLTH、1枚adidasoriginals等NFT。
5月26日,知道创宇区块链安全实验室监测显示,goblintown-claimswtf是一个钓鱼网站。该网站引诱用户连接钱包以盗取NFT,并且这个钓鱼网站看起来与官方网站几乎完全相同。
5月27日,知道创宇区块链安全实验室监测显示,zed-run.info是一个网络钓鱼站点,它可能会窃取用户的私钥。
5月27日,知道创宇区块链安全实验室监测显示,gunslingersnftorg是一个钓鱼网站链接,GunslingersNFTDiscord可能遭到了攻击。
公链安全事件类型
5月10日,Terra生态的原生算法稳定币UST因资本围猎和债务危机,出现UST严重脱锚事件,导致Luna价格暴跌,损失高达400亿美元。
其他安全事件类型
5月24日,以太坊二层扩容网络Optimism公布空投最新进展,表示将移除17101个女巫攻击者地址的空投资格。上述地址的超1400万枚OPToken原定空投,将按比例重新分配给在Airdrop#1中其余有资格的用户。
5月26日,知道创宇区块链安全实验室检测到者将WrappedLUNA2.0发送到TerraDeployer地址,并空投至VitalikButerin等相关地址,企图伪装成官方TerraDeployer空投。
5月29日,跨链桥HopProtocol在Discord中表示,由于提交地址表单的漏洞,去中心化应用平台Authereum的用户需在6月2日前重新提交空投领取地址的表单,如果错过,也可以在Token上线后的6个月内通过治理提案申领Token。
5月30日,MetaMaskDAO为蜜罐局,MetaMaskDAO合约地址发行了大量代币,并将它们发送到加密影响者和加密交易所的地址,如V神(VitalikButerin)、NBA著名球星StephenCurry、币安及Bithumb交易所。
5月30日,Moonbirds发布安全公告称Nesting合约存在安全问题。该安全问题出现在OpenSea或者LooksRare等NFT交易平台,当用户在平台进行挂单售卖时,卖家不能仅通过执行nesting函数禁止NFT的售卖,而是需要下架交易平台中相关的NFT售卖订单,因为不这样做的话,在某个特定场景下买家将会绕过Moonbirds在nesting时不能交易的限制。
总结
从Defi安全形势来看,本月安全事件中,闪电贷攻击和预?机操控成为常客,越来越多的攻击手法呈现普遍化,技术上趋向于成熟。同时出现了多例非预期事件如Venus的ChinaLink预言机事故,Terra生态也因各方原因导致崩盘。知道创宇区块链安全实验室在此提醒,对合约安全有必要做到常规审计和复合审计,保障合约免受其他攻击影响,同时高度重视授权问题,对于授权要有明确的时间限制。
从网络钓鱼以及局跑路频发来看,区块链用户极容易被,对此用户需要学习区块链基础并提高自身安全意识,在理解区块链基础上辨别项目真伪,对于陌生链接以及不合理请求不要乱点,名人相关的视频或图片也要进行相关求证,只有这样做才能保障自身财产安全。
更专注一级市场、公募、二级市场潜力币推荐,项目孵化的探究、暴涨山寨币,优质币种的挑选和做到更专业.
原文来源:推特@EllaineXu给这两天沸沸扬扬OP开个话题。我发现市场上大家都在说对OP估值,但是估值之前要想清楚OP整个的底层逻辑,比如OP代币的价值到底是什么,这种价值怎么体现,多少能p.
昨日比特币以太坊纷纷迎来大幅下挫,盘中大别跌回30000整数关口下方,以太也是最低跌至了1760一线,大涨之后又大跌,这个反弹似乎已经失效,但是还得经过市场的进一步检验才能确信.
6月1日消息,5月31日,由中国外文局下属中国互联网新闻中心和当代中国与世界研究院共同发起的“元宇宙国际传播实验室”宣布成立.
自从Chainlink可验证随机函数去年在Polygon发布以来,已经成为了智能合约随机数生成解决方案的行业标准.
近日,5000张赛场「座椅」,居然被法国网球公开赛做成了名为「RGGame,Seat&Match」的NFT项目,项目一共5000个NFT,每个售价200欧元,总计100万欧元.