概览
据慢雾区块链被黑档案库(https://hacked.slowmist.io) 统计,2023 年 8 月 14 日至 8 月 20 日,共发生安全事件 10 起,总损失约 1996.3 万美元。
具体事件
2023 年 8 月 14 日,以太坊上 Zunami Protocol 协议遭遇价格操纵攻击,损失 1,179 个 ETH(约 220 万美元)。事件发生的原因是漏洞合约中 LP 价格计算依赖了合约自身的 CRV 余额,和 CRV 在 wETH/CRV 池中的兑换比例。攻击者通过向合约中转入 CRV 并操控 wETH/CRV 池子的兑换比例,从而操控了 LP 价格。据 MistTrack 分析,目前 ETH 都已转入 Tornado Cash。
值得一提的是,此前我们的系统扫到了该漏洞,我们也善意提醒其出现漏洞,但项目方没有重视,等到事件发生了已为时已晚。
数据:最近一周,以太坊网络新增245.67万枚NFT资产:金色财经报道,NFTScan数据显示,最近一周,以太坊网络新增245.67万枚NFT资产,平均每天新增铸造35.09万枚NFT资产。[2022/7/10 2:03:48]
2023 年 8 月 15 日,以太坊扩容解决方案 Metis 官方推特账号被盗。据官方表示,团队成员成为了 SIM 交换攻击的受害者,导致恶意行为者能够接管该帐户大约 30 小时。
SIM 交换攻击的目的是身份盗窃,攻击者接管受害者的电话号码,使他们能够访问银行账户、信用卡或加密账户。慢雾 CISO 在接受 Cointelegraph 采访时表示:“随着 Web3 的普及,吸引更多人进入该行业,由于其技术要求相对较低,SIM 交换攻击的可能性也随之增加。此类 SIM 交换攻击在 Web2 世界中也很普遍,因此看到它在 Web3 环境中出现也不足为奇。”
美元指数失守90关口,为一周来新低:行情显示,美元指数失守90关口,为一周来新低。[2021/5/18 22:14:34]
(https://cointelegraph.com/news/crypto-sim-swap-how-easy-is-sim-swap-crypto-hack)
由于 SIM 交换攻击对黑客的技术技能要求不高,因此用户必须注意自己的身份安全,以防止此类黑客攻击。针对 SIM 交换黑客攻击,我们建议使用多因素身份验证、增强帐户验证(如附加密码)或为 SIM 卡或手机帐户建立安全的 PIN 或密码。
2023 年 8 月 15 日,Sei Network 官方 Discord 服务器遭入侵。
RocketSwap
2023 年 8 月 15 日,Base 生态项目 RocketSwap 遭遇攻击,攻击者窃取了 RCKT 代币,将其转换为价值约 86.8 万美元的 ETH 并跨链到以太坊,然后黑客创建了一个名为 LoveRCKT 的 memecoin,目的可能是想利用盗来的资产操纵市场情绪以谋取个人利益。
灰度一周内发行3703.62万GBTC股票并购买35159枚BTC:1月21日,灰度向美国证券交易委员会(SEC)提交了关于最近发行的GBTC股票数量的销售报告。灰度称自提交上一份销售报告(1月14日)以来,该公司已经发行了3703.62万股 GBTC股票,并购买了约35159枚比特币,价值约为12.76亿美元。(U.Today)[2021/1/22 16:47:39]
这一事件也引发了人们对 RocketSwap 的质疑,尤其是部署流程和私钥存储。然而,该团队否认内部参与,并将此次行为归因于第三方黑客。RocketSwap 表示:“团队在部署 Launchpad 时需要使用离线签名并将私钥放在服务器上。目前检测到服务器被暴力破解,且由于农场合约使用代理合约,存在多个高危权限导致农场资产转移。”
SwirlLend
2023 年 8 月 16 日,借贷协议 SwirlLend 团队从 Base 盗取了约 290 万美元的加密货币,从 Linea 盗取了价值 170 万美元的加密货币,被盗资金均被跨链到以太坊。截至目前,部署者已将 254.2 ETH 转移到 Tornado Cash。SwirlLend 官方 Twitter 和 Telegram 帐户已经注销,其官方网站也无法访问。据 MistTrack 分析,部署者使用了 SwftSwap、XY Finance、Orbiter Finance 等,同时,发现了如下 IP:50.*.*.106、50.*.*.58、50.*.*.42。
数据:随着比特币价格飙升,其交易费用在一周内上涨近5倍:近日比特币价格大幅飙升,突破了之前的历史记录,徘徊在23100美元上方。但交易费用几乎与比特币价格同步上涨。在大约5天的时间里,比特币持有者的平均交易费用从12月13日的2.71美元上涨到12月18日的11.9美元,上涨了439%。比特币交易的平均价格每天都几乎比前一天上涨近90%。然而,与2017年牛市期间的平均交易费用相比,这一数字相形见绌。当时,比特币每笔交易费用平均为55美元,这使得它几乎无法作为“数字货币”使用。在过去几个月里,比特币交易费用持续波动,在大幅飙升后暴跌。如果这一趋势持续下去,平均费用可能会在几天内恢复到正常水平。(Crypto potato)[2020/12/19 15:45:59]
Made by Apes
2023 年 8 月 16 日,链上分析师 ZachXBT 发推称,BAYC 推出的链上许可申请平台 Made by Apes 的 SaaSy Labs APl 存在一个问题,允许访问 MBA 申请的个人详细信息。该问题在披露前已向 Yuga Labs 反馈,现已修复。Yuga Labs 回应称,目前不确定是否存在数据滥用的情况,正在联系任何可能暴露信息的人,并将为任何可能需要的用户提供欺诈和身份保护。
分析 | BTC一周当中相对高低点概率分布 挖掘走势规律:分析师K神表示,下图为BTC历史数据一周当中价格处于相对高位与低位的概率分布统计图,明显看出一周之中BTC处于相对低位概率较高的时间分布在周一,概率达到30%以上,其余大部分时间概率都低于10%,而BTC一周当中的相对高位基本分布在周日与周一,说明BTC在周二至周六期间大部分波动幅度相对较小,区间震荡概率较高,而在一周结尾迎来快速拉升行情,在周一出现相对低点的可能性更高,这可能与CME比特币期货合约主力资金在周开盘高位做空有一定关系。[2019/10/21]
(https://twitter.com/zachxbt/status/1691514780119343104)
Exactly Protocol
2023 年 8 月 18 日,DeFi 借贷协议 Exactly Protocol 遭受攻击,损失超 7,160 枚 ETH(约 1204 万美元)。两个合约攻击者通过多次调用函数 kick() 进行攻击,并使用以太坊上的开发者合约将存款转移到 Optimism,最终将被盗资金转回以太坊。据了解,Exactly Protocol 被攻击的根本原因是 insufficient_check,攻击者通过直接传递未经验证的虚假市场地址,并将 _msgSender 更改为受害者地址,从而绕过 DebtManager 合约杠杆函数中的许可检查。然后,在不受信任的外部调用中,攻击者重新进入 DebtManager 合约中的 crossDeleverage 函数,并从 _msgSender 种盗取抵押品。Exactly Protocol 在推特发文称,协议已解除暂停,用户可以执行所有操作,没有发生任何清算。黑客攻击只影响到使用外围合约(DebtManager)的用户,协议仍在正常运行。
Harbor Protocol
2023 年 8 月 19 日,Cosmos 生态跨链稳定币协议 Harbor Protocol 发推表示,Harbor Protocol 被利用,导致 stable-mint、stOSMO、LUNA 和 WMATIC 金库中的部分资金被耗尽。从目前收集到的信息来看,攻击者使用以下地址执行所有操作:comdex1sma0ntw7fq3fpux8suxkm9h8y642fuqt0ujwt5。据悉,Harbor Protocol 在攻击中损失了 42,261 枚 LUNA、1,533 枚 CMDX、1,571 枚 stOSMO 和 18,600 万亿枚 WMATIC。
Thales
2023 年 8 月 20 日,衍生品市场 Thales 发布公告称,一名核心贡献者的个人电脑/Metamask 遭到黑客攻击,一些充当临时部署者(2.5 万美元)或管理员机器人(1 万美元)的热钱包已被攻破。请勿与 BNB Chain 上任何 Thalesmarket 合约交互,并撤销任何待批准的合约。Optimism、Arbitrum、Polygon 和 Base 上的所有资金安全。Thales 表示,由于这次攻击将正式放弃对 BSC 的支持。
总结
本周有两起事件是由私钥泄露造成的损失。过往因项目方私钥管理不当而导致损失的事件也很常见,比如损失超 6.1 亿美元的 Ronin Network 事件、损失超 1 亿美元的 Harmony 事件、损失超 1.6 亿美元的 Wintermute 事件。私钥被盗的原由有许多种,针对项目方的私钥安全主要有三方面:私钥破解、社会工程学攻击、生态安全。由于私钥的重要性,提高安全存储等级(如硬件加密芯片保护)、去除单点风险等都是防范攻击的重要手段。私钥/助记词的备份上也可以考虑降低单点风险,并且使用一些安全的备份方式、介质或流程等,具体可参考慢雾出品的加密资产安全解决方案:https://github.com/slowmist/cryptocurrency-security。
慢雾科技
个人专栏
阅读更多
金色财经
金色财经 善欧巴
web3中文
金色早8点
YBB Capital
吴说Real
元宇宙简史
从猿猴时代开始,社交便是人类社会生活中的重要一环。对于身为群居动物的人类,社交的重要性不言而喻.
作者 | DL NEWS 编译 : Garyma 吴说区块链加密货币领袖经常呼吁提供法规明确性,以减少行业的不确定性.
作者:ANA PAULA PEREIRA,COINTELEGRAPH;编译:松雪,金色财经加密货币交易所 Bitstamp 将停止为美国客户提供质押服务.
作者:David Hoffman,Bankless作者;翻译:金色财经xiaozouFriend.tech热潮席卷了Crypto Twitter,几无放缓迹象.
作者:WILLIAM SUBERG,COINTELEGRAPH;编译:松雪,金色财经8 月 22 日,BTC 顽固地逆势而行,26,000 美元成为 BTC 日内价格走势的磁石.
作者:Rui;来源:作者推特@YeruiZhang1、ETF通过是市场短期内最大的叙事,结果可能是九月份/十月份/今年不会.
链资讯