又到了每月安全盘点时刻!据成都链安安全舆情监控数据显示:2022年3月,各类安全事件仍然时有发生,3月发生较典型安全事件超『30』起。
暴露出来的安全风险创下2022开年以来的新高。本月发生的跨链桥Ronin攻击事件可能是DeFi历史上涉及金额最高的一次攻击,损失超6亿美元。其他DeFi协议也屡遭攻击,其中闪电贷和合约漏洞利用是黑客最青睐的攻击手段。另外,本月相关跑路事件也是层出不穷。本月安全事件有所增加,其中钓鱼攻击方式需要重点关注。
DeFi方面?
共发生『13』起典型安全事件
No.1??3月5日,抵押借贷协议BaconProtocol遭受闪电贷攻击,损失约96万美元。
No.2??3月10日,算法资产协议FantasmFinance因合约漏洞被攻击,损失约262万美元。
Binance.US收购Voyager资产的最终听证会将于3月2日举行,用户回收资金价格的计算日暂未确定:1月16日消息,针对Binance.US收购Voyager资产的进程,Voyager无担保债权人委员会在推特上表示,招标完成后,该交易的利益相关方有28天的时间提出异议,异议截止日期为2月22日,最终确认该笔交易的听证会定于3月2日举行,该听证会提供一周的时间来回应听证会前的任何异议。
此外该委员会表示,尽管Binance.US向UCC保证,转移的加密货币将受到保护,但鉴于FTX的意外崩溃以及加密货币行业的盗窃和欺诈风险,UCC向Binance.US寻求更大的保护。即根据修订后的购买协议,即在交易结束后,加密货币将从Voyager每周转移到Binance.US,而被转移的加密货币是将立即分配给债权人账户的加密货币。
此外,针对推特用户关于“客户资金回收是基于哪一天的价格”以及“是否有基于个人账户计算回收估计的电子表格”,此外该委员会回应称,Binance.US为Voyager加密货币支付的价格将在接近交易截止日期的未来日期确定。加密资产的公平市场价值将决定客户的资产回收率。客户将获得统一的百分比回收,无论他们持有的加密资产(包括USDC)如何。请注意,此回收估计是基于12月18日的现货价格,因此实际回收将根据Voyager加密货币的价值而有所不同。
此前1月11日消息,美国法院初步批准Binance.US以10亿美元收购Voyager资产。[2023/1/16 11:14:12]
No.3??3月15日,DeFi协议HundredFinance与Agave遭遇闪电贷攻击。黑客利用两个协议中的可重入漏洞窃取了超1,100万美元。
YFW将于3月29日 11:18上线BiKi平台:据官方公告,YFW将于3月29日 11:18(GMT+8)上线BiKi平台,开放YFW/USDT交易对。
BIW网络中原生通证YFW是实现整个网络分布式存储价值的功能性通证。YFW作为一个去中心化的云系统是公有开放给所有人自由参与的分布式网络。在存储资源市场中,提供的服务主要包括两种类型:文件存储服务和文件检索服务。
存储资源提供方为BIW网络中的商户,验证节点和候选节点都可以成为商户;存储资源用户为有数据存储和检索需求的用户,包括 Web2中心化云存储用户、Web3 生态中有大数据存储需求的去中心化用户。为了满足存储市场服务需求,资源提供方需要做到7×24小时在线,我们在对验证节点和候选节点的入网协议中设计了相应的机制,在交易市场中对商户在线也有要求。YFW是BIW的存储市场通证的方式向社区投放。功能主要是服务于BIW的存储市场。[2021/3/16 18:49:25]
No.4??3月15日,多链衍生品平台DeusFinance在Fantom遭遇黑客攻击,损失或超过300万美元。
标普500指数录得3月20日当周以来最大单周跌幅:标普500指数5月15日(周五)收盘上涨11.20点,涨幅0.39%,报2863.70点;
纳斯达克指数5月15日(周五)收盘上涨70.80点,涨幅0.79%,报9014.56点;
道琼斯指数5月15日(周五)收盘上涨60.10点,涨幅0.25%,报23685.42点。
标普500指数录得自3月20日当周以来最大单周跌幅。道指和纳指创4月3日当周以来最大单周跌幅。[2020/5/16]
No.5??3月20日,BNBChain和以太坊上的UmbrellaNetwork奖励池被抽取,黑客从中获利70万美元。
No.6??3月20日,跨链DEX聚合协议li.finance遭受call注入攻击,损失约60万美元。
No.7??3月22日消息,Fantom生态稳定币收益优化器OneRing发文表示遭到闪电贷攻击,黑客窃取逾145万美元。
YAS、YDAO将于3月20日 15:00上线BiKi:根据官方公告,YAS(主网币)、YDAO将于3月20日15:00(GMT+8)上线BiKi,开放YAS/USDT和YDAO/USDT交易对,并同时开放提现,充值现已开放。
YAS Network,中文名椰子,发行量1亿枚。YAS代币存在的理想是创立ubi(全民基本收入),持有YAS除了可以进行挖矿产出新代币,还可以通过系统内操作每天免费获得空投。
YDAO是YAS公链上的社区治理项目,发行总额为 1000 万 YDAO。发行量的 47% 将分配给 CPU 矿工,47% 将用于投票活动中的奖励,6% 将分配给项目团队。 YDAO 的投票活动可用于解决社区中的争议性问题。[2020/3/20]
No.8??3月23日,Solana链上的算法稳定币CashioDollar遭到黑客攻击,损失约4800万美元。
No.9??3月26日,InuSaitama疑似遭遇套利攻击,共获利约430个ETH。
HT、OKB、BNB将于3月12日16:00上线ZG全币种合约:据官网公告,HT、OKB、BNB三大平台币将于3月12日12:00开放充币,3月12日16:00上线ZG全币种合约,3月17日16:00开放提币。
全币种合约支持全币种和多倍杠杆,根据BTC价格指数进行交易,采用逐仓保证金模式,5-100倍杠杆灵活选择。官方表示,未来将上线更多合约品种,以满足投资者需求。[2020/3/11]
No.10??3月29日,期权协议Auctus合约存在漏洞,黑客利用漏洞从未取消授权的用户中获利约72万美元。
No.11??3月30日,AxieInfinity侧链Ronin遭遇黑客攻击。攻击者控制了9个验证节点中的5个,并使用窃取的私钥来伪造假提款,最终获利约6.2亿美元。这可能是DeFi历史上金额最大的一次攻击。
No.12?3月30日,以太坊上DeFi项目BasketDAO的BMIZapper因漏洞遭到攻击,黑客获利约120万美元。
No.13??3月31日,VoltageFinance借贷平台遭遇攻击,约400万美元被盗。
跑路/加密局方面?
共发生『7』起典型安全事件
No.1??安全机构监测到$DAOKing-LuckyDAO为项目,其管理员已将505枚BNB存入Tornado.cash,并事先进行了虚假的智能合约升级。
No.2??NFT项目NFTflow已跑路,目前其官方社交账号已注销。
No.3??NFT项目WW3Apes发生RugPull,目前已注销其社交媒体账号。与WW3Apes网站使用同一IP地址的GodZape项目同样发生RugPull,并转移了约20枚ETH的资金。
No.4??NFT项目REALSWAK已跑路,其官方社交账号已注销。者已将1300枚BNB转移至TornadoCash混币。
No.5??BNBChain上DeFi项目BNBDEFI已跑路,项目已关闭其社交媒体群组,并转移约255枚BNB。
No.6??安全机构监测显示,@BinanceNFT_BFT系伪造的BinanceNFT推特账户,正在推广「貔貅盘」局。
No.7??BNBChain上项目BuccaneerFi已跑路。目前项目社交媒体账号以及社群已被删除,约841枚BNB被已转入Tornado.Cash。
NFT/元宇宙方面?
共发生『6』起典型安全事件
No.1??3月13日,BNBChain链上的元宇宙金融项目Paraluni遭受黑客攻击,黑客获利逾170万美元。其中约1/3被盗资金已流入龙卷风。
No.2??基于Arbitrum的TreasureDAONFT交易市场被曝发现漏洞,黑客以几乎零成本的价格获取了100多个NFT。
No.3??3月14日,NFT项目WizardPass的Discord社区被者入侵,者发送假信息以获得用户NFT完全访问权限,造成多枚NFT被盗。
No.4??3月27日,金融NFT项目RevestFinance被攻击,黑客盗取大量相关代币并获利约200万美元。
No.5??APECoin空投遭受闪电贷攻击,攻击者获利约82万美元。
No.6??DefianceCapital创始人Arthur热钱包被盗,60枚价值约69万美元的NFT在链上被转移。本次盗窃事件或为电子邮件钓鱼攻击。
其它方面?
共发生『4』起典型安全事件
No.1??ConvexFinance发布博客表示,投票锁定的CVX合约存在漏洞,用户存款是安全的,不存在任何风险。
No.2??3月7日消息,韩国一代币开发商高管因窃取加密货币被判入狱5年,因其非法将用业务资金投资的加密货币转移到自己的私人账户。
No.3??三名男子因涉嫌4000万美元的加密货币投资欺诈被美国司法部起诉。
No.4??上海破获一起涉案金额超1亿元虚拟货币网络犯罪案,抓获犯罪嫌疑人10余名。
意
鉴于当前区块链安全领域的新形势,『成都链安』在此总结:
从总体上看,2022年3月区块链安全事件较2月份大幅上升,攻击类安全事件被盗总金额超过7亿美元。针对层出不穷的攻击事件,『成都链安』也为开发者提供了如下安全建议。
Ronin跨链桥被攻击事件:1.注意签名服务器的安全性;2.签名服务在相关业务下线时,应及时更新策略,关闭对应的服务模块,并且可以考虑弃用对应的签名账户地址;3.多签验证时,多签服务之间应该逻辑隔离,独立对签名内容进行验证;4.项目方应实时监控项目资金异常情况。
RevestFinance被攻击事件:建议在合约设计时严格按照检查-生效-交互模式设计,并在ERC1155token相关DeFi项目中加入防重入的功能。
Paraluni安全事件:合约开发者在开发过程中进行完整的测试以及第三方审计,并养成使用Openzeppelin库的ReentrancyGuard合约来进行重入攻击的防范。
TreasureDAO安全事件:建议开发者在开发多种代币的销售贩卖合约时,需要根据不同代币的特性来进行不同情况的业务逻辑设计。
写在前面 从文章结构看:虽然本文是针对具体Gamefi项目的深度研究,但逻辑清晰,结构明了,可读性很强。文章在深入探索项目代币经济前,也为读者简明扼要地介绍了该项目的概况以及为什么选择研究它.
??内容目录 NFT核心三要素:设计、规则、权益产品&设计:网站产品、网站设计技术:前端、合约、后端、测试、审计、运维运营:Discord运营、Twitter运营、其他社群/媒体运营市场.
DAO是什么? 不知道是正常的, 这是一个时髦且极具理想主义和浪漫主义的词。值得每一个对理想有追求的人去了解.
特别感谢我们的编辑Joys和AmberSun,感谢BriefKandle和origugua的帮助.
元宇宙在2021年得到市场的莫大关注。许多企业纷纷将目光投向元宇宙这一大蛋糕,想成为第一个吃螃蟹的人。这当中包括了Meta、英伟达、微软、高通等。国内企业则有腾讯、阿里巴巴、百度、字节跳动等等.
事实上,NFT早在2014年就已经出现,只不过那时NFT还只是被一小部分人所知晓的小众技术。谁能想到,几年以后,在疫情背景下,以及随着Beeple那6930万美元的天价NFT作品的成功拍卖,NF.