整理:饼干,链捕手3月底,著名链游AxieInfinity旗下侧链网络RoninNetwork在黑客攻击事件中损失约6.2亿美元资产,成为迄今为止最严重的一次DeFi黑客攻击,进一步加深了公众对加密世界安全性的担忧。近两年来,巨额资金持续流入加密行业,但其安全性仍然是非常脆弱,来自中心化交易所和DeFi项目的诸多代码漏洞屡屡遭到黑客的攻击,各类安全事故的数量、频次、规模等层面均在迅速增长。据慢雾统计,2021年区块链安全事件累计导致损失超98亿美元,涉及231起安全事故,尽管相当部分的损失被追回或由项目方进行补偿,但仍然令加密行业受伤颇深。根据专业加密安全网站rekt数据以及其它公开资料,链捕手按照近两年黑客攻击中受影响金额的大小盘点前20的黑客攻击事件。1、RoninNetwork,6.24亿美元
2022年3月29日,Ronin官方称其跨链桥遭到黑客攻击,173,600个ETH和2550万USDC被盗,累计价值约6.2亿美元。官方表示,该项目被盗原因系五个验证者私钥被盗。去年11月SkyMavis和AxieDAO以减轻用户成本的初衷建立了一个无GasRPC节点,这需要AxieDAO成为SkyMavis验证者,虽然该RPC节点只持续了一个月,但白名单访问权限从未被撤销,从而攻击者有机会盗取AxieDAO签名,集齐5个验证者共识换成私钥来伪造假提款。目前,AxieInfinity联合创始人AleksanderL.Larsen已在推特上发文表示,AxieInfinity团队正在努力与黑客沟通挽回损失,以确定最佳补偿方案。2、PolyNetwork,6.11亿美元
2021年8月10日,跨链互操作性协议PolyNetwork在以太坊、BSC与Polygon部署的智能合约同时遭到黑客攻击,价值超过6.1亿美元资产被盗。据慢雾团队分析称,攻击者利用特定函数传入精心构造的数据来修改EthCrossChainData合约的keeper,替换keeper角色的地址后,便可以随意构造交易,从合约中提取任意数量的资金。经过多方与黑客的链上沟通,黑客最终向项目方归还了所有盗取的资产,所有用户都没有产生实际损失。3、Wormhole,3.26亿美元
ENS路线图:正在研究无Gas DNS域名等功能,将探索ENS与L2生态交互和SIWE:6月30日消息,根据以太坊域名服务ENS路线图,当前该项目正在进行的工作包括 Gasless DNS Names(在 ENS中利用CCIP-Read使用DNS域名的无 Gas 方法)、ENSjs重构、开发Pipeline改进,接下来要讨论的是探索ENS与Layer2生态系统交互的方式、Sign-in With Ethereum(SIWE)、改善收藏夹、ENS管理器的暗黑模式。[2023/6/30 22:10:16]
今年2月3日,跨链协议Wormhole遭黑客攻击,官方确认本次攻击事件中损失达12万枚ETH。根据调查,此次事件的漏洞是Solana端核心Wormhole合约的签名验证代码存在错误,允许攻击者伪造来自「监护人」的消息来铸造whETH。攻击者通过在Solana上无限铸造的whETH等价物,再通过Wormhole转移120,000真实的ETH到以太坊上。事件发生后,黑客并未回复项目方的沟通,Wormhole母公司JumpTrading旗下JumpCrypto迅速决定“自掏腰包”向该跨链桥智能合约补充了12万枚ETH,帮助Wormhole桥重新上线。4、BitMart,1.96亿美元
2021年12月5日,加密交易平台BitMart的以太坊和BSC热钱包被盗约1.96亿美元,其中在以太坊上总计约1亿美元,在BSC上总计约9600万美元。据了解,攻击者将BitMart资金从热钱包转移到自己钱包,并把大部分币种通过1inch交易为ETH和BNB,然后通过TornadoCash进行混币,最终逍遥法外。此后,BitMart创始人SheldonXia宣布将使用平台的资金来补偿受影响的用户,并很快开放存取款。5、VulcanForged,1.4亿美元
香港投资推广署金融科技主管:监管态度、流量和人才涌入是香港发展Web3的优势:4月10日消息,在《大浪淘沙 | Web3连续创业者香江对话》圆桌论坛中,香港投资推广署金融科技主管梁瀚璟表示,政府的监管态度、流量和人才涌入等会成为香港发展Web3的优势。(ForesightNews)[2023/4/10 13:54:26]
2021年12月13日,链游项目VulcanForged称148个持有PYR的钱包遭到入侵,超过450万PYR已被盗,损失总价值超1.4亿美元。事后,项目团队决定将金库中的PYR用户补偿受影响的用户钱包。6、CreamFinance,1.3亿美元
2021年10月27日,抵押借贷平台CreamFinance遭受闪电贷攻击,损失约1.3亿美元。据了解,此次攻击混合了经济攻击和预言机攻击,攻击者从MakerDAO闪电贷出DAI来创建大量yUSD代币,同时通过操纵多资产流动性池,利用价格预言机计算yUSD价格,yUSD价格升高后,攻击者的yUSD头寸增加,创造了足够的借入限额来抵消Cream以太坊v1市场的流动性。11月13日,CreamFinanc公布了对受影响用户的赔偿方案,将利用其金库的剩余代币,并移除项目团队剩余的全部Cream代币分配,向受影响用户发放1453415枚Cream代币。7、Badger1.2亿美元
2021年12月2日,Badger用户界面被黑客攻击并植入恶意钱包请求,总损失约为2100BTC和151ETH,约合1.2亿美元。此次事件属于网络钓鱼攻击,由运行在Badger云网络上的应用平台Cloudflare的“恶意注入片段”引起的。黑客利用Badger工程师不知情或未授权情况下创建的受损API密钥,定期注入恶意代码,获取到用户钱包无限授权的批注。事后,Badger宣布聘请网络安全公司Mandiant和区块链分析公司Chainalysis来调查这一攻击事件,并正在与两家公司以及美国和加拿大的当局合作,以追回任何可能的资金。同时,该项目通过社区投票,决定将部分金库资产以及部分协议收入在补偿受影响的用户,周期约为一年。8、QubitFinance,8000万美元
CryptoQuant报告:BTC矿工最新抛售可能会在短期内迫使价格下跌:8月15日消息,一位CryptoQuant分析师在研究报告中表示,BTC矿工最新抛售可能会在短期内迫使价格下跌。数据显示,在最近的18,000美元和22,000美元盘整阶段期间,矿工储备一直在缓慢增加,然而比特币价格在过去几周小幅反弹至25,000美元水平后,矿工却开始抛售BTC资产,如果这种情况持续,那么这些强制卖家造成的抛售压力可能会在短期内推低价格。
矿工储备是衡量当前存储在所有矿工钱包中比特币总量的指标,当该指标值上升时,表明矿工正在将BTC存入钱包,该指标值下降则表明矿工正在从其储备中转出BTC,这种趋势可能不利于加密货币价值增长。[2022/8/15 12:25:33]
2022年1月28日,BSC借贷项目Qubit疑似遭到黑客攻击,黑客铸造大量xETH抵押品并盗取了资金池中约8000万美元资产。本次攻击的主要原因在于在充值普通代币与native代币分开实现的情况下,在对白名单内的代币进行转账操作时未对其是否是0地址再次进行检查,导致本该通过native充值函数进行充值的操作却能顺利走通普通代币充值逻辑。TeamMound是QubitFinance的开发团队,在攻击事件发生后决定重组并发布补偿计划,将放弃其所有代币以补偿社区。9、AscendEX,7700万美元
2021年12月12日,加密货币交易所AscendEX的以太坊、BSC与Polygon热钱包累计被盗或超7700万美元的资产。事件发生后,该交易所表示将进行全面的安全检查,如果任何用户的资金受到此次事件影响,由AscendEX进行100%赔付。10、EasyFi,5900万美元
2021年4月20日,Layer2DeFi借贷协议EasyFi创始人AnkittGaur称协议流动池被转移了600万美元的稳定币和298万个EASY代币,总损失约5900万美元。据了解,该项目被盗原因为管理员的MetaMask的助记词短语密钥遭到远程攻击,EasyFi智能合约未被黑客攻击。EasyFi已联系到Binance和AscendEx团队,黑客并未将代币从钱包中转移出去,并且由于流动性限制而无法在DEX中出售。事后,该项目表示将按快照补偿每个地址的贷方/存款人净余额的100%,用户将分两部分获得资金,预先支付25%,剩余75%以EZ支付,由EASYV2代币EZ按1:1比例担保。11、UraniumFinance,5700万美元
欧盟采用基于区块链和其他分布式账本技术的市场基础设施试点制度:金色财经报道,2022年6月2日,关于基于分布式账本技术的市场基础设施试点制度的 (EU) 2022/858 条例(条例)在欧盟官方公报上发布。该法规旨在消除以加密资产形式发行、交易和交易后金融工具的监管障碍,并确保欧盟监管机构在多边交易设施和分布式账本技术(DLT)应用方面获得经验,结算系统。这是欧盟委员会于 2020年9月24日通过的数字金融一揽子计划中宣布的三项立法举措的第一个实施。?
该条例强调,欧盟在促进金融部门采用变革性技术方面具有政策利益。就此而言,该条例的序言明确指出,虽然许多加密资产可能不属于当前欧盟金融服务立法的范围,但许多其他加密资产确实符合欧盟法律规定的金融工具的条件。因此,一整套欧盟金融服务立法现在已经适用于开展与此类加密资产相关活动的发行人和公司。
为了促进其发展,以及总体上 DLT 的发展,同时保持对投资者、市场完整性、金融稳定性和透明度的高水平保护,欧洲机构已采用该条例,为基于 DLT 的市场基础设施建立试点制度。[2022/7/12 2:08:04]
2021年4月28日,币安智能链上AMM协议UraniumFinance发推称Uranium迁移过程中被攻击,损失金额约为5700万美元。据了解,此次问题发生在Uranium项目的pair合约上,该合约的swap函数部分逻辑参考了PancakeSwap的逻辑,允许用户进行闪电贷借出资金。但是该函数在根据恒定乘积公式检查合约余额时,存在精度处理错误的问题,导致最后合约中计算出的余额比合约实际的余额大100倍,这种情况下,如果攻击者使用闪电贷进行借款,只需要归还借贷金额的1%即可通过检查,盗走剩余的99%的余额,导致项目损失。事后UraniumFinance发表一篇漏洞分析文章并呼吁用户尽快移走资金,不要再向合约中提供流动性。自此之后,UraniumFinance的官方再无更新,疑似已停止运营。12、bZx,5500万美元
富国银行给予Silvergate Capital股票“增持”评级,目标价120美元:金色财经消息,富国银行(Wells Fargo)周一在一份报告中表示,机构对加密货币的持续采用和产品创新应该有助于维持Silvergate Capital(SI)的增长势头。报告给予该公司的评级为“增持”,目标价为每股120美元。
富国银行表示,市场正处于加密货币和区块链采用的早期阶段,Silvergate为希望获得加密生态系统的法币出入口的投资者提供了一个受监管和有FDIC保险的平台。
目前,Silvergate Capital股价下跌逾14%,现报63.59美元,约为富国银行给出目标股价的一半。(CoinDesk)[2022/6/13 4:23:36]
2021年11月6日,去中心化借贷协议bZx在Polygon和BSC链上因私钥泄露导致超5500万美元资产被盗。据了解,此次事故不是针对协议本身漏洞的黑客攻击,而是对bZx开发者的网络钓鱼攻击,开发人员收到了一封网络钓鱼电子邮件,其中附有包含恶意宏的Word文档。打开此文档会导致开发人员的个人钱包密钥被盗。黑客能够控制合约并将其从BZRX中提取出来。13、Cashio,4800万美元
2022年3月23日,Solana生态算法稳定币Cashio发推警示用户不要铸造任何代币,尽快从池中提取资金。该协议出现一个无限铸造漏洞,损失约4800万美元。CashioDollar是一种由USDT-USDCLP代币支持的算法稳定币,黑客通过绕过一个未被验证的账号,非法增发了20亿个CASH代币,并通过多个应用将CASH代币转化为UST、USDC和USDT-USDCLP,获利总价值约为4800万美元。项目方在遭遇黑客攻击之后表示没有足够的资金偿还用户损失,如果攻击者退还资金,愿意提供100万USDC作为赏金。而攻击者通过链上留言表示,将向10万美元损失以下的受害者退款。14、PancakeBunny,4600万美元
2021年5月20日,币安智能链BSC上的收益聚合器PancakeBunny疑似遭遇攻击,损失约4600万美元。这是一次典型的闪电贷攻击,关键点是WBNB-BUNNYLP的价格计算存在缺陷,而BunnyMinterV2合约铸造的BUNNY数量依赖于此存在缺陷的LP价格计算方式,最终导致攻击者利用闪电贷操控了WBNB-BUNNY池子从而拉高了LP的价格,使得BunnyMinterV2合约铸造了大量的BUNNY代币给攻击者。PancakeBunny团队在遭受闪电贷攻击后发布评估和补偿计划,将通过发行新代币pBUNNY并创建补偿池,补偿池由绩效费,从漏洞利用中收回的资金以及QFI代币空投提供资金。90天后,原始持有者将以低于市场价的折扣用pBUNNY交换为BUNNY。15、Kucoin,4500万美元
2020年9月20日,Kucoin热钱包受到攻击,损失超2.8亿美元。此后,KucoinCEOJohnnyLyu表示,通过与交易所和项目方合作追回2.22亿美元资金,与执法和安全机构进一步合作追回1745万美元。最后KuCoin用保险基金支付了剩余的资金损失,约4500万美元,在这次事件中没有用户遭受损失。16、Secretswap,超4000万美元
2021年9月14日,基于隐私公链SecretNetwork的DEX项目Secretswap遭到黑客攻击,流动性池中超4000万美元资金被黑客取出,事件发生后该项目暂停了Secretswap与SecretNetwork跨链桥的使用,以防止黑客将资产从跨链桥转移至以太坊网络。事后调查显示,该漏洞涉及与SecretSwap奖励质押相关的单一LP合约,没有被盗的资金离开网络,没有桥梁/代币合约被攻击,网络本身也没有被攻击。数天后,SecretNetwork通过硬分叉回滚网络,将被盗资产返还至用户的流动性资金池,并恢复跨链桥的使用。17、AlphaFinance,3700万美元
2021年2月13日,AlphaFinanceLab在官方推特称黑客利用AlphaHomoraV2漏洞,从IronBank借出ETH、DAI、USDC等资产,导致AlphaHomorav2与Creamv2之间产生债务关系,损失约3700万美元。Alpha团队的还款方式为:将攻击者存入AlphaHomoraV2部署器合约的1000ETH支付欠款;将攻击者存入CreamV2部署器合约中的1000ETH支付欠款;TornadoCash基金会将会把攻击者支付的100ETH捐款还给AlphaHomora以支付欠款;Alpha将承诺使用AlphaHomoraV1和V2储备金的20%偿还剩余的资金,按月向CreamV2IronBank支付,直至新增债务全部还清。18、VeeFinance3700万美元
2021年9月21日,Avalanche生态借贷平台VeeFinance智能合约被攻击,损失约3700万美元。据了解,导致该漏洞的主要原因是用户在创建杠杆交易订单的过程中,预言机仅使用Pangolinpool的价格作为价格馈送源,而该池价格波动超过3%。预言机会刷新价格,导致攻击者操纵了Pangolinpool的价格。而操纵VeeFinance预言机价格和收购预言机价格没有进行小数处理,导致掉期前预期的滑点检查没有起作用。此后,Vee.Finance宣布悬赏50万美元追查攻击者,并将承担全部损失,用平台收入以及储备中的VEE代币补偿所有贷方和存款用户,在全部偿还之前团队代币将不再释放。19、Crypto.com3300万美元
2022年1月18日,加密货币交易所Crypto.com的部分账户疑似遭遇黑客攻击,损失约3300万美元。据了解,黑客通过绕过现有的2FA验证,成为提现白名单,其中共有483个账户被破解,被盗取4836枚ETH和444枚比特币,ETH被发送到TornadoCash进行混币。事件发生后,Crypto.com表示已经赔偿所有用户的损失,将账户内的资产恢复原位。20、MonoXFinance3100万美元
2021年11月30日,自动做市商协议MonoX遭到闪电贷攻击,以太坊和Polygon上价值约3100万美元的加密货币被黑客盗走。据了解,攻击者利用掉期合约进行操作,将MONO的价格推高至天价后使用MONO购买池中所有其他资产。此后,该项目团队表示将为所有被盗资产发行债务代币dMONO并部署dMONO保险库,将使用我们的收入回购MONO并将MONO发送到这个金库,任何dMONO持有者都可以随时通过销毁他们的dMONO来并获取MONO来退出金库,但如果用户选择在dMONO达到所欠价值之前提取它,则意味着正在免除剩余的债务。进一步统计可以发现,尽管这些安全事件的累计损失金额达到数十亿美元,但多数被盗项目的用户损失得到全额赔付,其中PolyNetwork、Secretswap的被盗资产全部找回,Wormhole等8个项目由项目方进行了原币赔付,其余项目多数由项目以自身代币的形式进行赔付,但往往会由于代币价格下跌,实际赔付金额低于损失金额,仅UraniumFinance未对用户进行任何赔付。由此可以看出,黑客攻击并没有想象中那么可怕,重要的是项目方资源背景以及对用户的责任感,加密用户在对任何资金操作保持谨慎的同时,尽可能优先参与具有较强实力的项目与平台,在自身承受范围内进行相关投资与挖矿行为,以确保资金安全度。
标签:ANCFINNANNCEHelmet.insure Governance TokenKuber FinanceDogPad FinanceReflex Finance
今天我们正式推出Celer消息跨链框架主网。 利用Celer消息跨链SDK,开发者构建的跨链原生dApp将具有高效的流动性利用率、连贯的应用逻辑、共享的状态.
1900/1/1 0:00:00DeFi结束了通过分叉的形式粗犷地向其它智能合约平台扩张的发展阶段,大多数新出现的智能合约平台在短暂的流动性挖矿热潮之后被用户所抛弃.
1900/1/1 0:00:00相关阅读JumpCrypto:深入分析区块链基础设施细分赛道JumpCrypto:详解各类区块链扩容解决方案介绍在上一篇文章中,我们介绍了区块链基础设施中与第一层有关的一些组件.
1900/1/1 0:00:00Odaily星球日报译者|Moni 作为将Web3革命引入健身行业的先行者,STEPN正在利用现代科技打造健身行业的未来,本文将重点介绍如何使用网络效应来促进健身行业的增长.
1900/1/1 0:00:00本文梳理自CryptoTesters创始人LitoCoen在个人社交媒体平台上的观点,律动BlockBeats对其整理翻译如下:众所周知我看好ETH.
1900/1/1 0:00:00原文编译:DeFi之道主要观点DEX是DeFi中收入最高的子赛道,DEX占DeFi赛道收入的一半。借贷协议TVL比DEX高出近25%,却少了近1/4的收入.
1900/1/1 0:00:00