DEFI:成都链安：5月发生典型安全事件超32起，“黑色5月”，BSC链上项目超10起遭受攻击，损失约达3亿美元?

据成都链安安全舆情监控数据显示：2021年5月，据不完全统计，整个区块链生态发生的典型安全事件超32起，整体安全风险评级为。本月，尽管其余方面的典型安全事件有所缓和，但成为典型安全事件频发的“重灾区”，需高度警惕；币安智能链首当其冲，成为黑客发动闪电贷攻击的“主战场”。多起BSC链上项目在5月集中“暴雷”，业界称为“黑色5月”，而这也是DeFi历史上当前所遭受的攻击频次最高、损失最大的一个月。据初步统计，所造成的经济损失约达3亿美元。典型安全事件的频频发生，也直接引发了多种虚拟资产币价闪崩。这个5月，对于投资者、项目方，乃至整个DeFi生态来说，都是空前“灰暗”的一个月。

以下为本月安全月报的详细事项。交易所方面，共发生『1』起典型安全事件

成都链安：GYM Network 项目的GymSinglePool遭受攻击:6月8日消息，据成都链安安全舆情监控数据显示，GYM Network 项目的GymSinglePool遭受了攻击。因为_autoDeposit函数未转入抵押的代币，攻击者恶意调用了depositFromOtherContract函数记账，并凭空提取了GYM token，目前2000BNB已进了Tornado Cash，3000BNB存放在攻击账户中，价值70W美元的ETH转入了以太坊。[2022/6/8 4:10:43]

01Hotbit交易所遭到攻击者攻击，导致一些基本服务瘫痪，Hotbit团队将关闭所有服务7天以上，以进行检查和恢复。DeFi方面，共发生『14』起典型安全事件

015月2日，DeFi项目Spartan遭遇闪电贷攻击，导致3,000万美元损失。025月7日，ValueDeFi被黑客攻击，IRONFinance的部分池和产品受到攻击，导致STEELLP代币可能耗尽。03DeFi收益聚合器RariCapital遭到黑客攻击，导致价值超过1471万美元的ETH损失。04DeFi协议xToken遭遇闪电贷攻击，导致2450万美元的损失。055月16日，bEarnFi遭到攻击，导致近1100万美元的损失。065月19日，BSC最大借贷平台VENUS发生大额清算。目前给Venus平台造成了1亿多美元的坏账。075月20日，DeFi收益聚合器PancakeBunny遭到闪电贷攻击，损失约4500万美元的WBNB和BUNNY。08链上期权协议FinNexus疑似被攻击。导致黑客通过某个地址在以太坊上铸造了3.23亿枚FNX，价值600万美元，在BSC上铸造了6000万枚FNX，价值160万美元。09BoggedFinance官方表示，黑客对BOG代币合约进行了闪电贷攻击，目前已禁用交易费。10AutoSharkFinance遭闪电贷攻击，币价出现闪崩，跌幅一度超过99%。11Merlin疑似遭到攻击。据悉，项目方貌似已暂时暂停了MERL代币的铸造。12BurgerSwap疑似遭遇闪电贷攻击，被盗约330万美元的Burger。135月28日，JulSwap遭到闪电贷攻击，$JULB短时跌幅逾95%。145月30日，BSC链上结合多策略收益优化的AMM协议BeltFinance遭到闪电贷攻击。

成都链安：Discover项目正在持续遭到闪电贷攻击:6月6日消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，Discover项目正在持续遭到闪电贷攻击，攻击者通过闪电贷使用BSC-USD大量重复兑换Discover代币，其中一个攻击者0x446...BA277获利约49BNB已转入龙卷风，攻击交易:0x1dd4989052f69cd388f4dfbeb1690a3f3a323ebb73df816e5ef2466dc98fa4a4,攻击合约:0xfa9c2157cf3d8cbfd54f6bef7388fbcd7dc90bd6

攻击者地址:0x446247bb10B77D1BCa4D4A396E014526D1ABA277[2022/6/6 4:05:40]

成都链安：国内天穹数藏宣称遭黑客攻击，黑客利用虚假余额购买盗取用户的藏品:5月17日消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，天穹数藏宣称遭黑客攻击，藏品售价异常高达近千万元。根据平台公告称：平台数据遭遇大量恶意攻击，黑客利用虚假余额购买盗取用户的藏品，导致数据异常，目前已恢复，平台已第一时间报警处理。成都链安安全团队初步分析，导致本次攻击的原因猜测为：攻击者通过传统网络安全攻破了平台方数据库，恶意篡改账户余额，导致大量用户高价挂单仍可成交，最终导致数据异常。成都链安安全团队建议：

1、 国内数字藏品平台方在设计、实现和部署的过程中，要关注通信与网络安全、主机安全、数据库安全、移动安全等传统安全领域，做好安全防护；

2、 国内数字藏品平台方在运维的过程中，要做好金融风控的设计和实施，避免出现大规模资金异动而不自知的情况；

3、 数字藏品消费者在选择交易平台时，需要关注平台合规风险，注意保障自身财产安全；

4、 数字藏品消费者警惕炒作风险和市场泡沫，避免泡沫破裂时造成财产损失。[2022/5/17 3:22:51]

Beosin评论：

成都链安：fortress被盗金额已被转换成1048eth并转入了Tornado Cash:5月9日消息，据成都链安安全舆情监控数据显示，fortress 遭受预言机价格操控攻击，被盗金额已被转换成1048eth并转入了Tornado Cash。经成都链安技术团队分析，本次攻击原因是由于fortress项目的预言机FortressPriceOracle的数据源Chain合约的价格提交函数submit中，将价格提交者的权限验证代码注释了，导致任何地址都可以提交价格数据。攻击者利用这个漏洞，提交一个超大的FST价格，导致抵押品价值计算被操控，进而借贷出了项目中所有的代币。

攻击交易：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

攻击者地址：0xa6af2872176320015f8ddb2ba013b38cb35d22ad

攻击者合约：0xcd337b920678cf35143322ab31ab8977c3463a45[2022/5/9 3:00:21]

BSC链上项目5月频频“暴雷”，损失惨重，这足以向BSC、DeFi，乃至整个区块链生态敲响警钟。通过复盘各起典型安全事件的共性，不难发现，“闪电贷攻击”是黑客采取的最主要的攻击手法；且攻击金额普遍较大，至少6个项目的损失金额都已超过1000万美元。在此，成都链安·安全团队郑重呼吁，后续DeFi项目方需着重防范与“闪电贷”相关的攻击。安全审计、安全防护、安全加固此类工作，之于DeFi项目方而言，切记是不可忽视的；有必要时，可联动第三方安全公司的力量，建立一套完善和专业的风控措施。跑路/加密局方面，共发生『7』起典型安全事件

成都链安：2022年第1季度区块链安全生态造成的损失达到12亿美元:4月20日消息，成都链安统计数据显示，加密行业2022年第1季度安全事件造成的损失达到12亿美元。[2022/4/20 14:36:00]

01GEC环保币多次被地方政府驱赶和调查，本次币价大跌后，再次被曝光其涉嫌。02团队在SNL的活动10万美元的虚拟资产。03有冒充Coingecko团队成员的人加密项目方，声称付费即可在Coingecko平台上列出代币。04一加联合创始人CarlPei的推特账户遭到黑客攻击，并被用于宣传加密局。05西班牙国民警卫队的官方YouTube账户受到疑似鱼叉式网络钓鱼攻击，已被XRP者接管。该账户的名称已更改为“Ripple-XRPFoundation”，并删除了所有内容。06美国货币监理署就近期有关加密欺诈电子邮件发出警告称，没有发送此类消息，也没有为个人利益持有任何资金。07基于BSC构建去中心化金融协议DeFi100被曝出是一个局，运营者已经取了投资者的钱后跑路。

Beosin评论：

本月，虽然安全形势严峻，但依然不能轻视来自的安全威胁。成都链安·七星实验室注意到，近期市面上已出现了多起打着“DeFi”旗号，实为局的各种资金盘项目。作为投资者，切记擦亮双眼，谨防打着“DeFi”旗号的资金盘局！勒索软件/挖矿木马方面，共发生『3』起典型安全事件

01网络安全软件公司趋势科技发现了一种新的恶意软件，名为“熊猫”。研究人员称，加密钱包已与银行帐户一样，都成为了在线盗窃的目标。02ColonialPipeline上周五向黑客支付了近500万美元的赎金，而之前的报道称该公司并无意愿向黑客支付勒索费，以帮助美国输油管道恢复运营。03新西兰怀卡托卫生部确认之前网络攻击中使用的勒索软件为“Zeppelin”，卫生部部长对此不予否认。其他方面，共发生『7』起典型安全事件

01MaskNetwork的ITO合约遭到机器人攻击，官方已将地址列入黑名单。025月6日，Hpool官方称官网前端遭受DDOS攻击，暂时不能正常访问，但不影响挖矿服务。03FeiProtocol开发团队FeiLabs发现并披露了一个合约漏洞，并立即暂停了该合约。目前该漏洞未被利用，不会影响任何用户。04吉尔吉斯斯坦国家安全委员会在首都比什凯克和丘伊州打击非法挖矿行动，突击搜查并缴获了2000台非法虚拟资产采矿设备。05英国突袭伯明翰附近的一个仓库，发现其是一个相当大的比特币矿。该比特币矿机是由非法从主电源中分离出来的电力驱动，设备已被扣押。06一名加利福尼亚男子承认经营无牌汇款业务、和未能维持有效的反计划，被美国没收了价值约125万美元的比特币和以太坊。07以太坊核心开发人员发现了EIP-1559中的一个重大漏洞，目前开发人员已经向EIP-1559添加了四项检查，并修复了该漏洞。

鉴于当前区块链生态的安全态势，『成都链安』在此总结：

从总体上来看，5月典型安全事件较4月显著上升。事件总数突破“30”关口，整体安全风险由陡升为。尤其是在，一连串的黑客攻击、频频发生的安全事件、超3亿美元的资金损失，无疑对整个DeFi生态的安全秩序造成了灾难性打击。严峻形势之下，成都链安·安全团队注意到，在Pancakebunny遭到闪电贷攻击之后，其BSC链上诸如Merlin、AutoSharkFinance等仿盘也相继“沦陷”，这足以说明FORK项目未对原项目有深入的理解，在更新代码的过程中亦引入了新的安全风险。DeFi作为一种创新的金融模式，如何在“创新”与“安全”方面找寻一个平衡点，做到兼顾与并行，需要广大DeFi项目开发者深刻反思。在此，我们建议广大项目方切记做好相关安全防护建设，对存在异常操作进行实时监控，即刻发现，即刻解决！作为用户，也应当增强自身安全意识，防范安全风险，避免造成经济损失。

标签：DEFEFIDEFIBSCfdudefiDefi FactoryMetaegg DeFiSHIBSC币

NEAR热门资讯