火星链 火星链
Ctrl+D收藏火星链

DISC:创宇区块链9月安全月报-ODAILY

作者:

时间:1900/1/1 0:00:00

前言

9月结束后我们迎来了十一小长假。长假过后10月工作日第一天,知道创宇区块链安全实验室为大家整理了9月安全攻击事件。

9月,攻击事件虽然大量减少,但所涉及金额却并未减少。据知道创宇区块链安全实验室数据显示:该月发生的安全事件超26起,其中钓鱼攻击事件增加迅猛,本月造成损失最为严重的当为加密做市商Wintermute因私钥泄露事件,损失高达1.6亿美元。本月安全事件造成的损失总金额共计约167,400,000美元。

数据分析

1、占比分析:

分析发现,网络钓鱼安全事件在9月占比最多,高达44%,请大家警惕钓鱼注意保护个人资产。值得高兴的是,9月跑路局大幅度减少仅占比8%。

2、对比数据分析:

黑山检察官对Do Kwon提起公诉:金色财经报道,黑山首都波德戈里察检察官办公室官员Dusko Milanovic表示,黑山检察官已针对Terraform Labs联合创始人Do Kwon,及首席财务官Han Chang-joon提交起诉书,指控他们伪造个人文件。[2023/4/20 14:15:57]

通过对比我们可以发现,本月安全攻击事件除了网络钓鱼类,其他类型数量均为减少,尤其是跑路局由上月17起减少至2起。

3、2022年月安全趋势:

本月安全数量大幅度下降,成为下半年以来最少攻击事件月,应该与以太坊POS共识机制合并有较大的关系,后续如何发展我们将持续关注。

以下是知道创宇区块链安全实验室对9月各类型安全资讯的总结,并就其暴露出的问题进行探讨。

ZK开发商Nil Foundation推出zkLLVM新技术:2月2日消息,ZK技术开发商Nil Foundation发布一项新技术zkLLVM,使开发人员能够使用流行的编码语言Rust和C++来构建零知识电路,从而显着减少工作负载。

LLVM代表“低级虚拟机”,指的是一组开源代码库,开发人员使用这些库将可读代码“编译”为计算机可以解释的格式。

zkLLVM项目还将自动插入Nil Foundation最近宣布的ZK证明市场,它创建该市场是为了帮助ZK团队分担他们的工作,并将某些类型的计算外包给第三方。[2023/2/3 11:44:17]

DeFi安全类型事件

9月2日,隐私项目ShadowFi遭遇黑客攻击,其官方TokenSDF下跌98.5%。攻击者利用SDF的漏洞允许任何人烧毁Token,获利约1078枚BNB,目前被盗资金已被转入TornadoCash。

9月4日,RugPullFinder最新推出的NFT项目「BadGuys」在免费铸造期间遭到漏洞利用攻击,两名用户利用其NFT合约漏洞铸造了450枚NFT,而不是按照最初设定的每个钱包仅能分配1枚NFT。这次漏洞是因为「mint」函数缺少所需的安全检查导致,该团队已在社交媒体上做出道歉并称将支付2.5ETH赏金来回购多铸造的NFT。

1inch基金会向包括Delta Dex在内的生态项目捐赠价值30.8万美元的1INCH代币:8月4日消息,1inch基金会宣布了一批总价值30.8万美元的1INCH代币捐赠,接受捐赠的项目包括去中心化期权协议DeltaDex、交互式学习应用Bankless Academy、拉丁美洲开发者DAO WEB3 DEV、加密媒体和社区MoniTalks、以太坊全节点的Rust实现Akula、数据提供商和金融分析平台Quantor。[2022/8/4 2:58:02]

9月4日,BNBChain上聚合DAO社区DAOOfficials疑似被攻击,此外链上数据显示攻击者或获利逾50万美元。

9月7日,攻击者通过AVAX闪电贷攻击获利约37万USDC。攻击者可能影响的协议包括NereusFinance、TraderJoe、CurveFinance。

9月8日,BNBChian链上NewFreeDao项目遭到闪电贷攻击,NFD价格下跌超99%,损失4500枚BNB

摩根士丹利:预计美联储7月将加息75个基点:7月27日消息,摩根士丹利预计FOMC7月将加息75个基点,这与互换市场定价的78个基点相符。然而,鉴于市场预期以每次加息25个基点计算,未来一年美联储将加息不到6次,风险将在于市场走势预期美联储将在未来几个季度进一步收紧货币政策。美联储可能会以相对鹰派的措辞来描述7月的加息,从而降低风险资产价格,并全面提振美元。摩根士丹利称,全球前景支持维持美元多头仓位。虽然卖方对2022年美国经济增长的预测已大幅下降,然而,世界其他地区的增长预期可能会进一步下降。(金十)[2022/7/27 2:40:02]

9月18日,攻击者首先在ETH主网上通过omniBridge转移WETH,随后将相同的交易内容在ETHW链上进行了重放,获取了等额的ETHW。目前攻击者已经转移了741ETHW到交易所。Beosin安全团队建议如果项目方合约里面预设了chainID,请先手动将chainId更新,即使项目方决定不支持ETHW,但是由于无法彻底隔绝通过跨链桥之间的资产流动,建议都在ETHW链上更新。

IMF:美国经济可能在未来两年放缓,将勉强避免衰退:6月25日消息,国际货币基金组织周五发表声明称,美国经济可能在 2022 年和 2023 年放缓,但随着美联储实施其利率收紧计划以遏制通胀,美国经济将勉强避免衰退。现在的政策重点必须是在不引发衰退的情况下迅速减缓工资和物价的增长,这将是一项棘手的任务。

IMF总裁格奥尔基耶娃表示:美联储迅速将基准利率升至 3.5% 至 4% 的计划应该会使金融状况提前收紧,从而迅速将通胀拉回目标水平。我们意识到,避免美国陷入衰退的道路越来越窄。美国目前面临的物价压力是广泛的,远远超出了能源和食品价格的上涨。(金十)[2022/6/25 1:30:26]

9月20日,加密做市商Wintermute因私钥泄露被黑客攻击损失1.6亿美元。

局安全类型事件

9月16日,GigaChadsDAO项目疑似出现Rugpull,CHAO代币价格暴跌80%。合约部署者铸造了大量代币然后将其出售。

9月26日,在BNBChain上发现抢先交易机器人局,其中子教用户如何开发「抢先交易」机器人(Front-runbot)来赚钱,但它提供的合约有一个后门,部署完成后,受害者的所有代币都会转移到攻击者的地址。

网络钓鱼安全类型事件

9月6日,ArtsDAO项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9月6日,Dictators项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9月8日,元宇宙平台TheSandbox项目Instagram账号被入侵,thesandboxesgame.com是钓鱼网站。请用户不要点击钓鱼网站。

9月12日,AlphaCentauriKid官方Discord服务器收到钓鱼邮件攻击,请不要点击,铸造或批准任何交易。

9月14日,BAYC#8941疑似被盗,NFT被转入0x18e541...D0F4地址,被标记为钓鱼地址。

9月14日,ID为@FreddyAdu的经过认证的推特账号遭到黑客攻击,攻击者将其伪造为LooksRare推特并发布虚假空投网站信息,目前仍未恢复。

9月18日,AlterEgoHunters官方表示其Discord遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9月18日,Dystians的Discord遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9月18日,NFT项目pump?kin发推称,Discord服务器和Discord管理账户遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9月20日,印度加密交易平台CoinDCXTwitter帐号疑似被入侵,并发布欺诈性链接。

9月22日,SuspiciousUnicornSociety项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9月28日,SOLDecoder项目Discord服务器遭攻击。请社区用户不要点击、铸造或批准任何交易。

其他安全事件类型

9月2日,去中心化流动性协议KyberNetwork在推特上披露,该协议因前端漏洞利用导致其用户损失26.5万美元资金。该漏洞源于KyberSwap网站中的恶意GoogleTagManager代码,攻击者的目标是鲸鱼钱包,通过插入虚假批准获得了转移用户资金的权限。

9月9日,零知识证明研发机构StarkWare发推称,其扩容引擎StarkExV4.5被VladBochok和IhorBarenblat指出存在漏洞,在运营者控制的条件下,该漏洞可使用户能够从一个冻结系统的Vault中双花。不过,目前该漏洞已被修复。

9月18日,通过Profanity创建的某些以太坊地址存在严重漏洞,黑客利用Profanity漏洞获利330万美元。

9月20日,加密货币投资服务银行Revolut已经证实,它受到了一次高度针对性的网络攻击,黑客可以访问数万名客户的个人详细信息。

9月26日,0x9731F开头地址从使用Profanity工具生成的以太坊靓号地址中窃取95万美元的加密货币,攻击者已将将732枚以太坊转移至混币器。

总结

从Defi的角度来看,所涉及的安全事件中,闪电贷攻击和重入攻击仍旧最为常见,所以说合约的审计是非常有比较的。而加密做市商Wintermute安全事件提醒我们私钥的重要性,一定要保护好自己的私钥,所以在合约本身的安全之外,我们也需要关注合规性安全。知道创宇区块链安全实验室在此提醒,对合约安全有必要做到常规审计和复合审计,保障合约免受其他攻击影响,同时高度重视函数权限问题,以防止高权限函数被任意调用。

从网络钓鱼以及局跑路角度来看,跑路局在本月有所下降,但仍然不可放松警惕,需要时时刻刻对项目及项目方进行细致的考察;而网络钓鱼逐月增加,可以看出攻击者认为网络钓鱼更容易到用户从而获利,作为用户要多加小心,不可随意信任他人而点击相关内容。

山河远阔,国泰民安,祝福虽晚但心意不晚,祖国生日快乐!

标签:ISCDISDISCCORDISCMMDIS币DisciplinaCordium

欧易交易所app下载热门资讯
tron:波场TRON账户总数突破1.18亿-ODAILY

区块链浏览器TRONSCAN最新数据显示,截至10月30日,波场TRON账户总数达到118,138,965,正式突破1.18亿.

1900/1/1 0:00:00
ETHE:Tether项目周报(1226-0101)-ODAILY

报告:日本将于2023年解除对USDT等海外发行稳定币的禁令日本金融厅将于2023年解除海外发行的稳定币在日本的流通禁令,计划在修改条例并制定指导方针后.

1900/1/1 0:00:00
NFT:JZL Capital行业周报第49期:稳定币持续流出,反弹可能难以为继-ODAILY

一、行业动态总结 上周加密市场跟随美股市场有小幅反弹,周三鲍威尔讲话之后美股全线上涨,加密市场也有所跟随但涨幅整体弱于美股,交易量也不如美股有明显放量行情,外加稳定币也连续数周有流出趋势.

1900/1/1 0:00:00
LAYER:LayerZero:全链互操作性协议,简洁有效的交互教程-ODAILY

2022年3月完成1.35亿美元A+轮融资,本轮融资由a16z、红杉资本、FTX共同领投,CoinbaseVentures、PayPalVentures、TigerGlobal和UniswapL.

1900/1/1 0:00:00
稳定币:波场版稳定币本周日均转账额超84亿美元-ODAILY

据区块链浏览器TRONSCAN数据,过去一周,波场版稳定币日均转账额为8,433,458,734美元,超过84亿美元.

1900/1/1 0:00:00
MCA:TRX单日销毁量达23,930,392枚,通缩量达近期平均通缩水平3倍-ODAILY

据区块链浏览器TRONSCAN数据,2月6日,TRX单日销毁量达23,930,392枚,通缩18,983,561枚,达到近期平均通缩水平的3倍.

1900/1/1 0:00:00