10 月以来各类安全事件依然多发且主要集中在月末,从 Defi 安全角度看安全形势不容乐观,黑客攻击带来的损失最大多达 1.3 亿美元,令人震惊。知道创宇区块链安全实验室 总结了 10 月 发生的各类安全事件,并就攻击手法和暴露出的问题进行探讨。
以下是10月 发生的各领域的安全事件:
10月2日
BSC 链上 DeFI 协议 AutoShark Finance 遭遇闪电贷攻击,其挖矿兑换功能存在漏洞,被黑客攻击后损失约 58 万美元。
加密风投机构LongHash推出灵魂绑定代币以奖励贡献者:1月9日消息,LongHashX是加密货币风投机构LongHash Ventures的初创加速器部门,推出了一项奖励链上贡献者的新计划LongHash Web,的计划使用灵魂绑定代币 (SBT) 或数字身份代币来提供奖励。SBT 代表了一个人在链上的专业声誉和成就。这些代币不可转让,没有任何货币价值。(TheBlock)[2023/1/10 11:03:03]
10月4日
去中心化借贷协议 Compound 在试图通过 社区提案修补流动性挖矿代币分发合约含有的漏洞的同时,因为 drip() 函数的调用而向漏洞合约打入了 20 万枚 comp 代币,由此该协议已面临 1.58 亿美元的潜在损失。
TRM Labs法律和政府事务负责人:DeFi平台需要加强安全性:金色财经报道,加密安全公司TRM Labs法律和政府事务负责人Ari Redbord表示,DeFi平台需要加强安全性,打击加密黑客将需要加强网络防御。根据TRM Labs的数据,今年加密领域已有超过36亿美元的资金被盗,大约80%(约30亿美元)的目标是去中心化金融(DeFi)。Ari Redbord表示,这是因为许多DeFi平台是新的,尚未开发出强大的网络安全工具,而且这些平台具有大量流动性。他说:“黑客越来越厉害,他们的战术也越来越复杂,“但现实是工具、监管以及调查人员和执法部门也变得更加成熟。”[2022/12/30 22:15:37]
10月11日
沙特任命前埃森哲高管负责虚拟资产和CBDC工作:金色财经报道,沙特阿拉伯银行监管机构最近任命了前咨询公司埃森哲董事总经理 Mohsen Al Zahrani,领导该国虚拟资产和央行数字货币项目,显示出这个海湾国家潜在的加密野心。
迄今为止,沙特阿拉伯对虚拟资产态度较为谨慎,官员们对这些资产的投机性表示担忧。知情人士表示,邻国阿联酋正成为全球加密货币中心,让沙特有了为虚拟资产起草更正式规则的紧迫感。(彭博社)[2022/9/5 13:08:35]
Moonriver 链上 DEX MoonSwap IDO 项目 SaturnBeam 跑路。
10月15日
以太坊上被动收益协议 Indexed Finance 遭到攻击,其漏洞产生的原因在于协议通过一种代币来描述整个矿池价值,损失约 1600 万美元。
10月18日
ESC 链上DeFi 协议 Glide Finance 合约漏洞被利用,漏洞原因为团队在审计后进行了费用参数更改,但未将合约上的数字从 1000 更新为 10000,损失约为 30 万美元。
10月20日
BSC 链上 DeFi 协议 Pancake Hunny 遭闪电贷攻击,漏洞原因在于其底层资产兑换过程的价格易被操控,使得攻击者可以通过巨额资金操纵某一交易对价格进行攻击套利。
10月21日
Avalanche 链上生态协议 Avaterra Finance 遭黑客攻击,其铸币合约存在严重漏洞,任何人都可以调用其铸币功能。
10月27日
以太坊上 DeFi 借贷协议 Cream Finance 再遭受攻击,此次攻击产生的核心代码原因在于价格因子 pricePerShare 通过简单的资产数额占比来动态定价,损失约 1.3 亿美元。
10月29日
BSC 链上 DeFi 协议 AutoShark Finance 于本月再次遭到攻击,损失金额超 200 万美元。
公平启动拍卖平台 Copper 上启动的项目 AnubisDAO 中 5865 万美元资金被盗。
10月30日
BSC 链上去中心化交易协议 BXH 项目遭受攻击,该攻击核心原因在于管理权限被直接赋予攻击者,损失金额约 1.39 亿美元。
10 月发生的安全事件类型是多样化的,各种漏洞产生的情况也是各有不同,有矿池功能存在问题、有兑换功能存在问题、甚至有铸币功能存在问题等。知道创宇区块链安全实验室 在此提醒,近期各链上攻击情况仍然处于多发,合约安全需要得到最高的重视,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。