您的位置 首页 Defi-NFT

盘点 | 3月区块链生态被盗总金额超过7亿美元,较典型安全事件超30起!

又到了每月安全盘点时刻!据成都链安【链必应-区块链安全态势感知平台】安全舆情监控数据显示:2022 年 3 月,各类安全事件仍然时有发生,3月发生较典型安全事件超『30』起。

【DeFi方面】暴露出来的安全风险创下 2022 开年以来的新高。本月发生的跨链桥 Ronin 攻击事件可能是 DeFi 历史上涉及金额最高的一次攻击,损失超 6 亿美元。(点击阅读)其他 DeFi 协议也屡遭攻击,其中闪电贷和合约漏洞利用是黑客最青睐的攻击手段。另外,本月【诈骗跑路/加密骗局方面】相关跑路事件也是层出不穷。本月【NFT/元宇宙方面】安全事件有所增加,其中钓鱼攻击方式需要重点关注。

DeFi方面 

共发生『13』起典型安全事件

No.1   3月5日,抵押借贷协议Bacon Protocol遭受闪电贷攻击,损失约 96 万美元。

No.2  3月10日,算法资产协议Fantasm Finance因合约漏洞被攻击,损失约 262 万美元。

No.3 3月15日,DeFi 协议 Hundred Finance 与 Agave 遭遇闪电贷攻击。黑客利用两个协议中的可重入漏洞窃取了超1,100万美元。

No.4  3月15日,多链衍生品平台Deus Finance在Fantom遭遇黑客攻击,损失或超过 300 万美元。

No.5  3月20日,BNB Chain和以太坊上的 Umbrella Network 奖励池被抽取,黑客从中获利 70 万美元。

No.6  3月20日,跨链DEX聚合协议li.finance遭受call注入攻击,损失约 60 万美元。

No.7  3月22日消息,Fantom生态稳定币收益优化器OneRing发文表示遭到闪电贷攻击,黑客窃取逾 145 万美元。

No.8  3月23日,Solana 链上的算法稳定币 Cashio Dollar遭到黑客攻击,损失约 4800 万美元。

No.9  3月26日,InuSaitama疑似遭遇套利攻击,共获利约 430 个ETH。

No.10  3月29日,期权协议Auctus合约存在漏洞,黑客利用漏洞从未取消授权的用户中获利约 72 万美元。

No.11  3月30日,Axie Infinity 侧链 Ronin 遭遇黑客攻击。攻击者控制了 9 个验证节点中的 5 个,并使用窃取的私钥来伪造假提款,最终获利约 6.2 亿美元。这可能是 DeFi 历史上金额最大的一次攻击。

No.12 3月30日,以太坊上 DeFi 项目 BasketDAO 的 BMIZapper 因漏洞遭到攻击,黑客获利约 120 万美元。

No.13 3月31日,Voltage Finance借贷平台遭遇攻击,约 400 万美元被盗。

诈骗跑路/加密骗局方面 

共发生『7』起典型安全事件

No.1  安全机构监测到$DAOKing-Lucky DAO 为诈骗项目,其管理员已将505枚BNB存入Tornado.cash,并事先进行了虚假的智能合约升级。

No.2 NFT 项目 NFTflow 已跑路,目前其官方社交账号(@NftflowStarkNet)已注销。

No.3  NFT 项目 WW3Apes发生Rug Pull,目前已注销其社交媒体账号。与 WW3Apes 网站使用同一 IP 地址的GodZape项目同样发生Rug Pull,并转移了约 20 枚ETH的资金。

No.4  NFT项目 REALSWAK 已跑路,其官方社交账号(@REALSWAK)已注销。诈骗者已将1300枚BNB转移至TornadoCash混币。

No.5  BNB Chain 上 DeFi 项目BNB DEFI 已跑路,项目已关闭其社交媒体群组,并转移约 255 枚 BNB。

No.6  安全机构监测显示,@BinanceNFT_BFT系伪造的Binance NFT 推特账户,正在推广「貔貅盘」骗局。

No.7  BNB Chain 上项目 BuccaneerFi 已跑路。目前项目社交媒体账号以及社群已被删除,约 841 枚 BNB被已转入 Tornado.Cash。

NFT/元宇宙方面 

共发生『6』起典型安全事件

No.1  3月13日,BNB Chain 链上的元宇宙金融项目 Paraluni 遭受黑客攻击,黑客获利逾 170 万美元。其中约1/3 被盗资金(230 ETH)已流入龙卷风。

No.2  基于 Arbitrum 的 TreasureDAO NFT 交易市场被曝发现漏洞,黑客以几乎零成本的价格获取了 100 多个NFT。

No.3  3月14日,NFT 项目 Wizard Pass 的 Discord 社区被诈骗者入侵,诈骗者发送假信息以获得用户 NFT完全访问权限,造成多枚 NFT 被盗。

No.4  3月27日,金融 NFT 项目 Revest Finance 被攻击,黑客盗取大量相关代币并获利约 200 万美元。

No.5  APECoin 空投遭受闪电贷攻击,攻击者获利约 82 万美元。

No.6  Defiance Capital 创始人 Arthur 热钱包被盗,60 枚价值约 69 万美元的NFT在链上被转移。本次盗窃事件或为电子邮件钓鱼攻击。

其它方面 

共发生『4』起典型安全事件

No.1  Convex Finance 发布博客表示,投票锁定的 CVX(vlCVX)合约存在漏洞,用户存款是安全的,不存在任何风险。

No.2  3月7日 消息,韩国一代币开发商高管因窃取加密货币被判入狱 5 年,因其非法将用业务资金投资的加密货币转移到自己的私人账户。

No.3  三名男子因涉嫌 4000 万美元的加密货币投资欺诈被美国司法部起诉。

No.4  上海警方破获一起涉案金额超 1 亿元虚拟货币网络传销犯罪案,抓获犯罪嫌疑人 10 余名。

?注意 ?

鉴于当前区块链安全领域的新形势,『成都链安』在此总结:

从总体上看,2022 年 3 月区块链安全事件较 2 月份大幅上升,攻击类安全事件被盗总金额超过 7 亿美元。针对层出不穷的攻击事件,『成都链安』也为开发者提供了如下安全建议。

Ronin跨链桥被攻击事件:1.注意签名服务器的安全性;2.签名服务在相关业务下线时,应及时更新策略,关闭对应的服务模块,并且可以考虑弃用对应的签名账户地址;3.多签验证时,多签服务之间应该逻辑隔离,独立对签名内容进行验证;4.项目方应实时监控项目资金异常情况。

Revest Finance 被攻击事件:建议在合约设计时严格按照检查-生效-交互模式设计,并在 ERC1155 token相关 DeFi 项目中加入防重入的功能。

Paraluni安全事件:合约开发者在开发过程中进行完整的测试以及第三方审计,并养成使用 Openzeppelin 库的 ReentrancyGuard 合约来进行重入攻击的防范。

TreasureDAO安全事件:建议开发者在开发多种代币的销售贩卖合约时,需要根据不同代币的特性来进行不同情况的业务逻辑设计。

热门文章

发表评论

您的电子邮箱地址不会被公开。