前言
11 月以来 知道创宇区块链安全实验室 检测到的攻击事件相较于 10 月更加多样化。这主要得益于区块链威胁情报中心功能的正式开放,其大大提高了我们检测攻击的能力。
十一月安全事件盘点
以下是 11 月发生的各领域的安全事件:
11 月 3 日,以太坊上的 DeFi 协议 VesperFi Fianance 遭遇预言机操控攻击,损失超 300 万美元。
11 月 6 日,DeFi 借贷协议 bZx 在 Polygon 和 BSC 链上的私钥泄露事件已导致超 5500 万美元资产被盗。
11 月 7 日,跨链协议 Synapse Protocol 推出的资产跨链桥被攻击,攻击者设法降低了 nUSD Metapool 虚拟价格并从中获利约 800 万美元,但是该攻击被开发人员检测到从而暂停了矿池,最终回滚了交易避免了直接损失。
11 月 11 日,Curve.Finance 遭 Mochi 稳定币 USDM 团队「治理攻击」,损失超 3000 万美元。
11月13日, BSC 上的 DeFi 协议 welnance.finance 遭遇闪电贷价格操控攻击,损失 5,994 BUSD、 0.7 ETH、0.06 BTC。
11 月 21 日,以太坊上的 DeFi 协议 Formation.Fi 遭遇黑客攻击,损失近 10 万美元,该攻击产生主要原因在于项目方设计函数 swapIn 时低估了 fee 对 totalTokens 的影响,且忽视了不同代币间小数点精确度的影响。
11 月 23 日, BSC 上借贷协议 Ploutoz Finance 遭到攻击,黑客获利 36.5 万美元,该攻击与 11 月 13 日welnance.finance 遭遇的攻击类似都是通过闪电贷的巨额资金抬高抵押物的价格进行超额借贷完成攻击。
11 月 27 日,BSC 上借贷协议 Lever Network 遭到攻击,损失超 65 万美元,该攻击产生主要原因在于 repay 函数缺少对调用者的债务检测,攻击者的借贷可由不同角色归还,从而破坏了金库平衡导致套利空间的产生。
11 月 27 日, 基于 UNIswap V3 的 DeFi 协议 VisorFinance 遭受基于预言机的价格操纵攻击,该漏洞属于典型的 DEX 现货价格信任问题,在被攻击中错误的获取到由黑客控制的价格。
总结
11 月发生的安全事件类型多元化,不仅有传统的预言机安全问题、私钥泄露问题甚至还有着项目方反撸矿工的操作,这昭示着我们对于安全这块不能轻易放松。
知道创宇区块链安全实验室 在次提醒,近期各链上攻击情况任然处于多发,合约安全需要得到最高的重视,合约审计、风控措施、应急计划等都有必要切实落实。