创宇区块链7月安全月报

本文约3290字,阅读全文需要约5分钟
2022年7月区块链安全事件分析总结,跑路骗局和网络钓鱼愈发频繁,希望大家提高安全意识,增加对安全问题的敏锐性。

前言

七月随着币价的回升,安全事件也变的频繁发生,攻击者在本月也是“火力全开”,从各个方面进行攻击。据知道创宇区块链安全实验室 【被黑事件档案库】 数据显示:该月发生的安全事件超 43 起,其中跑路骗局和钓鱼造成的单个损失也愈发严重,代表事件为 Uniswap V3 钓鱼攻击和 DRAC Network 的 Rug Pull,而月初 DeFi 协议 Crema Finance 被攻击造成的损失尤为惨重。本月安全事件造成的损失总金额共计约 29,000,000 美元。

创宇区块链7月安全月报

通过对本月各类型安全事件的数量和占比分析,不难发现网络钓鱼安全事件仍然占比最多。再次提醒大家要对网络钓鱼提高警惕,可借助一些工具来减少被钓鱼的风险,如 :FishAlert  (https://fishalert.knownseclab.com)插件,可减少被钓鱼风险。

创宇区块链7月安全月报

本月安全事件对比6月数量虽然略有下降,但整体局势仍处在安全事件高发期。再此提醒大家,对于安全应持续提高安全意识,保持对安全问题的敏锐性。

以下是 知道创宇区块链安全实验室 对七月各类型安全资讯的总结,并就其暴露出的问题进行探讨。

DeFi 安全类型事件

• 7 月 3 日,Solana 生态流动性协议 Crema Finance 遭黑客攻击中损失超 600 万美元,黑客使用 Solend 闪电贷耗尽资金池。

• 7 月 7 日,ProjectX 项目 PXT 代币价格下跌,官方称价格下降是由于黑客攻击(漏洞利用)造成的。攻击者获利约 1.9 万美元。

• 7 月 10 日,去中心化 NFT 金融化协议 Omni X 遭到攻击,攻击者利用 ERC721 的重入了清算函数。损失超 100 万美元。

• 7 月 11 日,DeFi 平台 Parallel Finance 遭到重入攻击,导致了约 200 万美元的损失。

• 7 月 12 日,质押挖矿项目遭到黑客攻击,攻击者利用合约中 updateBalance 函数的加法溢出漏洞,修改攻击账户的质押量,总计获利约为 11 万美元。

• 7 月 12 日,多链 NFT 协议 Citizen Finance 被攻击,CIFI 代币价格已下跌逾 50%,244 枚 BNB 和 5.76 万枚 MATIC 被盗。

• 7 月 14 日,BNB Chain 上项目 SpaceGodzilla 遭到了黑客的闪电贷攻击。黑客通过闪电贷借取大量资金并在 Pancake 上操纵交易池中 SpaceGodzilla 的价格,攻击共获利 25,378.78 BUSD。

• 7 月 24 日,Web3 音乐流媒体服务平台 Audius 社区金库被利用,损失 1850 万枚 AUDIO Token,黑客将资金在 Uniswap 兑换为 705 枚 ETH,共获利约 11万美元。

• 7 月 25 日,LPC 项目遭受闪电贷攻击,由于 _transfer 函数中未更新账本余额,而是直接在原接收者余额 recipientBalance 值上进行修改,导致攻击者余额增加。攻击者共获利 178 BNB,约为 45715 美元。

• 7 月 28 日,基于 Solana 的去中心化算法稳定币协议 Nirvana 遭到闪电贷攻击,其稳定币 NIRV 价格从 1 美元一度跌至 0.09 美元,最大跌幅超过 90%,攻击者共获利3,490,563.69 USDT,21,902.48 USDC 及 393,230.32 ANA 代币,价值约 357 万美元。

• 7 月 3 日,Solana 生态流动性协议 Crema Finance 遭黑客攻击中损失超 600 万美元,黑客使用 Solend 闪电贷耗尽资金池。

• 7 月 7 日,ProjectX 项目 PXT 代币价格下跌,官方称价格下降是由于黑客攻击(漏洞利用)造成的。攻击者获利约 1.9 万美元。

• 7 月 10 日,去中心化 NFT 金融化协议 Omni X 遭到攻击,攻击者利用 ERC721 的重入了清算函数。损失超 100 万美元。

• 7 月 11 日,DeFi 平台 Parallel Finance 遭到重入攻击,导致了约 200 万美元的损失。

• 7 月 12 日,质押挖矿项目遭到黑客攻击,攻击者利用合约中 updateBalance 函数的加法溢出漏洞,修改攻击账户的质押量,总计获利约为 11 万美元。

• 7 月 12 日,多链 NFT 协议 Citizen Finance 被攻击,CIFI 代币价格已下跌逾 50%,244 枚 BNB 和 5.76 万枚 MATIC 被盗。

• 7 月 14 日,BNB Chain 上项目 SpaceGodzilla 遭到了黑客的闪电贷攻击。黑客通过闪电贷借取大量资金并在 Pancake 上操纵交易池中 SpaceGodzilla 的价格,攻击共获利 25,378.78 BUSD。

• 7 月 24 日,Web3 音乐流媒体服务平台 Audius 社区金库被利用,损失 1850 万枚 AUDIO Token,黑客将资金在 Uniswap 兑换为 705 枚 ETH,共获利约 11万美元。

• 7 月 25 日,LPC 项目遭受闪电贷攻击,由于 _transfer 函数中未更新账本余额,而是直接在原接收者余额 recipientBalance 值上进行修改,导致攻击者余额增加。攻击者共获利 178 BNB,约为 45715 美元。

• 7 月 28 日,基于 Solana 的去中心化算法稳定币协议 Nirvana 遭到闪电贷攻击,其稳定币 NIRV 价格从 1 美元一度跌至 0.09 美元,最大跌幅超过 90%,攻击者共获利3,490,563.69 USDT,21,902.48 USDC 及 393,230.32 ANA 代币,价值约 357 万美元。

局安全类型事件

• 7 月 4 日,分布式节点基础设施项目 Nody(NODY) 发生 Rug Pull,当前 NODY Token 价格下跌 93%。

• 7 月 6 日,BNB Chain 项目 Baby DAO 发生 Rug Pull,代币下跌 99.9%,约 773 枚 BNB(约 18 万美元)被转移至 Tornado Cash。

• 7 月 20 日,RacKiller 发生 RugPull,代币价格下跌超 70%。

• 7 月 20 日,NumberSwap 发生 RugPull,代币价格下跌超 96%。

• 7 月 20 日,Neoteric.finance 发生 Rug Pull,其 NTRC 代币价格下跌超 91.6%。目前的报告显示损失约为 10 万美元。

• 7 月 20 日,Angels To Miracles 项目发生 Rug Pull,ATM 代币价格下跌 46%,有 1943.3 枚 BNB 转移至 TornadoCash,损失约 53 万美元。

• 7 月 20 日,ORCHID 项目发生 Rug Pull,ORCHID 代币价格下跌超 96.4%,目前的报告显示损失约为 5 万美元。

• 7 月 25 日,DeFi 项目 DRAC Network 发生 RugPull,代币 TEDDY 价格下跌 99.4%,1 万枚 BNB 和 200 万枚 BUSD 转入币安。损失约为 450 万美元。

• 7 月 26 日,SKG 代币项目 Rug Pull,价格下跌超过 80%。超过 10 万枚 SKG 被出售,资产利润超过 7 万美元。

• 7 月 27 日,Larp Finance 项目发生 Rug Pull,LARP 代币跌幅超过 80%。合约部署者出售了最初铸造的 LARP 代币并获利 2.8 万美元(20 个 ETH)。

• 7 月 29 日,second uncle coin 二舅币池发生 Rugpull,合约部署者已通过 Tornado Cash 清洗赃款,截至目前代币 SUC 价格已下跌 99.7%。据统计,本次诈骗事件的利润总额高达 130 万美元。

网络钓鱼安全类型事件

• 7 月 6 日,NFT 项目 Spiky Space Fish 的 Discord 服务器遭黑客攻击,请用户不要点击任何链接,且不要参与铸造或批准任何交易。

• 7 月 6 日,Otherside 官方推特帐号(@scottehartley)疑似被盗,其个人资料已更改为展示 OthersideMeta NFT 图像并推销骗局。

• 7 月 9 日消息,NFT 项目 Dope Ape Club 的 Discord 服务器遭到攻击。聊天被锁定,攻击者发布了一个钓鱼链接。请社区用户不要点击链接、铸造或批准任何交易。

• 7 月 12 日,黑客通过钓鱼攻击在 Uniswap V3 上窃取 7500 ETH,协议本身并无安全问题。

• 7 月 14 日,NFT 项目 AzukiArt 的 Discord 服务器遭到了黑客攻击,请用户不要点击链接、铸造或批准任何交易。

• 7 月 15 日,NFT 项目 Lonely Alien Space Club 的 Discord 服务器遭到入侵,请用户不要点击链接、铸造或批准任何交易。

• 7 月 16 日,P2E 元宇宙项目 Botborgs 的 Discord 服务器遭到攻击,请用户不要点击链接、铸造或批准任何交易。

• 7 月 17 日,NFT 管理平台 NFTY Dash 的 Discord 服务器和 Twitter 账号遭到攻击,请用户不要点击链接、铸造或批准任何交易。

• 7 月 17 日,premint.xyz 遭到黑客攻击,黑客在 premint.xyz 网站中通过植入恶意的 JS 文件来实施钓鱼攻击,欺骗户签名 setApprovalForAll(address,bool) 的交易,从而盗取用户的NFT等资产。

• 7 月 18 日,originals-adidas.com 被证实是一个钓鱼网站,19 枚 ETH 和 17 枚 NFT 已进入诈骗者地址。

• 7 月 19 日,NFT 项目 Maximalist 的 Discord 服务器遭到攻击,攻击者发布了钓鱼链接,请用户不要点击链接、铸造或批准任何交易。

• 7 月 20 日,DerpyPunkz 的 Discord 服务器遭到攻击,攻击者发布了钓鱼链接,与此前 Maximalist 项目攻击者相同,用户不要点击链接、铸造或批准任何交易。

• 7 月 20 日,DerpyPunkz 的 Discord 服务器遭到攻击,攻击者发布了钓鱼链接,与此前 Maximalist 项目攻击者相同,用户不要点击链接、铸造或批准任何交易。

• 7 月 21 日,NFT 项目 Tableland Discord 遭遇攻击,公告板块发布钓鱼链接,团队部分成员已被踢出。请用户不要点击链接、铸造或批准任何交易。

• 7 月 25 日,NFT 项目 NEN Studio 的 Discord 服务器遭受攻击。请社区用户不要点击链接、铸造以及批准任何交易。

• 7 月 27 日,NFT 项目 The Americans NFT 的 Discord 服务器遭到攻击,攻击者发布了钓鱼链接。请社区用户不要点击、铸造或批准任何交易。

• 7 月 29 日,NFT 项目 Old Sport 的 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

• 7 月 29 日,ApachesNFT 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

• 7 月 29 日,DAISUKI 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

其他安全事件类型

• 7 月 4 日,英国陆军的官方推特账户和 YouTube 帐户遭到黑客攻击,并发布了有关加密货币和 NFT 的帖子。

• 7 月 4 日,多名用户加密钱包 MetaMask 的 POAP 被盗,建议提醒用户撤销之前与 NFT 市场 Eporio 交互的所有 POAP 批准。

• 7 月 26 日,Windows 版 Coremail 邮件客户端存在 RCE(远程代码执行)漏洞,攻击者可通过给用户发送含有恶意程序的邮件从而控制用户主机,可能导致钱包私钥泄露。

总结

从 Defi 安全形势来看,本月安全事件中闪电贷攻击和重入攻击较为普遍,逻辑漏洞也是频现,项目方对于此类攻击事件应做好提前防护。特别是 Crema Finance 安全事件提醒我们攻击者能通过闪电贷进行花式攻击,所以对于闪电贷的安全性项目方一定要深思熟虑。知道创宇区块链安全实验室 在此提醒,对合约安全有必要做到常规审计和复合审计,保障合约免受其他攻击影响,同时高度重视授权问题,对于授权要有明确的时间限制。

从网络钓鱼以及骗局跑来看,网络钓鱼和骗局跑路所造成的损失也在逐月加重,一方面是数量增多,另一方面单个事件造成的金额损失也增多,所以用户在投资之余也要多学习区块链知识和防骗意识,确保自己的资产不会不翼而飞。

原创文章,作者:创宇区块链安全实验室。转载/内容合作/寻求报道请联系 report@odaily.email;违规转载法律必究。

ODAILY提醒,请广大读者树立正确的货币观念和投资理念,理性看待区块链,切实提高风险意识;对发现的违法犯罪线索,可积极向有关部门举报反映。

推荐阅读
星球精选