前言
十一结束,今年只剩最后一个月,经过了 FTX 的暴雷和之后 FTX 被黑客攻击事件,市场造成了不小的动荡,攻击事件也下降了不少。据知道创宇区块链安全实验室 【被黑事件档案库】 数据显示:该月发生的安全事件超 28 起,其中 DeFi 安全事件虽较上月略有减少,但攻击总数仍然很多,其中 FTX US 遭到黑客攻击,损失高达 4.77 亿美元。骗局事件虽然发生次数不多,但 DeFi AI 发生的 Rug Pull 让用户损失了近 4 千万 美元。本月安全事件造成的损失总金额共计约 5.6 亿美元。
数据分析
1、占比分析:
通过对本月各类型安全事件数量占比分析,可以发现 DeFi 安全仍然是攻击者最擅长的领域, 占比 54% 。
2、对比数据分析:
在上个月安全事件突增后,本月各类安全事件数量下降,应是与 FTX 暴雷破产有关,市场情绪也随之下降。
3、 2022 年月安全趋势:
本月较上月,安全事件几乎对半下降,但所造成的金额损失却并未减少,安全方面仍然高风险频发,希望大家提高警惕谨慎面对。
DeFi 安全类型事件
11 月 1 日,DODO 的 USDT/DAI 池疑似存在严重的三明治攻击。
11 月 2 日,借贷协议 Solend 遭到预言机攻击,已产生 126 万美元坏账。
11 月 2 日,Deribit 被盗约 6947 ETH、 691 BTC 与 340 万 USDC。损失约 2800 万美元。
11 月 3 日,NEAR 链上资产发行平台 Skyward Finance 遭到漏洞利用,已损失 110 万枚 NEAR 代币(约合 300 万美元)。
11 月 4 日,pGALA 合约遭到黑客攻击,黑客已将大部分 GALA 兑换成 13, 000 枚 BNB,获利超 430 万美元,该地址仍有 450 亿枚 Gala,但不太可能兑现,因为资金池基本已耗尽。
11 月 7 日,MooCakeCTX 项目遭到黑客攻击,黑客获利约 143921 美元。
11 月 10 日,ETH 链上的 Brahma TopGear 项目由于任意外部调用的风险遭到攻击,攻击者获利约 89879 美元。
11 月 11 日,针对稳定币的去中心化外汇交易初创公司 DFX Finance DEX 池由于缺乏适当的重入保护疑似被攻击,损失约 3000 ETH,约合 400 万美元。
11 月 11 日,一 MEV 机器人花费 31.06 枚以太坊的交易费用对一笔约 2500 万美元的交易发动「三明治攻击」,使得打包该区块的验证者总共获得了 32.09 枚以太坊(价值约 4.08 万美元)的奖励。
11 月 13 日,FTX US 遭到黑客攻击,据估算损失约为 4.77 亿美元。
11 月 16 日,SheepFarm 项目遭到黑客攻击,目前损失约 7.2 万美元。
11 月 21 日,sDAO 合约业务逻辑存在漏洞,攻击者获利超 1.3 万 BUSD。
11 月 23 日,AurumNodePool 合约遭到漏洞攻击,攻击者通过该漏洞获得约 50 个 BNB ($ 14, 538.04)。
11 月 23 日,ETH 链上的 Numbers Protocol (NUM) 代币项目遭到攻击,攻击者获利约 13, 836 美元。
11 月 29 日,SEAMAN 项目遭闪电贷攻击,攻击者获利约 7781 美元。
骗局安全类型事件
11 月 1 日,FITE(FTE) 项目疑似 Rug Pull,其网站 fit.app 已关闭,社交媒体已被删除。诈骗者已将 1900 枚 BNB 转入 Tornado Cash。
11 月 3 日,BSC 链上 MetFX 项目疑似发生 Rug Pull,MFX 代币暴跌 97% 。MetFX 部署者已将 10000 枚 MFX 交换为 402 枚 BNB(约 13.1 万美元)。
11 月 7 日,ETHPoW 上稳定币交易协议 MinerSwap 疑似发生 Rug Pull,获利资金已从 ETHPoW 跨链至以太坊,其中已有约 308 枚 ETH 被转入 Tornado Cash。
11 月 14 日,DeFi AI 项目发生 Rug Pull,合约部署者获利约 4000 万美元。
网络钓鱼安全类型事件
11 月 1 日,Generativemasks 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
11 月 2 日,NFT 项目 Art Gobblers 出现伪造账号并发布假的 Gobblers 公共铸造抽奖活动。
11 月 3 日,DigiDaigaku CEO 推特账户疑似被盗,谨防钓鱼链接。
11 月 4 日,网络钓鱼诈骗团伙 Monkey Drainer 再度盗取价值 80 万美元的 NFT,包括 7 枚 Crypto Punks 系列 NFT 以及 20 枚 Otherdeed 系列 NFT。
11 月 23 日,Sensei Labs 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
11 月 28 日,Shamanzs NFT 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
其他安全事件类型
11 月 1 日,KUMALEON 项目的 Discord 遭黑客入侵,目前已有 111 枚 NFT 被盗,包括 BAYC #5313、ENS、ALIENFRENS 和 Art Blocks。参与该项目用户需撤销钱包权限,并将资金转移至新钱包。
11 月 2 日,链兑换协议 Rubic 发推称,管理员地址私钥疑被泄露,攻击者已出售约 3400 万 RBC/BRBC。损失约 100 万美元。
11 月 6 日,Loopring 称 11 月 5 日遭到 DDoS 攻击,服务曾宕机 11 小时。
总结
本月因中心化交易所暴雷,大部分用户对其失去信任,用户对于中心化交易所失去信任,而各大中心化交易所为了挽回用户的信任,纷纷开始进行了默克尔树储备金证明。如果您对自己的资金有所疑问,建议去用官方的文档去验证下自己的资金是否安全。
从 DeFi 的角度来看,所涉及的安全事件中,除最常见的闪电贷攻击外,很多攻击事件都源于合约本身的逻辑问题,这也说明了合约审计的必要性。知道创宇区块链安全实验室 在此提醒,对合约安全有必要做到常规审计和复合审计,保障合约免受其他攻击影响,同时高度重视闪电贷和合约逻辑问题。
从网络钓鱼以及骗局跑路角度来看,跑路骗局本月发生的次数并不多,但是跑路骗局所涉及的金额都不少,投资者仍然不能对项目发送警惕,在投资之前一定要做好相应的考察;网络钓鱼相比于上月减少一半,攻击者一般都是伪造成项目方或者攻击项目方 Discord 获得权限,之后攻击者会发布欺骗链接等,所以用户一定不要点击、铸造或批准任何交易。