前言

六月以来,安全事件仍层出不穷,即使币价下跌,攻击者却没有停下攻击的脚步。据知道创宇区块链安全实验室 【被黑事件档案库】 数据显示:该月发生的安全事件超 46 起,其中跑路骗局变得更加严重,而跨链桥 Harmony Bridge 由于验证者节点的私钥泄露损失高达 1 亿美元。本月安全事件造成的损失总金额共计约 1.21 亿 美元。

以下是 知道创宇区块链安全实验室 对六月各类型安全资讯的总结,并就其暴露出的问题进行探讨。

DeFi 安全类型事件

  • 6 月 2 日,BNB Chian 上项目 CoFiXProtocol 遭受价格操控攻击,攻击者获利约 14 万美元。

  • 6 月 4 日,fomo-dao 项目遭到攻击,目前攻击者获利 11 万美元,已经转至 Tornado.cash。

  • 6 月 7 日,Equalizer Finance 遭受闪电贷攻击。此次攻击的主要原因在于 Equalizer Finance 协议的
    FlashLoanProvider 合约与 Vault 合约不兼容。损失约为 831 美元。

  • 6 月 9 日,部署在 Osmosis 区块链上的 678 号池遭到攻击,金额或涉及 500
    万美元。通过利用此漏洞,用户可以退出池并获得最初存入池中的额外 50% 的资产。

  • 6 月 14 日,Fswap 官方表示,其于 6 月 13 日 22:08
    遭到黑客攻击,此次攻击为非被攻击项目漏洞事件,是恶意借贷攻击事件。损失 1751 BNB,价值约为 39 万美元。

  • 6 月 21 日,whaleswap.finance 项目遭受攻击,至少损失 5946 个 BUSD 和 5964 个 USDT,价值约
    11910 美元。

  • 6 月 23 日,pandorachainDAO 项目遭受闪电贷攻击,导致了价值约 12.8 万美元的资产损失。

  • 6 月 24 日,由 Layer1 公链 Harmony 开发的以太坊与 Harmony 间的资产跨链桥 Horizo​​n
    遭到攻击,损失金额约为 1 亿美元。

  • 6 月 26 日,NFT 借贷协议 XCarnival 遭到攻击,黑客获利 3087 枚以太坊(约 380 万美元),而协议损失可能更高。

  • 6 月 28 日,Goldfinch 项目的 SeniorPool 合约遭受攻击,攻击者通过套利累计获利 28523 个
    USDC,项目方累计损失 541158 个 USDC。

骗局安全类型事件

  • 6 月 1 日,BNB Chian 上项目 ArmadilloCoin 发生 Rug Pull,诈骗者已将 663.4 枚 BNB 转入
    Tornado Cash。损失价值约 21 万美元。
  • 6 月 3 日,StarMan 发生 Rug Pull,币价下跌 99.5%,诈骗者已将约 640.4 枚 BNB 转移至 Tornado
    Cash。损失价值约 19.6 万美元。
  • 6 月 6 日,ACC 代币暴跌超 70%,近期交易中有 7 笔被认定为可疑的 Rug Pull,损失达 12 万美元。
  • 6 月 8 日,BNB Chian 上项目 BabyElon 发生 Rug Pull,代币下跌 98%,诈骗者已将 623 枚 BNB
    转入 Tornado Cash,损失约为 18 万美元。
  • 6 月 12 日,HEGE Coin 已被确认为 Rug Pull 跑路项目,HEGE 代币的价格暴跌超过 97%。目前损失金额约为 43
    万 USC-USD(约为 43 万美元)。
  • 6 月 13 日,ElonMVP 代币发生 Rug Pull,代币价格下跌 99%,超 622 枚 BNB 转入
    Tornado.Cash,损失约为 13 万美元。
  • 6 月 14 日,区块链云基础设施 Chain(XCN)或发生 Rug Pull,Token 价格 24 小时下跌 96.28%。
  • 6 月 20 日,Move To Earn 应用 StepUp Games 发生 Rug Pull,Token 价格下跌
    84%,部署者铸造大量 STP 并进行抛售。
  • 6 月 21 日,DHE 项目发生 Rug Pull,导致 DHE 代币价格下跌超过 91%。目前损失总额约为 14.2 万美元。
  • 6 月 22 日,LV PLUS(代币 LVP)项目已被确认为跑路项目。北京时间 2022 年 6 月 21 日,该项目因 Rug
    Pull 攻击损失了约 150 万美元。
  • 6 月 29 日,LV Metaverse (代币 LVP) 项目再次发生 Rug Pull,合约部署者再次拿走价值 5 万美元的代币。

网络钓鱼安全类型事件

  • 6 月 4 日,Homeless Friends NFT 的 Discord 遭到攻击,homelessfriends[.]net
    系钓鱼网站。
  • 6 月 4 日,NFT 项目 Not Bored Apes 的 Discord 遭到攻击,一个 mod
    账户似乎被黑,开始频繁发布网络钓鱼链接。请对官方未公布的 Mint 保持警惕。
  • 6 月 4 日,NFT 项目 Wibin Wolves 的 Discord 服务器遭到攻击,社区用户被踢,所有服务器邀请链接被关闭。
  • 6 月 5 日,NFT 项目「无聊猿」的 Discord 服务器遭到短暂攻击,有价值约 200 ETH 的 NFT 被盗。
  • 6 月 6 日,NFT 项目 Aiternate 的 Discord 已被攻击,请用户不要点击任何 Discord 私信或链接。
  • 6 月 7 日,Elrond 网络近日遭黑客攻击,超 165 万美元 EGLD 被盗,部分并已通过去中心化交易平台 Maiar 出售,引发
    Maiar 停机维护,部分发送至 Binance。
  • 6 月 7 日,专注于女性赋权的 NFT 系列 Boss Beauties 的 Discord 被攻击,截至目前仍在频繁转入转出
    NFT,总量已达 40 余枚。
  • 6 月 8 日,NFT 项目 Dapper Dinos 的 Discord 遭遇攻击,http://dapperdrop.com
    是钓鱼网站。
  • 6 月 9 日,http://mint-samsung.com 是一个钓鱼网站。该钓鱼网站冒充三星 (Samsung)
    铸造网站盗取了VeeFriends Series 2 #44451 NFT。
  • 6 月 9 日,NFT 项目 Alpha Kongs Club 的 Discord
    遭到攻击,http://alphakongsclubnft.org 是钓鱼网站,用户不要与该项目的 Discord 发送的任何链接互动。
  • 6 月 12 日,NFT 项目 Gooniez Gang 的 Discord 遭到攻击并发布了网络钓鱼链接。
  • 6 月 12 日消息,科幻 NFT 卡牌游戏 Parallel 发推称,其 Discord 遭到攻击,团队正在恢复。请用户不要点击任何
    Mint 链接。
  • 6 月 14 日,NFT 发现和交易平台 KnownOrigin 的 Discord
    已被攻击,http://knownoriginpass.io 是钓鱼网站,请用户不要点击任何 Discord 私信或链接。
  • 6 月 21 日,NFT 项目 Neo Hunters 官方推特发文称,其官方 Discord 遭遇黑客攻击,提醒用户不要点击任何链接。
  • 6 月 22 日,rrbayc.art 系钓鱼网站,谨防上当受骗。真正的 RR/BAYC 项目页面已被 OpenSea 下架。
  • 6 月 23 日,http://punkcomics.net 网站被认定为诈骗网站,诈骗者已经以 0 美元的价格获得了
    Otherdeed、The Sandbox LAND 等 100 多个 NFT。
  • 6 月 26 日,Cardano 链上 NFT 项目 Ugly Bros 的 Discord
    遭到攻击并发布包括网络钓鱼链接的公告。请社区用户不要点击任何链接与之交互。
  • 6 月 26 日,Web3 安全分析师 Serpent 表示,已发现一种将盗取钱包内 NFT 的恶意文件伪装成 PDF
    文件的攻击形式,目前 Twitter ID 为 @RabbitinM 的艺术家已因此遭到了损失。
  • 6 月 27 日,加密 KOL ZachXBT 在其社交网站发文表示,Nouns
    官方推特账号(@nounsdao)被盗,黑客借机发布钓鱼网站信息,提醒用户谨慎点击相关链接。

其他安全事件类型

  • 6 月 9 日,去中心化交易平台 ApolloX 发布针对黑客攻击事件的最新声明,「一名黑客利用 ApolloX
    的交易奖励合约中的一个漏洞积累了 255 个签名,然后使用这些签名从提款合约中盗取了 5300 万枚 APX Token。
  • 6 月 16 日,包括 MetaMask 和 Phantom 在内的至少 10 款浏览器插件钱包由于 Javascript
    语言中的某个问题导致可能存在暴露登录信息的可能性,该漏洞会使得助记词在内存中存储一段时间从而被攻击者利用。目前 MetaMask 及
    Phantom 已修复了该漏洞。
  • 6 月 24 日消息,Ribbon Finance 发推表示遭遇 DNS 攻击,某用户损失 16.5 WBTC。

总结

从 Defi 安全形势来看,本月安全事件中闪电贷攻击和预⾔机操控仍然是常客,对于这些方面的安全需要项目方着重注意。同时跨链桥 Harmony Bridge 安全事件也提醒我们要保护好自己的私钥,以及如何针对私钥泄漏做到更好的安全防护。知道创宇区块链安全实验室 在此提醒,对合约安全有必要做到常规审计和复合审计,保障合约免受其他攻击影响,同时高度重视授权问题,对于授权要有明确的时间限制。

从网络钓鱼以及骗局跑日渐频繁来看,用户对于项目的鉴别能力弱,容易被项目方的高回报给骗进去,同样的,钓鱼事件也会利用各种免费馅饼勾引用户进入他们设置的全套。用户在进行投资的过程中也要多学习区块链相关知识,尽可能减少自己的潜在损失。