又到了每月安全盘点时刻!据成都链安安全舆情监控数据显示:2021年12月,各类安全事件仍然时有发生,本月发生较典型安全事件超『22』起。从总体上看,12月区块链安全事件较11月份相差不大,整体安全事件发生数量仍然处于高风险水平。
DeFi方面
共发生『8』起典型安全事件
No.1自动做市商协议MonoX疑遭闪电贷攻击,攻击者获利约3100万美元。
成都链安:fortress被盗金额已被转换成1048eth并转入了Tornado Cash:5月9日消息,据成都链安安全舆情监控数据显示,fortress 遭受预言机价格操控攻击,被盗金额已被转换成1048eth并转入了Tornado Cash。经成都链安技术团队分析,本次攻击原因是由于fortress项目的预言机FortressPriceOracle的数据源Chain合约的价格提交函数submit中,将价格提交者的权限验证代码注释了,导致任何地址都可以提交价格数据。攻击者利用这个漏洞,提交一个超大的FST价格,导致抵押品价值计算被操控,进而借贷出了项目中所有的代币。
攻击交易:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
攻击者地址:0xa6af2872176320015f8ddb2ba013b38cb35d22ad
攻击者合约:0xcd337b920678cf35143322ab31ab8977c3463a45[2022/5/9 3:00:21]
No.2DAOtool项目0xHabitat遭到黑客攻击,攻击者将资金转移至Tornado交易平台。
成都链安:Visor Finance遭受攻击事件分析:据成都链安监测显示,Visor Finance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析,本次攻击利用了Visor Finance项目抵押挖矿合约RewardsHypervisor的两个漏洞:
1.call调用未对目标合约进行限制,攻击者可以调用任意合约,并接管了抵押挖矿合约的执行流程;<- 主要漏洞,造成本次攻击的根本原因。2.函数未做防重入攻击;<- 次要漏洞,导致了抵押凭证数量计算错误,不是本次攻击的主要利用点,不过也可凭此漏洞单独发起攻击。针对这两个问题,成都链安在此建议项目方应做好下面两方面:1.进行外部合约调用时,建议增加白名单,禁止任意的合约调用,特别是能够控制合约执行流程的关键合约调用;2.函数做好防重入,推荐使用openzeppelin的ReentrancyGuard合约。[2021/12/22 7:55:18]
No.3去中心化组织BadgerDAO遭遇黑客攻击,导致用户资产在未经授权的情况下被转移。
成都链安:8ight Finance项目疑似私钥泄露,资金总损失接近100万美元:据成都链安链必应-区块链安全态势感知平台舆情监测显示,8ight Finance项目方疑似私钥泄露导致被攻击,资金已从tornado转移出去,资金总损失:868587 DAI,123621 1USDT,10843 EIGHT,80 ONE.[2021/12/8 12:58:37]
No.412月9日消息称,NFT项目Merge出现合约漏洞并正在抢修。
No.512月21日消息称,有一个来自Bent部署地址的漏洞,它在20天前一次未经验证的更新中添加了cvxcrv和mim的余额。
成都链安CMO:交易所需建设一套完整的资金内控系统:3月11日晚8点,成都链安CMO Adolfo Gao做客“抹茶周三见”时发表观点:交易所需建设一套完整的资金内控系统,并对每笔资金的出入都应该做好审核和记录。此外他还指出,关键私钥和转账授权的防护也是重中之重。成都链安科技是最早专门从事区块链安全的公司,由前海母基金,联想创投,复星国际,分布式资本等知名企业和创投战略投资,电子科技大学杨霞教授,郭文生教授,高子扬博士联合创立。“抹茶周三见”是MXC抹茶推出的一档AMA活动,不定期邀请重量级嘉宾在周三进行分享。[2020/3/11]
No.6流媒体平台Twitch联合创始人JustinKan的FractalNFT项目在启动前被劫持,154,000美元被盗。
No.7黑客利用可重入漏洞耗尽了UniswapV3流动性管理协议VisorFinance中880万枚VISR代币,总损失约为820万美元。
No.812月25日消息,Terra链上合成资产协议Mirror遭受了严重的治理攻击,攻击者企图从协议中盗取价值3800万美元的MIR代币。
跑路/加密局方面
共发生『5』起典型安全事件
No.111月30日至12月1日,31位以发行数字货币的方式进行集资的犯罪嫌疑人被法院审理,其集资金额共计3180余万元。
No.212月3日消息,越南捣毁了一个使用加密货币进行交易的大型非法在线团伙,59人被拘留。
No.3某受害用户遭受钓鱼攻击,导致其在OpenSea挂单售卖的NFT被恶意的以远低于挂单价匹配买。
No.4据悉,部分APP打着“元宇宙区块链游戏”“云挖矿”等高科技幌子钱财的“套路”在12月有所上升。
No.512月28日消息,美国纽约日前又发生与加密货币投资局相关的案件,至少两名华人中招,且损失金额巨大。
勒索软件/挖矿木马方面
共发生『2』起典型安全事件
No.1惠普服务器很可能在12月9日至17日之间受到黑客的控制,这些黑客可能赚了大约11万美元。
No.2正在传播的"蜘蛛侠:无路可走"的副本已与恶意软件打包在一起,这些恶意软件会使用户的计算机被用来挖掘"隐私币"门罗币。
其它方面
共发生『7』起典型安全事件
No.1加密钱包提供商ZenGo的研究部门ZenGoX发现了一个双花漏洞,该漏洞可能会耗尽DeSo储备GringottsBank中的资金。
No.212月4日消息,乌克兰发现一个非法加密矿场,盗窃了大约350万格里夫纳的电力。
No.3加密货币交易平台BitMart热钱包疑似被盗,损失或超1亿美元。
No.48ightFinance项目方疑似私钥泄露导致被攻击,总损失:868587DAI,1236211USDT,10843EIGHT,80ONE。
No.5截止12月6日,陕西省共侦办窃电案件52起,没收用于窃电的比特币矿机2000余台,挽回1180万千瓦时电量损失。
No.612月14日消息,NatWestBank因违反反法被罚款3.485亿美元。
No.7据消息称,有人利用漏洞绕过2件销售限制在单次交易中购买了330个adidasNFT。
注意
鉴于当前区块链安全领域的新形势,『成都链安』在此总结:
本月安全事件依旧集中于DeFi与加密局两个领域,并且DeFi领域安全事件较11月份有所增加。成都链安再次建议大家一定要做好相应的安全防护建设。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。