SAFEIS数据显示,1月安全事件数量环比有所回落,降幅约20%,安全态势有所改观,其中,国内涉数字货币案件大幅回落;局事件和攻击事件和上个月基本保持一致,前者仍占据最大比重,占比高达50%;危机&暴雷事件延续上个月良好态势。
具体来看,1月份安全事件总计发生32起,其中,国内涉虚拟货币案件1起,局事件16起,攻击事件15起,危机&暴雷事件0起。
1月份,攻击事件受影响的资产总金额约1382万美元,环比下降约63%;局事件损失总金额超过895万美元,环比降幅约51%。
总体而言,安全形势稳中向好。
安全团队:发现Circom验证库漏洞CVE-2023-33252:金色财经报道,Beosin 发现Circom 验证库漏洞CVE-2023-33252,提醒zk项目方注意相关风险。Circom是基于Rust开发的零知识证明电路编译器,该团队同时开发了SnarkJS库用于实现证明系统,包括:可信设置、零知识证明的生成和验证等,支持Groth16、PLONK、FFLONK算法。
此前,Beosin 安全研究人员在?SnarkJS 0.6.11及之前的版本的库中发现了一个严重漏洞,当该库在验证证明时未对参数进行完整的合法性检查,使得攻击者可以伪造出多个证明通过校验,实现双花攻击。Beosin在提了这个漏洞以后,第一时间联系项目方并协助修复,目前该漏洞已修复完成。Beosin提醒所有使用了SnarkJS库的zk项目方可将SnarkJS更新到 0.7.0版本!以确保安全性。
同时针对此漏洞,Beosin安全团队提醒zk项目方,在进行proof验证时,应充分考虑算法设计在实际实现时,由于代码语言属性导致的安全风险。目前Beosin已将漏洞提交 CVE漏洞披露平台(Common Vulnerabilities and Exposures)并获取认可。[2023/5/25 10:39:47]
国内涉数字货币案件
灰度发布数字资产透明度和安全声明:12月14日消息,灰度在其官网发布声明称,由于近期各类风险事件频发,投资者对其在灰度的加密投资资产的安全性和透明度愈发关注。灰度表示,其数字资产不受近期风险事件影响,产品安全有保障。
其确认,截至2022年11月18日:灰度数字资产产品的持仓安全有保障。余额反映在历史公开文件中,并已由第三方审计师评估;灰度的每个数字资产产品都设置为独立的法人实体;灰度数字资产产品均由CoinbaseCustody作为托管人持有;灰度禁止借出、借入或以其他方式抵押其所有的数字资产。(grayscale.com)[2022/12/14 21:43:49]
1月7日,大亚湾区法院审结国内首起虚拟货币“杀洋盘”案件,目前被告人许某、李某以罪分别被判有期徒刑3年至3年1个月不等刑罚。
安全团队:算法稳定币项目Beanstalk Farms遭黑客攻击,损失超过8000万美元:4月17日消息,据派盾推特消息,算法稳定币项目Beanstalk Farms遭黑客攻击,损失超过8000万美元,包括 24830 ETH 和 3600 万 BEAN。
另据Etherscan浏览器显示,标记为“Beanstalk Flashloan Exploiter”的地址已经通过Tornado Cash将上千个 ETH 转入混币池。[2022/4/18 14:30:08]
局事件
1月1日,BNBChain加密项目Recycle-X发生Rugpull,其代币RCX币价最大跌幅高达95%,者获利约753枚BNB;
1月3日,Polygon加密项目PiNetwork发生Rugpull,其代币PI币价最大跌幅高达100%,者获利约6万美元;
美国国土安全部就其区块链分析软件与 Coinbase 达成协议:金色财经报道,美国国土安全部已与 Coinbase 签署协议,使用其区块链追踪软件 Coinbase Analytics。目前的交易价值是为一年455000美元,但它可以达到140万美元,总金额在2024年,根据政府的跟踪USAspending.gov。根据跟踪器Tech Inquiry 的数据,如果延长到 2024 年,这将是 Coinbase Analytics 最大的政府合同。之前的协议的最高限额在 29,000 美元至 695,000 美元之间。
至于最新的交易,国土安全部的移民和海关执法机构特别授予了合同。该机构没有详细说明交易条款,但表示 Coinbase 的软件将有助于支持国土安全部的网络犯罪中心。(the block)[2021/9/20 23:38:57]
1月4日,BNBChain加密项目FUT发生Rugpull,其代币FUT币价最大跌幅超过99%,者获利超250万美元;
金色沙龙 | 犇睿资本创始人:加强网络安全的管理控制,设计多层安全防护系统以减轻风险:今日举行的金色沙龙圆桌讨论中,针对“交易所如何设计合理的风控机制、设计原则是什么”的问题,犇睿资本创始人褚康表示,交易所衍生品产品面临的风险主要包括,操作风险(如法律合规、税务等我们常见的风险类型)、流动性风险、商誉风险和安全风险。这意味着交易所设计风控机制时应当:一是确保合规性审查,保证产品和交易的设计符合交易所所在地、交易发生地的监管需求。二是杠杆交易的合理设计,不能脱离合理的金融工具范畴,成为金融违规的工具。第三则要提供流动性的保障,以免受流动性不足的影响而拖累交易所声誉。最后,加强网络安全的管理控制,设计多层安全防护系统以减轻风险。[2020/2/26]
1月4日,BNBChain加密项目Philcoin发生Rugpull,其代币PHL币价最大跌幅超过73%,者获利约10万美元;
1月5日,BNBChain加密项目SSPF发生Rugpull,其代币SSPF币价最大跌幅超过90%,者获利约13万美元;
1月6日,MutantApePlanet系列NFT开发者AurelienMichel因涉嫌290万美元被捕;
1月7日,BNBChain加密项目Sandys发生Rugpull,其代币SDS币价最大跌幅超过92%,者获利约14万美元;
1月10日,BNBChain加密项目BRA发生Rugpull,其代币BRA币价最大跌幅超过96%,者获利约18万美元;
1月12日,加密项目CirculateBUSD发生Rugpull,者获利约200万美元;
1月15日,BNBChain加密项目LLT发生Rugpull,其代币LLT币价最大跌幅超过95%,者获利约28万美元;
1月15日,BNBChain加密项目ETXInfinity发生Rugpull,其代币ETX币价最大跌幅超过91%,者获利约6万美元;
1月16日,BNBChain加密项目ChinaRabbit发生Rugpull,其代币ChinaRabbit币价最大跌幅超过95%,者获利约9万美元;
1月18日,BNBChain加密项目ETHERPOS发生Rugpull,其代币ETPOS币价跌幅高达100%,者获利约7万美元;
1月20日,BNBChain加密项目FristFreeFinance发生Rugpull,其代币FFF币价最大跌幅超过98%,者获利约6万美元;
1月21日,DogeChain加密项目DoglandsDC发生Rugpull,者移除了流动性并抛售代币,获利约20万美元;
1月29日,BNBChain加密项目HappyNewYear发生Rugpull,其代币HNY币价最大跌幅超过82%,者移除了流动性并抛售代币。
攻击事件
1月3日,公链GDSChain遭受黑客攻击,损失约4万美元;
1月4日,出现多起针对CryptoPunk、BAYC等蓝筹NFT的黑客攻击事件,多名加密用户被盗取的NFT价值超600ETH;
1月4日,GMX一巨鲸用户遭受黑客攻击,黑客共盗取82519枚GMX;
1月9日,RTFKT首席运营官NikhilGopalani遭受网络钓鱼攻击,被盗的NFT价值超过30万美元;
1月12日,加密项目ROEFinance遭受闪电贷攻击,攻击者获利约8万美元;
1月13日,HECO生态跨链借贷平台LendHub遭受黑客攻击,损失近600万美元,1100枚ETH已转移到混币器TornadoCash;
1月16日,Polygon上跨链货币市场解决方案MidasCapital遭受黑客攻击,损失约66万美元;
1月17日,BNBChain加密项目OMNIRealEstateToken(ORT)项?因合约漏洞遭受黑客攻击,攻击者获利超236枚BNB;
1月18日,UpSwingFinance项目遭到闪电贷攻击,共计损失约22枚ETH;
1月19日,ThoreumFinance项目因合约漏洞而遭受黑客攻击,攻击者获利约58万美元;
1月19日,DeFi基础设施2PiNetwork遭受闪电贷攻击,损失约5万美元;
1月19日,加密项目MEVBot遭受闪电贷攻击,攻击者获利约11万美元;
1月26日,Moonbirds创始人KevinRose个人钱包遭受黑客攻击,损失或超100万美元;
1月27日,NFT系列Azuki官方推特账号遭到黑客攻击,攻击者短时间获利就超过75万美元;
1月28日,PayPal通报其遭受黑客攻击事件,约3.5万名用户资料或已泄露。
危机&暴雷事件
无
结语
1月份,安全事件数量和涉事金额双双下降,安全形势显著好转。危机&暴雷事件本月未再出现,反映FTX崩盘事件对加密行业的冲击极为有限,结构性、系统性风险基本解除;但值得注意的是,攻击事件中闪电贷攻击事件飙升,呈现集中爆发的态势。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。