1. 前言
随着行情逐渐的好转,十月各类攻击事件也突增并且涉及金额相当巨大,令人瞠目结舌。据知道创宇区块链安全实验室 【被黑事件档案库】 数据显示:该月发生的安全事件超 53 起,总损失高达超8.5亿美元。其中 DeFi 安全事件飞速增加,最具代表性的当属 BNB Chain 跨链桥 Token Hub(代币中心)系统合约遭到黑客攻击事件,损失高达 5.6 亿美元。
2. 数据分析
1、占比分析:
通过对本月各类型安全事件的数量和占比分析,可以发现几乎一半攻击都来自 DeFi 攻击,而网络钓鱼也仍然是高事件攻击类型。
2、对比数据分析:
通过对比发现,本月DeFi安全以及跑路骗局事件翻倍增加,而其他安全事件也处于小幅度增长或持平状态。
3、2022年月安全趋势:
本月,安全事件数量总体明显上升,对比上月安全事件数量上升超一倍,可见行情逐渐的回暖同时也带来了极大的安全威胁。
3. DeFi 安全类型事件
10 月 2 日,跨链 DEX 聚合器 Transit Swap 遭到攻击,截至目前,损失估计已超过 2800 万美元。此次攻击,主要是针对那些已经批准 Transit Swap&Cross Approve Proxy 合约的地址。
10 月 7 日,BNB Chain 跨链桥 Token Hub(代币中心)系统合约遭到黑客攻击,被分两次提取 200 万枚 BNB,约合 5.6 亿美元。
10 月 9 日,XaveFinance 项目遭到黑客攻击,导致 RNBW 增发了 1000 倍。
10 月 11 日,QANplatform 桥智能合约遭到攻击,攻击者在以太坊上获利资产约 960,000 美元,在 BNB Chain 上获利资产约 1,140,000 美元。
10 月 11 日,DeFi 协议 TempleDAO 疑似遭到攻击,损失约 234 万美元。
10 月 11 日,Rabby 项目遭到黑客攻击,涉及金额约 20 万美元。
10 月 12 日,基于 Solana 的去中心化金融平台 Mango 遭到潜在 1 亿美元的攻击。
10 月 12 日,ATK 项目遭受闪电贷攻击,攻击者获利 12 万美元。
10 月 14 日,MEV 机器人 (0x00000.....be0d72) 被利用,损失约为 187.75 WETH。
10 月 17 日,MTDAO 项目方的未开源合约遭受闪电贷攻击,损失近 50 万美元。
10 月 18 日,BitKeep Swap 遭到黑客攻击,开发团队已进行紧急处理,黑客的攻击行为已被阻止,攻击集中于 BNB Chain,造成约 100 万美元的损失。
10 月 18 日,PLTD 项目遭到黑客攻击,其交易池中的所有 BUSD 被全部兑空,攻击者共获利 24,497 枚 BUSD。
10 月 19 日,Celo 上的 Moola 协议遭受攻击,黑客获利约 900 万美元。
10 月 20 日,代币 GEO 合约被攻击,请勿在 BNB Chain 上购买 GEO。
10 月 20 日,一项名为「以太坊闹钟」(Ethereum Alarm Clock) 的服务因智能合约漏洞而被利用,目前黑客已经获取了 204 个 ETH,价值约 259800 美元。
10 月 20 日,推特用户披露 BitBTC 和 Optimism 之间的跨链桥存在「虚假铸币」漏洞,现已修复。
10 月 21 日,OlympusDAO 因代码漏洞导致约 29.2 万美元损失。
10 月 23 日,Optimism 生态投资项目 Layer2DAO 遭遇黑客攻击,黑客通过获取了 Layer2DAO 的多重签名权限盗走约 4995 万枚 L2DAO Token 并将部分抛售。损失约为 32 万美元。
10 月 24 日,QuickSwap 因闪电贷攻击损失 22 万美元,将暂时关闭借贷市场。
10 月 25 日,ULME 代币项目遭黑客攻击,损失 50646 BUSD。
10 月 25 日,Melody SGS 项目的 Assets Deposit Upgrade 合约疑似遭受黑客攻击,攻击共造成 2225 枚 BNB 损失。 损失约为 64 万美元。
10 月 27 日,多链钱包 UvToken 遭遇攻击,UVT 代币价格下跌 99%,攻击者已将盗取的约 5011 枚 BNB(价值约 150 万美元)转入Tornado Cash。
10 月 27 日,Team Finance 团队表示,该协议管理资金在由 Uniswap v2 迁移至 v3 的过程中遭到黑客攻击,已确定的损失为 1450 万美元。
10 月 27 日,TrustSwap 项目遭受黑客攻击,影响金额至少约 779 万美元(ETH 880.2554,DAI 6,429,327.65)。
10 月 27 日,项目 Victor the Fortune 遭闪电贷攻击,攻击者已获利约 5.8 万美元。
10 月 28 日,FriesDAO 因 Profanity 漏洞遭到攻击,损失约 230 万美元。
4. 骗局安全类型事件
10 月 2 日,BTU(BTU) 项目出现 88% 以上的跌幅,已确认该项目为 Rug Pull 项目。
10 月 6 日,Easier(EAI) 出现 66% 以上的跌幅,已确认该项目为 Rug Pull 项目。
10 月 7 日,山寨项目 GMX(GMX) 出现 88% 以上的跌幅,已确认该项目为 Rug Pull 项目。
10 月 9 日,Jumpnfinance 项目发生 Rugpull,目前被盗资金中 2100 BNB(581,700 美元)已转入 Tornado.Cash,剩余部分 2,058 BNB(571,128 美元)还存放在攻击者地址。
10 月 16 日,SHOK 项目价格跌幅超过 83%,已被确认为 Rug Pull,该骗局已获利约 7.14 万美元。
10 月 20 日,Mango INU 项目已确认是 Rug Pull,币价跌幅超过 80% ,该骗局已获利约 4.85 万美元。
10 月 20 日,DD 项目价格跌幅超过 87%,已被确认为 Rug Pull,该骗局已获利约 10.9 万美元。
10 月 24 日,Freeway 项目方删除了官方名单并且实施了 Rug Pull,涉及金额或超 1 亿美元。
10 月 24 日,Mango 攻击者通过部署 Rug Pull 项目 Mango Inu 获利 10 万美元。
10 月 28 日,一伪装成 Aptos 官方的空投骗局已获利 114.8 枚 ETH,切勿点击钓鱼网站 airdrop.aptlabs.fi。
5. 网络钓鱼安全类型事件
10 月 9 日,英国知名女子组合辣妹合唱团 (Spice Girls) 成员 Mel B 已向当地警方报警,称其 Whatsapp 遭加密黑客攻击,黑客向 Mel B 的社交网络好友发布了一个慈善比特币捐款项目请求,她的家人和名人朋友收到了大量虚假加密货币捐赠请求。
10 月 8 日,Flaskies 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
10 月 9 日,价值超过 70 万美元(约 540 ETH)的七只「无聊猿」BAYC 已经被盗,分别是 BAYC 4317、755、6567、8761、2951、9611、8274。受害者被诱骗批准了一个恶意合约,导致钱包内 BAYC 被盗。
10 月 15 日,Whisbe Vandalz 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
10 月 16 日,Project Kaito 项目 Discord 服务器遭到攻击。 请社区用户不要点击、铸造或批准任何交易。
10 月 18 日,XANA 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
10 月 22 日,Gate 官方推特账号疑似被黑,并发送钓鱼信息,请用户注意资产安全。
10 月 22 日,Vivity 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
10 月 22 日,Project Shojira 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
10 月 25 日,FTX 和 3Commas API 密钥相关钓鱼事件的攻击者还攻击了 Binance US 和 Bittrex 交易所,分别盗取了 1053 枚 ETH 和 301 枚 ETH。
10 月 26 日,NFT 项目 primordials 的 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
10 月 28 日,NFT 项目 Oxya Origin 的 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。
6. 其他安全事件类型
10 月 11 日,paraswap 部署者私钥疑似泄露,资金在多个链上被盗。
10 月 11 日,TokenPocket 官网遭受异常流量攻击,技术团队正在进行紧急维护。
10 月 17 日,日本多家交易所遭到 Lazarus Group 发起的网络攻击,据信该集团由朝鲜政府直接控制。
10 月 25 日,Web3 娱乐社交应用 Melody 代币地址被黑客盗用,团队暂时关闭提现功能。
10 月 26 日,Spookie Finance 前端疑似遭到攻击,GHOST 币价几乎归零。
7. 总结
从 DeFi 的角度看所涉及的安全事件中,除最常见的闪电贷攻击外,跨链桥攻击也愈发频繁。这里再次提醒大家合约审计的重要性:在相当多的攻击事件中,逻辑问题基本上是影响最为严重的,所以开发人员在开发时,需要对合约功能逻辑进行严谨开发。同时对合约安全有必要做到常规审计和复合审计,保障合约免受其他攻击影响,同时高度重视闪电贷和跨链桥合约。
从网络钓鱼以及骗局跑路角度来看,跑路骗局相比于上月大量增加,这警示着投资者需要对项目及项目方各个方面都进行全面考察,谨慎对待没一个项目,防止无良项目方骗钱跑路;网络钓鱼相比于上月基本持平,增加幅度不大,但事件数量却丝毫不减,可以看出攻击者仍然认为网络钓鱼更容易欺骗到用户从而获利,而普通投资者也确实在这方面容易掉以轻心,知道创宇区块链安全实验室提醒大家不要点击、铸造或授权任何不明交易,交互过程中注意钱包或者浏览器提示信息,涉及Approve授权操作应格外注意。