又到了每月安全盘点时刻!据成都链安【鹰眼 – 区块链安全态势感知平台】安全舆情监控数据显示:2022 年 9 月,各类安全事件数量和涉及金额较 8 月有所下降。9 月发生较典型安全事件超「20」起,其中攻击类安全事件损失总金额约 1 亿 6432 万美元。
9 月的 Wintermute 被盗 1.6 亿美元事件为近期 Web3 领域损失最大的一次。此外,9 月国内侦破了多起加密货币犯罪案件,涉案金额巨大。本月还出现了多起借助热点事件进行诈骗的安全事件,如 Elizabeth 代币、以太坊合并、羊了个羊仿盘游戏等,建议用户提高警惕,拒绝盲目跟风,避免上当受骗。
DeFi 方面
共发生「10」起典型安全事件
No.1 9 月 2 日,交易所 Kyber Network 遭遇前端攻击,损失约 26.5 万美元。
No.2 9 月 2 日,ShadowFi 遭遇攻击导致 SDF 代币暴跌,攻击者获利约 30 万美元。
No.3 9 月 5 日,BNBChain 上 DAO Officials 项目遭受闪电贷攻击,攻击者获利约 58 万美元。
No.4 9 月 7 日,Avalanche 链上项目 Nereus Finance 遭受到到闪电贷攻击,攻击者获利约 38 万美元。
No.5 9 月 8 日,New Free Dao 项目遭遇闪电贷攻击,攻击者获利 125 万美元。
No.6 9 月 10 日,BNBChain 上 DPC 代币合约受黑客攻击,损失约 10 万美元。
No.7 9 月 18 日,在以太坊合并并分叉出 ETHW 后,Gnosis Omni Bridge 跨链桥项目因存在合约层面的重放漏洞,导致攻击者获利约 6000 美元。
No.8 9 月 20 日,加密做市商 Wintermute 因使用 Profanity 工具生成靓号地址导致私钥泄露,损失达 1.6 亿美元。
No.9 9 月 27 日,某个 MEV 机器人遭到攻击,损失约 140 万美元。
No.10 9 月 28 日,BXH 在上次攻击后更新的合约再次遭受闪电贷攻击,损失约 4 万美元。
诈骗跑路 / 加密骗局方面
共发生「9」起典型安全事件
No.1 9 月 9 日,Elizabeth 代币借伊丽莎白女王事件热度进行发币,并在合约中设置后门,有诈骗风险。
No.2 9 月 15 日,以太坊合并临近,YouTube 出现较多虚假诈骗直播。欺诈者将加密知名人士历史视频伪造为官方直播,并附上诈骗链接。
No.3 Lazarus Group 朝鲜黑客通过加密货币交易所提供虚假招聘信息来吸引 macOS 用户。
No.4 青海海西州大柴旦行委公安局近期成功侦破打掉一涉案资金流高达 5000 余万元的「跑分」犯罪团伙。
No.5 吉林省白山市破获一起以虚拟货币为幌子的电信诈骗案件,扣押现金 5000 万元。
No.6 福安警方破获一起数字人民币非法经营案,涉案金额达超 1 亿元。
No.7 龙岩警方破获一起近 2 亿元的涉数字人民币非法经营案,犯罪团伙为境外赌博、电诈等犯罪活动提供非法资金结算业务。
No.8 衡阳县公安局称破获「9.15」特大洗钱案,犯罪团伙涉嫌利用虚拟币交易洗钱金额高达 400 亿元,目前已串并涉电诈案件 300 余起。
No.9 9 月 29 日,羊了个羊 BNB Chain 仿盘游戏 SheepASheep 官网和推特现已无法访问,疑似 RugPull。羊了个羊运营商表示从未开发或授权任何区块链游戏。
其它方面
共发生「1」起典型安全事件
No.1 dydx 交易所的 SDK 使用了一个恶意第三方组件,可能导致用户凭据泄露。
鉴于当前区块链安全领域的新形势,成都链安在此总结:
从总体上看,2022 年 9 月各类区块链安全事件数量较 8 月份有所下降。8 月攻击类安全事件损失总金额约 1 亿 6432 万美元,较 8 月下降约 22%。
本月因私钥泄露导致的损失巨大,项目方需要提高安全意识,做好钱包、链下系统服务、智能合约等相关模块的风险评估和安全审计,谨慎使用第三方的工具组件或服务。此外本月依旧有 50% 的攻击源于合约漏洞利用,建议项目方在项目上线前寻找专业的安全公司进行合约审计。
(声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议)
