創宇區塊鏈9月安全月報-ODAILY_TER

前言

9月結束后我們迎來了十一小長假。長假過后10月工作日第一天，知道創宇區塊鏈安全實驗室為大家整理了9月安全攻擊事件。

9月，攻擊事件雖然大量減少，但所涉及金額卻并未減少。據知道創宇區塊鏈安全實驗室數據顯示：該月發生的安全事件超26起，其中釣魚攻擊事件增加迅猛，本月造成損失最為嚴重的當為加密做市商Wintermute因私鑰泄露事件，損失高達1.6億美元。本月安全事件造成的損失總金額共計約167,400,000美元。

數據分析

1、占比分析：

分析發現，網絡釣魚安全事件在9月占比最多，高達44%，請大家警惕釣魚注意保護個人資產。值得高興的是，9月跑路騙局大幅度減少僅占比8%。

2、對比數據分析：

Bitfinex將于5月30日下架11個交易對:5月26日，據官方消息，Bitfinex將下架11個交易對以鞏固和改善流動性，優化用戶交易體驗。

以下11個交易對將于2023年5月30日上午10:00(UTC)停止交易：

以下代幣與Tether USD的交易對：Boba Network (BOBA/USDt), Spookyswap (BOO/USDt), Dora Factory (DORA/USDt), Terra Luna Classic (LUNA/USDt), Polkacity (POLC/USDt) and Onyxcoin (XCN/USDt)

以下代幣與Bitcoin的交易對：Bitcoin Gold (BTG/BTC), Internet Computer (ICP/BTC), Kyber Network Crystal (KNC/BTC) and Zilliqa (ZIL/BTC)

以下代幣與Ether的交易對：Cosmos (ATOM/ETH)

客戶在2023年5月30日之前取消以上交易對的任何未完成訂單，屆時系統將自動取消所有未完成訂單。[2023/5/26 9:43:40]

通過對比我們可以發現，本月安全攻擊事件除了網絡釣魚類，其他類型數量均為減少，尤其是跑路騙局由上月17起減少至2起。

前NBA球員Baron Davis：名人將更多地關注“實用”代幣:金色財經報道，前NBA球員Baron Davis在周四表示，名人現在可能會專注于可以給用戶帶來真正效用和回報的項目。他說“展望未來，你會看到更多來自名人和運動員的創意項目。”Davis曾在NBA的七支球隊效力13年，他正在轉向區塊鏈技術，因為他創建了自己的基于NFT的平臺SLiC Images，該平臺將為體育攝影師管理數字版權和數據庫。該項目仍在開發中，將在NFT平臺Mintbase上運行。

Davis說，通過使用區塊鏈技術，該平臺正在“構建一個核心數據庫和一個發布后端，使這些攝影師能夠在社交媒體網站和雜志上授權他們的照片”。Davis說，缺乏教育和對細節的關注可能是一些名人過去未能在加密貨幣領域找到自己位置的部分原因。去年10月，真人秀明星Kim Kardashian同意向美國證券交易委員會（SEC）支付126萬美元，以解決她未能披露為推廣\"Ethereum Max的EMAX代幣而收到的報酬的指控。[2023/3/3 12:39:48]

3、2022年月安全趨勢：

Raydium：已暫停Serum做市且不與Serum分享流動性:11月14日消息，Solana生態去中心化交易所Raydium在推特上表示，為限制對第三方協議的風險，Raydium已暫停Serum做市且不與Serum分享流動性。在Raydium流動性池中的交易不受影響，且將于11月21日暫停在Serum上下訂單的功能。[2022/11/14 13:02:34]

本月安全數量大幅度下降，成為下半年以來最少攻擊事件月，應該與以太坊POS共識機制合并有較大的關系，后續如何發展我們將持續關注。

以下是知道創宇區塊鏈安全實驗室對9月各類型安全資訊的總結，并就其暴露出的問題進行探討。

DeFi安全類型事件

9月2日，隱私項目ShadowFi遭遇黑客攻擊，其官方TokenSDF下跌98.5%。攻擊者利用SDF的漏洞允許任何人燒毀Token，獲利約1078枚BNB，目前被盜資金已被轉入TornadoCash。

巴西啟動區塊鏈網絡以更好地追蹤公共支出:金色財經報道，5月30日，由于Uniam會計法院（TCU）和巴西開發銀行（BNDES）之間的合作協議，巴西新的政府區塊鏈網絡上線。巴西區塊鏈網絡（RBB）仍在開發中，但最初將用于多個公共機構，旨在改善為公民提供的服務并提供更大的公共支出可追溯性。UniamTCU總裁AnaArraes表示，使用區塊鏈技術的想法是在2019年下半年提出的。此外，她解釋說，這個話題在政府討論中非常相關，因為它在審計為公共支出提供的數據。BNDES信息技術領域經理Jo?oAlexandreLopes表示，一旦項目正式確定，他們將敞開大門，讓所有“合作伙伴都可以享受這個共同的基礎設施”，從區塊鏈技術中互惠互利，分享這樣的“公共利益”。（cryptopotato）[2022/5/31 3:52:12]

9月4日，RugPullFinder最新推出的NFT項目「BadGuys」在免費鑄造期間遭到漏洞利用攻擊，兩名用戶利用其NFT合約漏洞鑄造了450枚NFT，而不是按照最初設定的每個錢包僅能分配1枚NFT。這次漏洞是因為「mint」函數缺少所需的安全檢查導致，該團隊已在社交媒體上做出道歉并稱將支付2.5ETH賞金來回購多鑄造的NFT。

Celsius CEO將公司以及CEL代幣近期表現不佳歸咎于惡意行為:金色財經消息，Celsius用戶對該公司近期不穩定的業績非常不滿，特別是CEL代幣在最近市場動蕩期間的表現。但該公司首席執行官Alex Mashinsky直接將責任歸咎于惡意行為，稱這些人正試圖搞垮該公司。

Mashinsky表示，CEL的價格表現源于更廣泛的加密市場低迷。然而，他也指責一個身份不明的實體意圖摧毀Celsius。他補充說，如果公司被認為有過錯，Celsius將調查所有投訴并退還款項。（Crypto Slate）[2022/5/20 3:28:57]

9月4日，BNBChain上聚合DAO社區DAOOfficials疑似被攻擊，此外鏈上數據顯示攻擊者或獲利逾50萬美元。

9月7日，攻擊者通過AVAX閃電貸攻擊獲利約37萬USDC。攻擊者可能影響的協議包括NereusFinance、TraderJoe、CurveFinance。

9月8日，BNBChian鏈上NewFreeDao項目遭到閃電貸攻擊，NFD價格下跌超99%，損失4500枚BNB

9月18日，攻擊者首先在ETH主網上通過omniBridge轉移WETH，隨后將相同的交易內容在ETHW鏈上進行了重放，獲取了等額的ETHW。目前攻擊者已經轉移了741ETHW到交易所。Beosin安全團隊建議如果項目方合約里面預設了chainID，請先手動將chainId更新，即使項目方決定不支持ETHW，但是由于無法徹底隔絕通過跨鏈橋之間的資產流動，建議都在ETHW鏈上更新。

9月20日，加密做市商Wintermute因私鑰泄露被黑客攻擊損失1.6億美元。

騙局安全類型事件

9月16日，GigaChadsDAO項目疑似出現Rugpull，CHAO代幣價格暴跌80%。合約部署者鑄造了大量代幣然后將其出售。

9月26日，在BNBChain上發現搶先交易機器人騙局，其中騙子教用戶如何開發「搶先交易」機器人(Front-runbot)來賺錢，但它提供的合約有一個后門，部署完成后，受害者的所有代幣都會轉移到攻擊者的地址。

網絡釣魚安全類型事件

9月6日，ArtsDAO項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

9月6日，Dictators項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

9月8日，元宇宙平臺TheSandbox項目Instagram賬號被入侵，thesandboxesgame.com是釣魚網站。請用戶不要點擊釣魚網站。

9月12日，AlphaCentauriKid官方Discord服務器收到釣魚郵件攻擊，請不要點擊，鑄造或批準任何交易。

9月14日，BAYC#8941疑似被盜，NFT被轉入0x18e541...D0F4地址，被標記為釣魚地址。

9月14日，ID為@FreddyAdu的經過認證的推特賬號遭到黑客攻擊，攻擊者將其偽造為LooksRare推特并發布虛假空投網站信息，目前仍未恢復。

9月18日，AlterEgoHunters官方表示其Discord遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

9月18日，Dystians的Discord遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

9月18日，NFT項目pump?kin發推稱，Discord服務器和Discord管理賬戶遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

9月20日，印度加密交易平臺CoinDCXTwitter帳號疑似被入侵，并發布欺詐性鏈接。

9月22日，SuspiciousUnicornSociety項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

9月28日，SOLDecoder項目Discord服務器遭攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

其他安全事件類型

9月2日，去中心化流動性協議KyberNetwork在推特上披露，該協議因前端漏洞利用導致其用戶損失26.5萬美元資金。該漏洞源于KyberSwap網站中的惡意GoogleTagManager代碼，攻擊者的目標是鯨魚錢包，通過插入虛假批準獲得了轉移用戶資金的權限。

9月9日，零知識證明研發機構StarkWare發推稱，其擴容引擎StarkExV4.5被VladBochok和IhorBarenblat指出存在漏洞，在運營者控制的條件下，該漏洞可使用戶能夠從一個凍結系統的Vault中雙花。不過，目前該漏洞已被修復。

9月18日，通過Profanity創建的某些以太坊地址存在嚴重漏洞，黑客利用Profanity漏洞獲利330萬美元。

9月20日，加密貨幣投資服務銀行Revolut已經證實，它受到了一次高度針對性的網絡攻擊，黑客可以訪問數萬名客戶的個人詳細信息。

9月26日，0x9731F開頭地址從使用Profanity工具生成的以太坊靚號地址中竊取95萬美元的加密貨幣，攻擊者已將將732枚以太坊轉移至混幣器。

總結

從Defi的角度來看，所涉及的安全事件中，閃電貸攻擊和重入攻擊仍舊最為常見，所以說合約的審計是非常有比較的。而加密做市商Wintermute安全事件提醒我們私鑰的重要性，一定要保護好自己的私鑰，所以在合約本身的安全之外，我們也需要關注合規性安全。知道創宇區塊鏈安全實驗室在此提醒，對合約安全有必要做到常規審計和復合審計，保障合約免受其他攻擊影響，同時高度重視函數權限問題，以防止高權限函數被任意調用。

從網絡釣魚以及騙局跑路角度來看，跑路騙局在本月有所下降，但仍然不可放松警惕，需要時時刻刻對項目及項目方進行細致的考察；而網絡釣魚逐月增加，可以看出攻擊者認為網絡釣魚更容易欺騙到用戶從而獲利，作為用戶要多加小心，不可隨意信任他人而點擊相關內容。

山河遠闊，國泰民安，祝福雖晚但心意不晚，祖國生日快樂！

Tags：ETH區塊鏈ISCTERIETH價格區塊鏈運用的技術中不包括哪一項DisCas VisionFireStarter

幣安app下載