知道創宇區塊鏈安全實驗室｜十一月典型安全事件盤點-ODAILY_NAN

前言

11月以來知道創宇區塊鏈安全實驗室檢測到的攻擊事件相較于10月更加多樣化。這主要得益于區塊鏈威脅情報中心功能的正式開放，其大大提高了我們檢測攻擊的能力。

十一月安全事件盤點

以下是11月發生的各領域的安全事件：

11月3日，以太坊上的DeFi協議VesperFiFianance遭遇預言機操控攻擊，損失超300萬美元。

聲音 | Circle CEO：不知道什么時候會重新安排午餐時間 但很期待與巴菲特討論加密貨幣:據彭博社消息，近日，Circle首席執行官Jeremy Allaire在采訪時再次談及孫宇晨與巴菲特的午餐一事。他表示，“我不知道什么時候會重新安排時間，但我想說的是，我當然非常期待與巴菲特討論加密貨幣。如果你目睹了互聯網在過去20年的崛起，你已經看到了互聯網基礎設施如何改變了媒體、通訊、零售、商業和信息產業……我認為這與我們現在看到的加密貨幣和區塊鏈的誕生是非常相似的。在未來20年里，區塊鏈和加密貨幣對全球經濟體系的重要性將不亞于互聯網對通信的變革。因此，我想和巴菲特談談這種轉變是什么樣子的，以及從投資的角度來看，這種轉變帶來了哪些機遇。”[2019/9/14]

11月6日，DeFi借貸協議bZx在Polygon和BSC鏈上的私鑰泄露事件已導致超5500萬美元資產被盜。

美國中情局知道誰是中本聰？ CIA未否認:據bitcoinist報道，美國中央情報局（CIA）可能擁有比特幣創造者中本聰（Satoshi Nakamoto）的檔案。也有跡象表明， 美國國家安全局（NSA）也可能知道中本聰的真實身份。Motherboard撰稿人Daniel Oberhaus向CIA提交了信息自由法（FOIA）要求，但CIA拒絕了他的要求，稱他們既不能確認也不否認存在與比特幣的假名創造者中本聰有關的文件。[2018/6/16]

11月7日，跨鏈協議SynapseProtocol推出的資產跨鏈橋被攻擊，攻擊者設法降低了nUSDMetapool虛擬價格并從中獲利約800萬美元，但是該攻擊被開發人員檢測到從而暫停了礦池，最終回滾了交易避免了直接損失。

亞馬遜語音助手Alexa：所有人都知道真正的比特幣只有Bitcoin:比特幣現金粉絲們都宣稱比特現金才是真正的比特幣。Twitter用戶Kunani分享了一段視頻，他向亞馬遜語音助手Alexa詢問了比特幣是什么;而Alexa的回應可能會對BCH的支持者造成傷害。“Alexa,什么是比特幣”Alexa回答稱，“比特幣現金是比特幣的分叉。它的支持者試圖讓人們相信比特幣現金是真正的比特幣，但每個人都知道真正的比特幣是Bitcoin。[2018/4/20]

11月11日，Curve.Finance遭Mochi穩定幣USDM團隊「治理攻擊」，損失超3000萬美元。

11月13日，BSC上的DeFi協議welnance.finance遭遇閃電貸價格操控攻擊，損失5,994BUSD、0.7ETH、0.06BTC。

11月21日，以太坊上的DeFi協議Formation.Fi遭遇黑客攻擊，損失近10萬美元，該攻擊產生主要原因在于項目方設計函數swapIn時低估了fee對totalTokens的影響，且忽視了不同代幣間小數點精確度的影響。

11月23日，BSC上借貸協議PloutozFinance遭到攻擊，黑客獲利36.5萬美元，該攻擊與11月13日welnance.finance遭遇的攻擊類似都是通過閃電貸的巨額資金抬高抵押物的價格進行超額借貸完成攻擊。

11月27日，BSC上借貸協議LeverNetwork遭到攻擊，損失超65萬美元，該攻擊產生主要原因在于repay函數缺少對調用者的債務檢測，攻擊者的借貸可由不同角色歸還，從而破壞了金庫平衡導致套利空間的產生。

11月27日，基于UNIswapV3的DeFi協議VisorFinance遭受基于預言機的價格操縱攻擊，該漏洞屬于典型的DEX現貨價格信任問題，在被攻擊中錯誤的獲取到由黑客控制的價格。

總結

11月發生的安全事件類型多元化，不僅有傳統的預言機安全問題、私鑰泄露問題甚至還有著項目方反擼礦工的操作，這昭示著我們對于安全這塊不能輕易放松。

知道創宇區塊鏈安全實驗室在次提醒，近期各鏈上攻擊情況任然處于多發，合約安全需要得到最高的重視，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：比特幣NANANCNCE比特幣背后是誰控制的Liqwid FinanceLokum FinanceMoar Finance

SOL