2021年就要畫下句號,復盤這一年區塊鏈領域發生的安全事件,涉及金額和影響最大的當屬8月份跨鏈互操作協議PolyNetwork遭黑客攻擊,被盜資金超6.1億美元,這也是DeFi史上涉及金額最高的一次攻擊事件。
而發生安全事件次數較多、金額較大的月份為5月、8月和10月、11月、12月。
Q4也成為今年安全事件高發季度。據不完全統計,第4季度發生安全事件超40起,損失金額超7億美元,涉及的領域和類型多樣。Odaily星球日報特整理了Q4各月的重要安全事件,并篩出幾起損失金額較大的,進一步展開介紹,以向項目方及參與者揭示相應風險。
回顧九起損失金額較大的加密領域安全事件
數據:過去一個月所有交易所持有的比特幣減少近10萬枚:金色財經報道,根據CryptoQuant的數據,過去一個月所有交易所持有的比特幣減少了近100,000枚。與此同時,比特幣礦工錢包中的BTC儲備在同一時期增加了約2,000枚。這兩個指標都表明,隨著越來越多的比特幣被存放在冷錢包中,流動性比特幣供應正在萎縮。Sei Labs聯合創始人Jeff Feng表示,假設需求穩定,供應減少可能會造成供需失衡,從而推高比特幣價格。[2023/7/25 15:56:08]
12月5日,BitMart創始人兼CEOSheldonXia發推表示,發現了兩個熱錢包相關的大規模安全漏洞,黑客提取價值約1.5億美元的資產。6日,SheldonXia表示這個安全漏洞主要是由于兩個熱錢包被盜私鑰造成。BitMart的其他資產是安全的,沒有受到損害。BitMart將使用自己的資金來彌補這一事件并補償受影響的用戶。
美聯儲梅斯特:尚未決定是否需要在7月加息:金色財經報道,美聯儲梅斯特表示,尚未決定是否需要在7月加息,需要更多數據;我的利率預測與經濟預測的中位數相當或略高;當前通脹仍是美國經濟面臨的主要問題;過早地宣布戰勝通貨膨脹是要付出代價的;本可在6月份加息,但理解美聯儲為何沒有采取行動。[2023/7/11 10:46:50]
10月27日,DeFi借貸協議CreamFinance再次遭受攻擊,損失超過1.3億美元。被盜的資金主要是CreamLP代幣和其他ERC-20代幣。PeckShield發現了一筆用于實施這一攻擊行為的大額閃電貸。
10月30日,去中心化交易協議BXH在BSC鏈遭到攻擊,被盜超1.3億美元。初始黑客獲利地址將4000ETH從BSC鏈轉移到ETH鏈,接著將300BTCB兌換為renBTC跨鏈到地址。
BLUR過去一周交易56268筆,活躍地址達24696個:2月28日消息,數據顯示,NFT市場Blur代幣BLUR過去一周交易筆數為56,268筆,新增地址數9,933 ,活躍地址數為24,696個。當前持幣地址數達到44,904個。[2023/2/28 12:33:29]
12月3日,去中心化組織BadgerDAO確認遭受攻擊,損失達1.203億美元,包括約2,100枚BTC和151枚ETH。BadgerDAO表示,12月2日發生的網絡釣魚事件是由運行在Badger云網絡上的應用平臺Cloudflare的“惡意注入片段”引起的。黑客使用在Badger工程師不知情或未授權的情況下創建的受損API密鑰定期注入影響其部分客戶的惡意代碼。
Harmony Bridge攻擊者今天轉移約150萬美元資金:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,2023年2月14日,Harmony Bridge攻擊者正在持續轉移被盜資產,今日共轉移了997余個ETH,價值約150萬美元。
此前消息,2022年6月24日,Harmony開發的以太坊與Harmony間的資產跨鏈橋Horizon遭到攻擊,損失金額約為1億美元。[2023/2/14 12:06:15]
11月26日,Compound遭預言機攻擊,9000萬美元資產遭清算。此次Compound巨額清算是由于預言機信息源CoinbasePro的DAI價格劇烈波動導致的,操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊。
12月12日,頂峰AscendEX的內部安全審計報告發現,部分ERC-20、BSC和Polygon代幣被異常轉移出交易所熱錢包,AscendEX冷錢包不受此次事件影響。安全公司PeckShieldInc.發推稱,據估計,頂峰AscendEX的損失總計達7770萬美元。
11月30日,自動做市商協議MonoX確認遭閃電貸攻擊,攻擊者耗盡Polygon和Ethereum上的流動性池,獲利約3100萬美元。
11月11日,USDM團隊利用Convex對Curve發起治理攻擊,損失或超過3000萬美元。
10月15日,被動收益協議IndexedFinance遭到攻擊,受影響的資金池包括DEFI5和CC10。官方在Discord中表示,本次攻擊造成的損失約1600萬美元。
事件復盤后的經驗總結
從遭攻擊的項目所屬賽道來看,多為中心化交易所、DEX等DeFi協議,原因主要有錢包漏洞、閃電貸攻擊、網絡釣魚事件等。
作為項目方,除加強安全方面的預算和投入、接受多方審計外,設置風控或災備方案,一定程度上也能起到“增信”的作用。
作為用戶,首先最好大致了解一些市場基本參數的平均水平,對吸引力太過驚人的項目多些警惕和復核。如果不具備代碼能力,建議通篇閱讀由頭部安全公司出具的對應項目審計報告,往往都會提示具體的潛在風險點,并在項目方和其審計機構兩處交叉核驗報告的真實性和時效性,在此也分享一個小工具:DeFiYield出的DeFi項目審計數據庫,可按項目名、幣名、地址或審計機構搜索查詢審計報告。
再有就是保持一些互聯網時代也通用的防范意識,謹防假網站釣魚、電信詐騙、跑路風險等。對所參與項目的最新進展多加關注,日常刷刷官方通告渠道或社區,一旦有技術升級、產品更新、服務暫停、漏洞預警或事故披露,也能第一時間獲悉并行動起來。
最后,一旦所參與的項目不幸中招,不要輕信非官方人員的指導,慌亂操作;當然,如果能在篩選項目的一步建立經驗的話,即便出現安全事故,更靠譜的項目方往往也會快速給出合理的賠償方案。
推薦閱讀
Chainlink-《項目開發者必讀:十大DeFi安全問題解決方案》
成都鏈安-《解析當DeFi淪為黑客的「提款機」,我們如何保證它的安全性?》
Odaily星球日報-《對話頭部安全公司,為什么受傷的總是跨鏈橋?》
Odaily星球日報-《DeFi之暗面——HackFi》
Polkadot生態研究院出品,必屬精品 背景 正如新聞概述的,12月5日上午,Subsocial以鎖定100,420KSM贏得Kusama的第16次插槽Auction.
1900/1/1 0:00:00Gate.ioiscurrentlyholdingaLGCYtradingcompetition.Wehaveapoolof$19.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線UNO,並開啟UNO/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2021年12月17日18:00; UNO ZT創新板即將上線BabyDog:.
1900/1/1 0:00:00Gate.ioHODL&Earnrecentlyunveiledanewproduct“EarnEveryday”tofacilitateevenmorechancestoearnbyh.
1900/1/1 0:00:00項目名稱:Maple(MPL)項目概況:Maple是以太坊鏈上的去中心化借貸平臺。幣種MPL領域DeFi總發行量10,000,000MPL當前流通量3,087,040MPL區塊瀏覽器https:.
1900/1/1 0:00:00投資概要 基本概況 項目介紹 基本信息 項目詳情 團隊 產品詳解 NFT屬性 NFT種類與價值 相關玩法 經濟模型 代幣供給 代幣需求 市場分析 鏈游市場現狀 核心關鍵 潛在風險 游戲.
1900/1/1 0:00:00