NFT:创宇区块链三月安全月报

前言

三月以来发生的安全事件数量之多、涉及到的金额之高令人沉默，据知道创宇区块链安全实验室数据显示：该月发生的安全事件超34起，其中跨链桥Ronin攻击事件涉及金额更是足以媲美去年跨链桥ploynetwork攻击事件，损失超6.2亿美元，而本月安全事件涉及到的总金额更是高达7亿美元。

以下是知道创宇区块链安全实验室对三月各类型安全资讯的总结，并就其暴露出的问题进行探讨。

Defi安全类型事件

3月5日，BaconProtocol遭受黑客攻击损失约?958,166美元，本次攻击利用重入漏洞，并凭借闪电贷扩大收益额。

3月16日，xDaiChain上Agave合约因为一个非信任的外部调用遭受攻击，黑客获得约raluni，获利逾?170万美元，约1/3已流入Tornado。

3月16日，xDaiChain上Agave合约因为一个非信任的外部调用遭受攻击，黑客获得约?540万美元的利润。

tayvano：Curve Finance攻击事件可能造成约7000万美元损失:金色财经报道，tayvano在社交媒体上称，受Curve Finance稳定币池alETH/msETH/pETH黑客攻击事件影响，Alchemix、JPEGd、MetronomeDAO、deBridge和Ellipsis目前已累计损失约为7000万美元。其中： Alchemix（非白帽行动）损失2000万美元，1300万美元ETH+700 万美元ERC-20。CRV/ETH 交换池损失1800万美元。JPEGd损失1200万美元。Alchemix（白帽行动）损失1200万美元。Metronome损失700万美元，160万美元+CRV池530万美元。Ellipsis损失7万美元。[2023/7/31 16:08:29]

3月16日，多链衍生品协议DeusFinance被监控到在Fantom网络上被黑客攻击，黑客共计盗走20万枚DAI和1,101.8枚ETH，总价值约?300万美元。

美SEC官网已删除其前官员、Ripple诉讼案关键人物Hinman的简历:6月6日消息，美国证券交易委员会 (SEC) 已悄然删除其前财务部主任William Hinman的个人简历。虽然在SEC网站上，Hinman的个人简介页面曾经详细介绍了他的职业经历，但现在仅有一行介绍，即Hinman从2017年5月到2020年12月担任SEC财务部主任。而SEC官网对其他人员的介绍并未改动。

William Hinman已成为美国SEC与Ripple Labs诉讼案的关键因素。Hinman曾在2018年金融科技周会议上发言时表示，出售ETH并不构成“证券交易”。此前5月17日消息，法官裁定SEC不能封存Hinman相关文件。[2023/6/6 21:18:24]

3月21日，BNBChain和以太坊上的UmbrellaNetwork由于合约存在整型溢出问题导致奖励池被抽取，黑客获利?70万美元。

3月22日，跨链DEX聚合协议?Li.Finance?发推表示，攻击者利用了Li.Finance的智能合约，约?60万美元从29个钱包中被盗，错误已修复并进行重新部署。

美CFTC专员：加密监管不应由单一机构完成，需要与SEC紧密合作:11月29日消息，美国商品期货交易委员会（CFTC）专员SummerK.Mersinger表示，“（加密货币监管）不仅仅是一个单一机构的解决方案，我们可能需要与美国证券交易委员会（SEC）更紧密地合作。”这种合作可能意味着CFTC也将受到更多的国会监督，目前众议院和参议院的农业委员会已经监督CFTC，众议院金融服务委员会和参议院银行委员会则负责监督SEC。

她表示，CFTC也应该借此机会开始与州级监管官员合作，鉴于监管问题的实际范围也可能与全球监管机构进行对话。（CoinDesk）[2022/11/29 21:08:39]

3月24日，Solana上的稳定币项目Cashio遭遇黑客攻击。黑客利用了协议无限铸造漏洞，并通过绕过一个未被验证的账号，非法增发了20亿个CASH代币，获利总价值约

3月24日，Solana上的稳定币项目Cashio遭遇黑客攻击。黑客利用了协议无限铸造漏洞，并通过绕过一个未被验证的账号，非法增发了20亿个CASH代币，获利总价值约?5000万美金。

bitFlyer：将密切关注每一个以太坊工作量证明硬分叉:金色财经报道，日本加密货币交易所 bitFlyer 官方表示，他们将“密切关注”从工作量证明 ( PoW ) 过渡到权益证明 ( PoS ) 而可能发生的任何一个以太坊 (ETH)硬分叉，以及每一个继续依赖 PoW 的分叉 Token。据悉，在 BitFlyer 最新发表博客文章中并未明确说明是否支持哪一个分叉 Token，但表示将“视情况而定”。同时该交易所还补充说，在处理任何新 Token 上架之前都需要得到日本虚拟加密资产交易所协会（JVCEA）的批准。（cryptonews）[2022/8/24 12:44:34]

3月29日，AxieInfinity侧链Ronin发文表示验证者节点遭入侵，17.36万枚ETH和2550万USDC被盗，总金额约合?6.2亿美元。

3月30日，去中心化期权协议Acutus的ACOWriter合约存在外部调用风险，攻击者可以通过此漏洞进行任意外部调用。目前攻击者利用该手法已经盗取了部分授权过该合约的用户的资产约?72.6万美金。

以太坊网络Gas费已降至4 gwei:8月6日消息，据Etherscan数据显示，当前以太坊网络Gas费已降至4 gwei。[2022/8/6 12:06:32]

3月31日，BasketDAO遭到攻击，导致用户损失约?120万美元。目前发现大部分被盗资金都被存入了TornadoCash。

3月31日，去中心化借贷网络OlaFinance遭遇黑客攻击，损失约?470万美元。

3月31日，Fuse链上借贷协议VoltageFinance借贷平台被攻击，损失约为?400万美元。

3月31日，CastleFinance开发者发现Solana生态DeFi借贷协议JetProtocol存在重大漏洞，该漏洞可以使得攻击者从任意账户中提取代币。

局安全类型事件

3月10日，$DAOKing-LuckyDAO被监测到为项目，其管理员已将505枚BNB存入Tornado.cash，并事先进行了虚假的智能合约升级。

3月15日，NFT项目NFTflow发生RugPull，目前其官方社交账号已注销。

3月22日，NFT项目WW3Apes发生RugPull，目前已删除其社交媒体账号。其另一关联项目GodZape也发生了RugPull，损失约20ETH，并已在数天前删除其社交媒体账号。

3月28日，DeFi项目BuccaneerFinance发生RugPull，目前其官方社交账号已注销，者已将841枚BNB转移至TornadoCash混币。

3月29日，BNBDEFI发生RugPull，DEFI代币短时下跌68%。目前该项目已关闭其社交媒体群组，损失达255枚BNB。

3月31日，@BinanceNFT_BFT系伪造的BinanceNFTTwitter账户，正在推广“貔貅盘”局。BinanceNFT官方Twitter账户，请认准@TheBinanceNFT。

网络钓鱼安全类型事件

3月7日，Solana上出现多起授权钓鱼事件。攻击者批量给用户空投NFT，用户通过空投NFT描述内容里的链接进入目标网站，连接钱包，点击批准后该钱包里的所有原生资产都会被转走。

3月15日，者入侵NFT项目WizardPass社群，被盗NFT包括BAYC、Doodles等。

3月18日，NFT项目RareBears官方Discord遭遇攻击，提醒用户不要点击任何钓鱼链接或随意连接钱包，注意资产安全。?

3月24日，高达元素NFT项目MekaVerse发推表示，官方Discord被黑，社区其他用户反映，疑似有数十万机器人的钱包已经被盗，似乎没有真实用户影响。

3月28日，有攻击者冒充Cryptovoxel官方进行钓鱼攻击，诱导用户进行授权，偷走了多个NFT然后在opensea上出售。

3月29日，智能元宇宙项目AletheaAI发推称其Discord被黑客攻击，目前正在评估情况。

3月29日，TheDronesNFT项目discord遭受黑客攻击，黑客在discord中发布了一个伪造的mint链接，项目方发布公告愿意赔偿投资者因mint带来的损失。

3月31日，由于涉及被黑推特账户的广泛网络钓鱼攻击，至少有35个NFT被盗。包括BoredApe、MutantApe以及BoredApeKennelClubNFT，价值达90多万美元。

其他安全事件类型

3月4日，在TreasureDAO代码漏洞导致其NFT市场100多个NFT被盗数小时后，开发人员证实黑客已开始归还被盗的“SmolBrains”和其他NFT。

3月23日，主要加密投资公司DeFianceCapital的创始人“Arthur_0x”的一个热钱包遭到黑客攻击，损失超过160万美元的非同质化代币(NFT)和加密货币。

3月25日，LidoDAO已销毁DeFianceCapital创始人价值1330万美元被盗LidoToken，并将它们铸造到由DeFianceCapital控制的新钱包中。

3月28日，谷歌研究人员发现有2个朝鲜黑客组织利用了Chrome浏览器中的一个远程代码执行0day漏洞超过1月，用于攻击新闻媒体、IT公司、加密货币和金融科技机构。

3月31日，Tezos开发团队NomadicLabs今日凌晨在推特上表示，已发布TezosOctez套件的新版本v12.1，修复了Ithaca2Baker软件中可能导致崩溃的漏洞。

总结

从Defi安全形势来看，重入漏洞和外部危险调用成为常客，Solana生态也被黑客觊觎，当然重中之重依然是跨链桥安全问题。知道创宇区块链安全实验室?在此提醒，对合约安全有必要做到常规审计和复合审计，保障合约免受其他攻击影响，同时高度重视授权问题，对于授权要有明确的时间限制。

从网络钓鱼以及局跑路频发来看，黑客和子们对于区块链用户更加青睐，对此用户需要提示自身安全意识，做到拒绝陌生链接以及不合理请求，不可以盲目信服他人，这样才能保障自身财产安全。

标签：NFTNCEANCNANNFTS币Nimbus Governance Tokentranchess币Kani.finance

OKB热门资讯