项目的 Assets Deposit Upgrade 合约疑似遭受黑客攻击,攻击共造成 2225 枚 BNB 损失。 损失约为 64 万美元。 10 月 27 日,多链钱包 UvToken 遭遇攻击,UVT 代币价格下跌 99%,攻击者已将盗取的约 5011 枚 BNB(价值约 150 万美元)转入Tornado Cash。 10 月 27 日,Team Finance 团队表示,该协议管理资金在由 Uniswap v2 迁移至 v3 的过程中遭到黑客攻击,已确定的损失为 1450 万美元。 10 月 27 日,TrustSwap 项目遭受黑客攻击,影响金额至少约 779 万美元(ETH 880.2554,DAI 6,429,327.65)。 10 月 27 日,项目 Victor the Fortune 遭闪电贷攻击,攻击者已获利约 5.8 万美元。 10 月 28 日,FriesDAO 因 Profanity 漏洞遭到攻击,损失约 230 万美元。 4. 骗局安全类型事件 10 月 2 日,BTU(BTU) 项目出现 88% 以上的跌幅,已确认该项目为 Rug Pull 项目。 10 月 6 日,Easier(EAI) 出现 66% 以上的跌幅,已确认该项目为 Rug Pull 项目。 10 月 7 日,山寨项目 GMX(GMX) 出现 88% 以上的跌幅,已确认该项目为 Rug Pull 项目。 10 月 9 日,Jumpnfinance 项目发生 Rugpull,目前被盗资金中 2100 BNB(581,700 美元)已转入 Tornado.Cash,剩余部分 2,058 BNB(571,128 美元)还存放在攻击者地址。 10 月 16 日,SHOK 项目价格跌幅超过 83%,已被确认为 Rug Pull,该骗局已获利约 7.14 万美元。 10 月 20 日,Mango INU 项目已确认是 Rug Pull,币价跌幅超过 80% ,该骗局已获利约 4.85 万美元。 10 月 20 日,DD 项目价格跌幅超过 87%,已被确认为 Rug Pull,该骗局已获利约 10.9 万美元。 10 月 24 日,Freeway 项目方删除了官方名单并且实施了 Rug Pull,涉及金额或超 1 亿美元。 10 月 24 日,Mango 攻击者通过部署 Rug Pull 项目 Mango Inu 获利 10 万美元。 10 月 28 日,一伪装成 Aptos 官方的空投骗局已获利 114.8 枚 ETH,切勿点击钓鱼网站 airdrop.aptlabs.fi。 5. 网络钓鱼安全类型事件 10 月 9 日,英国知名女子组合辣妹合唱团 (Spice Girls) 成员 Mel B 已向当地警方报警,称其 Whatsapp 遭加密黑客攻击,黑客向 Mel B 的社交网络好友发布了一个慈善比特币捐款项目请求,她的家人和名人朋友收到了大量虚假加密货币捐赠请求。 10 月 8 日,Flaskies 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。 10 月 9 日,价值超过 70 万美元(约 540 ETH)的七只「无聊猿」BAYC 已经被盗,分别是 BAYC 4317、755、6567、8761、2951、9611、8274。受害者被诱骗批准了一个恶意合约,导致钱包内 BAYC 被盗。 10 月 15 日,Whisbe Vandalz 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。 10 月 16 日,Project Kaito 项目 Discord 服务器遭到攻击。 请社区用户不要点击、铸造或批准任何交易。 10 月 18 日,XANA 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。 10 月 22 日,Gate 官方推特账号疑似被黑,并发送钓鱼信息,请用户注意资产安全。 10 月 22 日,Vivity 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。 10 月 22 日,Project Shojira 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。 10 月 25 日,FTX 和 3Commas API 密钥相关钓鱼事件的攻击者还攻击了 Binance US 和 Bittrex 交易所,分别盗取了 1053 枚 ETH 和 301 枚 ETH。 10 月 26 日,NFT 项目 primordials 的 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。 10 月 28 日,NFT 项目 Oxya Origin 的 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。 6. 其他安全事件类型 10 月 11 日,paraswap 部署者私钥疑似泄露,资金在多个链上被盗。 10 月 11 日,TokenPocket 官网遭受异常流量攻击,技术团队正在进行紧急维护。 10 月 17 日,日本多家交易所遭到 Lazarus Group 发起的网络攻击,据信该集团由朝鲜政府直接控制。 10 月 25 日,Web3 娱乐社交应用 Melody 代币地址被黑客盗用,团队暂时关闭提现功能。 10 月 26 日,Spookie Finance 前端疑似遭到攻击,GHOST 币价几乎归零。 7. 总结 从 DeFi 的角度看所涉及的安全事件中,除最常见的闪电贷攻击外,跨链桥攻击也愈发频繁。这里再次提醒大家合约审计的重要性:在相当多的攻击事件中,逻辑问题基本上是影响最为严重的,所以开发人员在开发时,需要对合约功能逻辑进行严谨开发。同时对合约安全有必要做到常规审计和复合审计,保障合约免受其他攻击影响,同时高度重视闪电贷和跨链桥合约。 从网络钓鱼以及骗局跑路角度来看,跑路骗局相比于上月大量增加,这警示着投资者需要对项目及项目方各个方面都进行全面考察,谨慎对待没一个项目,防止无良项目方骗钱跑路;网络钓鱼相比于上月基本持平,增加幅度不大,但事件数量却丝毫不减,可以看出攻击者仍然认为网络钓鱼更容易欺骗到用户从而获利,而普通投资者也确实在这方面容易掉以轻心,知道创宇区块链安全实验室提醒大家不要点击、铸造或授权任何不明交易,交互过程中注意钱包或者浏览器提示信息,涉及Approve授权操作应格外注意。 来源:金色财经lg...