創宇區塊鏈10月安全月報_PUL

1.前言

隨著行情逐漸的好轉，十月各類攻擊事件也突增并且涉及金額相當巨大，令人瞠目結舌。據知道創宇區塊鏈安全實驗室數據顯示：該月發生的安全事件超53起，總損失高達超8.5億美元。其中DeFi安全事件飛速增加，最具代表性的當屬BNBChain跨鏈橋TokenHub系統合約遭到黑客攻擊事件，損失高達5.6億美元。

2.數據分析

1、占比分析：

通過對本月各類型安全事件的數量和占比分析，可以發現幾乎一半攻擊都來自DeFi攻擊，而網絡釣魚也仍然是高事件攻擊類型。

2、對比數據分析：

通過對比發現，本月DeFi安全以及跑路騙局事件翻倍增加，而其他安全事件也處于小幅度增長或持平狀態。

3、2022年月安全趨勢：

本月，安全事件數量總體明顯上升，對比上月安全事件數量上升超一倍，可見行情逐漸的回暖同時也帶來了極大的安全威脅。

3.DeFi安全類型事件

10月2日，跨鏈DEX聚合器TransitSwap遭到攻擊，截至目前，損失估計已超過2800萬美元。此次攻擊，主要是針對那些已經批準TransitSwap&CrossApproveProxy合約的地址。

孫宇晨：匯豐銀行推出加密貨幣ETF交易服務令人興奮:據官方消息，針對香港匯豐銀行推出比特幣和以太坊ETF交易服務，波場TRON創始人、火必Huobi全球顧問委員會成員孫宇晨發推表示，此舉不僅拓寬了加密貨幣的接受度，同時也增加了當地對數字資產的獲取渠道。孫宇晨稱，“見證傳統銀行如此迅速地發展，令人興奮”。

據悉，匯豐銀行日前在香港推出了首個本地加密貨幣服務，允許客戶在其投資平臺上交易在香港聯合交易所上市的比特幣和以太坊交易所交易基金（ETF）。目前香港上市的加密貨幣 ETF 包括南方東英比特幣期貨ETF、南方東英以太幣期貨ETF、三星比特幣期貨主動型ETF。[2023/6/27 22:03:47]

10月7日，BNBChain跨鏈橋TokenHub系統合約遭到黑客攻擊，被分兩次提取200萬枚BNB，約合5.6億美元。

10月9日，XaveFinance項目遭到黑客攻擊，導致RNBW增發了1000倍。

10月11日，QANplatform橋智能合約遭到攻擊，攻擊者在以太坊上獲利資產約960,000美元，在BNBChain上獲利資產約1,140,000美元。

10月11日，DeFi協議TempleDAO疑似遭到攻擊，損失約234萬美元。

gmoney：積分排行榜的前25名將獲得9dcc的免費帳戶隸屬關系:金色財經報道，據gmoney.9dcc.eth在社交媒體上發文表示，“網絡積分排行榜的前25名將獲得9dcc的免費帳戶隸屬關系。這是最高的認可，獎勵給社區成員。并希望其他社區能夠遵循這一新趨勢。”[2023/4/30 14:35:29]

10月11日，Rabby項目遭到黑客攻擊，涉及金額約20萬美元。

10月12日，基于Solana的去中心化金融平臺Mango遭到潛在1億美元的攻擊。

10月12日，ATK項目遭受閃電貸攻擊，攻擊者獲利12萬美元。

10月14日，MEV機器人(0x00000.....be0d72)被利用，損失約為187.75WETH。

10月17日，MTDAO項目方的未開源合約遭受閃電貸攻擊，損失近50萬美元。

10月18日，BitKeepSwap遭到黑客攻擊，開發團隊已進行緊急處理，黑客的攻擊行為已被阻止，攻擊集中于BNBChain，造成約100萬美元的損失。

10月18日，PLTD項目遭到黑客攻擊，其交易池中的所有BUSD被全部兌空，攻擊者共獲利24,497枚BUSD。

10月19日，Celo上的Moola協議遭受攻擊，黑客獲利約900萬美元。

0x927b開頭地址將313萬枚YGG（價值約116萬美元）轉入幣安:金色財經報道，據推特用戶Bit余燼監測，15分鐘前，0x927b024a75a4f286f63cc38db3fc0d6f2c45feb0多簽地址將313萬美元YGG （116萬美元）轉入幣安。0x927b開頭地址在今天上午從YGG解鎖合約領取了263萬解鎖的 YGG。

5 分鐘前， 0xe7d512a0aed53662f4df92bf1ca8b0a85e851cf3 多簽地址也將解鎖領取的 348萬枚YGG （128萬美元）轉入幣安（與0x927b 地址轉入同一幣安存款地址，應是同一機構所屬）。也就是該機構剛才一共轉入幣安662萬枚YGG（245萬美元）。[2023/2/19 12:15:38]

10月20日，代幣GEO合約被攻擊，請勿在BNBChain上購買GEO。

10月20日，一項名為「以太坊鬧鐘」(EthereumAlarmClock)的服務因智能合約漏洞而被利用，目前黑客已經獲取了204個ETH，價值約259800美元。

10月20日，推特用戶披露BitBTC和Optimism之間的跨鏈橋存在「虛假鑄幣」漏洞，現已修復。

10月21日，OlympusDAO因代碼漏洞導致約29.2萬美元損失。

Ripple Labs首席技術官駁斥ChatGPT的“Ripple陰謀論”:12月6日消息，人工智能 (AI) 工具ChatGPT聲稱，XRP Ledger ( XRPL ) 以某種方式被Ripple秘密控制，雖然人們可以參與治理，但Ripple擁有“最終控制權”。

Ripple Labs首席技術官David Schwartz反駁稱ChatGPT的回答存在漏洞。“如果它的最終論點是Ripple Labs可能有一些秘密的方式來控制XRP Ledger，為什么不認為Ripple Labs可能有一些秘密的方式來控制比特幣區塊鏈呢？”

注：ChatGPT目前已經被證明存在許多自相矛盾的回答。例如，它一方面聲稱XRP Ledger 是一個去中心化分布式賬本，一方面又聲稱其是中心化機構控制的。[2022/12/6 21:26:01]

10月23日，Optimism生態投資項目Layer2DAO遭遇黑客攻擊，黑客通過獲取了Layer2DAO的多重簽名權限盜走約4995萬枚L2DAOToken并將部分拋售。損失約為32萬美元。

10月24日，QuickSwap因閃電貸攻擊損失22萬美元，將暫時關閉借貸市場。

10月25日，ULME代幣項目遭黑客攻擊，損失50646BUSD。

美國眾議院金融服務委員會9月聽證會將討論穩定幣等問題:金色財經消息，近日，美國眾議院金融服務委員會主席Maxine Waters公布了9月的聽證會日程表。其中，美國國家安全、國際發展和貨幣政策小組委員會將于美國東部時間9月20日上午10點召開“替代支付系統及其發展對國家安全的影響”主題聽證會。此外，委員會全體成員將于美國東部時間9月21日上午10點召開名為“讓大型銀行負起責任：對美國最大消費者銀行的監管”主題聽證會。這兩場聽證會都涉及金融科技領域的討論，因為替代支付是金融科技行業的一個領先領域，大型銀行正受到數字銀行和新銀行（提供銀行服務的非特許金融科技公司）越來越多的挑戰。同樣值得注意的是，穩定幣也可能會出現在會議日程上，這意味著該立法應該很快就會被委員會通過并提交給眾議院。（未央網）[2022/9/8 13:15:40]

10月25日，MelodySGS項目的AssetsDepositUpgrade合約疑似遭受黑客攻擊，攻擊共造成2225枚BNB損失。損失約為64萬美元。

10月27日，多鏈錢包UvToken遭遇攻擊，UVT代幣價格下跌99%，攻擊者已將盜取的約5011枚BNB轉入TornadoCash。

10月27日，TeamFinance團隊表示，該協議管理資金在由Uniswapv2遷移至v3的過程中遭到黑客攻擊，已確定的損失為1450萬美元。

10月27日，TrustSwap項目遭受黑客攻擊，影響金額至少約779萬美元。

10月27日，項目VictortheFortune遭閃電貸攻擊，攻擊者已獲利約5.8萬美元。

10月28日，FriesDAO因Profanity漏洞遭到攻擊，損失約230萬美元。

4.騙局安全類型事件

10月2日，BTU(BTU)項目出現88%以上的跌幅，已確認該項目為RugPull項目。

10月6日，Easier(EAI)出現66%以上的跌幅，已確認該項目為RugPull項目。

10月7日，山寨項目GMX(GMX)出現88%以上的跌幅，已確認該項目為RugPull項目。

10月9日，Jumpnfinance項目發生Rugpull，目前被盜資金中2100BNB已轉入Tornado.Cash，剩余部分2,058BNB還存放在攻擊者地址。

10月16日，SHOK項目價格跌幅超過83%，已被確認為RugPull，該騙局已獲利約7.14萬美元。

10月20日，MangoINU項目已確認是RugPull，幣價跌幅超過80%，該騙局已獲利約4.85萬美元。

10月20日，DD項目價格跌幅超過87%，已被確認為RugPull，該騙局已獲利約10.9萬美元。

10月24日，Freeway項目方刪除了官方名單并且實施了RugPull，涉及金額或超1億美元。

10月24日，Mango攻擊者通過部署RugPull項目MangoInu獲利10萬美元。

10月28日，一偽裝成Aptos官方的空投騙局已獲利114.8枚ETH，切勿點擊釣魚網站airdrop.aptlabs.fi。

5.網絡釣魚安全類型事件

10月9日，英國知名女子組合辣妹合唱團(SpiceGirls)成員MelB已向當地報警，稱其Whatsapp遭加密黑客攻擊，黑客向MelB的社交網絡好友發布了一個慈善比特幣捐款項目請求，她的家人和名人朋友收到了大量虛假加密貨幣捐贈請求。

10月8日，Flaskies項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

10月9日，價值超過70萬美元的七只「無聊猿」BAYC已經被盜，分別是BAYC4317、755、6567、8761、2951、9611、8274。受害者被誘騙批準了一個惡意合約，導致錢包內BAYC被盜。

10月15日，WhisbeVandalz項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

10月16日，ProjectKaito項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

10月18日，XANA項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

10月22日，Gate官方推特賬號疑似被黑，并發送釣魚信息，請用戶注意資產安全。

10月22日，Vivity項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

10月22日，ProjectShojira項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

10月25日，FTX和3CommasAPI密鑰相關釣魚事件的攻擊者還攻擊了BinanceUS和Bittrex交易所，分別盜取了1053枚ETH和301枚ETH。

10月26日，NFT項目primordials的Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

10月28日，NFT項目OxyaOrigin的Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

6.其他安全事件類型

10月11日，paraswap部署者私鑰疑似泄露，資金在多個鏈上被盜。

10月11日，TokenPocket官網遭受異常流量攻擊，技術團隊正在進行緊急維護。

10月17日，日本多家交易所遭到LazarusGroup發起的網絡攻擊，據信該集團由朝鮮政府直接控制。

10月25日，Web3娛樂社交應用Melody代幣地址被黑客盜用，團隊暫時關閉提現功能。

10月26日，SpookieFinance前端疑似遭到攻擊，GHOST幣價幾乎歸零。

7.總結

從DeFi的角度看所涉及的安全事件中，除最常見的閃電貸攻擊外，跨鏈橋攻擊也愈發頻繁。這里再次提醒大家合約審計的重要性：在相當多的攻擊事件中，邏輯問題基本上是影響最為嚴重的，所以開發人員在開發時，需要對合約功能邏輯進行嚴謹開發。同時對合約安全有必要做到常規審計和復合審計，保障合約免受其他攻擊影響，同時高度重視閃電貸和跨鏈橋合約。

從網絡釣魚以及騙局跑路角度來看，跑路騙局相比于上月大量增加，這警示著投資者需要對項目及項目方各個方面都進行全面考察，謹慎對待沒一個項目，防止無良項目方騙錢跑路；網絡釣魚相比于上月基本持平，增加幅度不大，但事件數量卻絲毫不減，可以看出攻擊者仍然認為網絡釣魚更容易欺騙到用戶從而獲利，而普通投資者也確實在這方面容易掉以輕心，知道創宇區塊鏈安全實驗室提醒大家不要點擊、鑄造或授權任何不明交易，交互過程中注意錢包或者瀏覽器提示信息，涉及Approve授權操作應格外注意。

Tags：BNBRUGPULCHABNB是什么銀行pulltherug.financePULSEMECHA價格

SHIB最新價格