SCO:创宇区块链9月安全月报-ODAILY_CORD

前言

9月结束后我们迎来了十一小长假。长假过后10月工作日第一天，知道创宇区块链安全实验室为大家整理了9月安全攻击事件。

9月，攻击事件虽然大量减少，但所涉及金额却并未减少。据知道创宇区块链安全实验室数据显示：该月发生的安全事件超26起，其中钓鱼攻击事件增加迅猛，本月造成损失最为严重的当为加密做市商Wintermute因私钥泄露事件，损失高达1.6亿美元。本月安全事件造成的损失总金额共计约167,400,000美元。

数据分析

1、占比分析：

分析发现，网络钓鱼安全事件在9月占比最多，高达44%，请大家警惕钓鱼注意保护个人资产。值得高兴的是，9月跑路局大幅度减少仅占比8%。

2、对比数据分析：

孙宇晨：汇丰银行推出加密货币ETF交易服务令人兴奋:据官方消息，针对香港汇丰银行推出比特币和以太坊ETF交易服务，波场TRON创始人、火必Huobi全球顾问委员会成员孙宇晨发推表示，此举不仅拓宽了加密货币的接受度，同时也增加了当地对数字资产的获取渠道。孙宇晨称，“见证传统银行如此迅速地发展，令人兴奋”。

据悉，汇丰银行日前在香港推出了首个本地加密货币服务，允许客户在其投资平台上交易在香港联合交易所上市的比特币和以太坊交易所交易基金（ETF）。目前香港上市的加密货币 ETF 包括南方东英比特币期货ETF、南方东英以太币期货ETF、三星比特币期货主动型ETF。[2023/6/27 22:03:47]

通过对比我们可以发现，本月安全攻击事件除了网络钓鱼类，其他类型数量均为减少，尤其是跑路局由上月17起减少至2起。

3、2022年月安全趋势：

隐私网络Iron Fish激励测试网Phase 3启动:1月26日消息，Layer1隐私网络IronFish激励测试网Phase 3启动，用户可以通过与其交互赚取积分，IronFish将在主网启动时将积分转化为Token。[2023/1/26 11:30:25]

本月安全数量大幅度下降，成为下半年以来最少攻击事件月，应该与以太坊POS共识机制合并有较大的关系，后续如何发展我们将持续关注。

以下是知道创宇区块链安全实验室对9月各类型安全资讯的总结，并就其暴露出的问题进行探讨。

DeFi安全类型事件

9月2日，隐私项目ShadowFi遭遇黑客攻击，其官方TokenSDF下跌98.5%。攻击者利用SDF的漏洞允许任何人烧毁Token，获利约1078枚BNB，目前被盗资金已被转入TornadoCash。

9月4日，RugPullFinder最新推出的NFT项目「BadGuys」在免费铸造期间遭到漏洞利用攻击，两名用户利用其NFT合约漏洞铸造了450枚NFT，而不是按照最初设定的每个钱包仅能分配1枚NFT。这次漏洞是因为「mint」函数缺少所需的安全检查导致，该团队已在社交媒体上做出道歉并称将支付2.5ETH赏金来回购多铸造的NFT。

报告：2022年美SEC共进行30起加密执法行动，较21年增加50%:1月18日消息，根据咨询公司Cornerstone Research的一份新报告，美国证券交易委员会（SEC）去年提起的加密相关的执法行动数量创下新高，达30起，比2021年增长了50%。

该公司发现，最常见的指控是欺诈和未注册的证券。在这30起执法行动中，70%指控欺诈，73%指控未注册的证券发行，50%指控两者。此外，报告显示，在2013年至2022年的127次执法行动中，SEC在56次行动中得到了外部机构和组织的协助。（TheBlock）[2023/1/18 11:18:22]

9月4日，BNBChain上聚合DAO社区DAOOfficials疑似被攻击，此外链上数据显示攻击者或获利逾50万美元。

9月7日，攻击者通过AVAX闪电贷攻击获利约37万USDC。攻击者可能影响的协议包括NereusFinance、TraderJoe、CurveFinance。

9月8日，BNBChian链上NewFreeDao项目遭到闪电贷攻击，NFD价格下跌超99%，损失4500枚BNB

Ape质押功能已上线，将于12月12日开放奖励领取:金色财经报道，负责创建 ApeCoin DAO 质押系统的 Horizen Labs 官方宣布，ApeStake.io 已正式上线并开启 APE 存款，将于 12 月 12 日支持领取奖励。[2022/12/6 21:24:33]

9月18日，攻击者首先在ETH主网上通过omniBridge转移WETH，随后将相同的交易内容在ETHW链上进行了重放，获取了等额的ETHW。目前攻击者已经转移了741ETHW到交易所。Beosin安全团队建议如果项目方合约里面预设了chainID，请先手动将chainId更新，即使项目方决定不支持ETHW，但是由于无法彻底隔绝通过跨链桥之间的资产流动，建议都在ETHW链上更新。

9月20日，加密做市商Wintermute因私钥泄露被黑客攻击损失1.6亿美元。

局安全类型事件

9月16日，GigaChadsDAO项目疑似出现Rugpull，CHAO代币价格暴跌80%。合约部署者铸造了大量代币然后将其出售。

深圳发布首个数字人民币预付式消费平台:金色财经消息，深圳发布首个数字人民币教培机构预付式平台，解决传统预付式消费存在终止消费退款难、停业关门追偿难、消费维权举证难等痛点。

据悉，消费者在平台使用数字人民币缴费后，预付资金将被“冻结”在数字人民币钱包中，可按照上课次数等不同核销方式、通过数字人民币底层技术实现预付资金“一笔一清、一课一释”。如因机构问题无法履约，当消费者申请预付费退款时，平台可以实现未核销金额的快速退款，有利于保护消费者合法权益和财产安全。（中国网）[2022/5/16 3:19:45]

9月26日，在BNBChain上发现抢先交易机器人局，其中子教用户如何开发「抢先交易」机器人(Front-runbot)来赚钱，但它提供的合约有一个后门，部署完成后，受害者的所有代币都会转移到攻击者的地址。

网络钓鱼安全类型事件

9月6日，ArtsDAO项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9月6日，Dictators项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9月8日，元宇宙平台TheSandbox项目Instagram账号被入侵，thesandboxesgame.com是钓鱼网站。请用户不要点击钓鱼网站。

9月12日，AlphaCentauriKid官方Discord服务器收到钓鱼邮件攻击，请不要点击，铸造或批准任何交易。

9月14日，BAYC#8941疑似被盗，NFT被转入0x18e541...D0F4地址，被标记为钓鱼地址。

9月14日，ID为@FreddyAdu的经过认证的推特账号遭到黑客攻击，攻击者将其伪造为LooksRare推特并发布虚假空投网站信息，目前仍未恢复。

9月18日，AlterEgoHunters官方表示其Discord遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9月18日，Dystians的Discord遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9月18日，NFT项目pump?kin发推称，Discord服务器和Discord管理账户遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9月20日，印度加密交易平台CoinDCXTwitter帐号疑似被入侵，并发布欺诈性链接。

9月22日，SuspiciousUnicornSociety项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9月28日，SOLDecoder项目Discord服务器遭攻击。请社区用户不要点击、铸造或批准任何交易。

其他安全事件类型

9月2日，去中心化流动性协议KyberNetwork在推特上披露，该协议因前端漏洞利用导致其用户损失26.5万美元资金。该漏洞源于KyberSwap网站中的恶意GoogleTagManager代码，攻击者的目标是鲸鱼钱包，通过插入虚假批准获得了转移用户资金的权限。

9月9日，零知识证明研发机构StarkWare发推称，其扩容引擎StarkExV4.5被VladBochok和IhorBarenblat指出存在漏洞，在运营者控制的条件下，该漏洞可使用户能够从一个冻结系统的Vault中双花。不过，目前该漏洞已被修复。

9月18日，通过Profanity创建的某些以太坊地址存在严重漏洞，黑客利用Profanity漏洞获利330万美元。

9月20日，加密货币投资服务银行Revolut已经证实，它受到了一次高度针对性的网络攻击，黑客可以访问数万名客户的个人详细信息。

9月26日，0x9731F开头地址从使用Profanity工具生成的以太坊靓号地址中窃取95万美元的加密货币，攻击者已将将732枚以太坊转移至混币器。

总结

从Defi的角度来看，所涉及的安全事件中，闪电贷攻击和重入攻击仍旧最为常见，所以说合约的审计是非常有比较的。而加密做市商Wintermute安全事件提醒我们私钥的重要性，一定要保护好自己的私钥，所以在合约本身的安全之外，我们也需要关注合规性安全。知道创宇区块链安全实验室在此提醒，对合约安全有必要做到常规审计和复合审计，保障合约免受其他攻击影响，同时高度重视函数权限问题，以防止高权限函数被任意调用。

从网络钓鱼以及局跑路角度来看，跑路局在本月有所下降，但仍然不可放松警惕，需要时时刻刻对项目及项目方进行细致的考察；而网络钓鱼逐月增加，可以看出攻击者认为网络钓鱼更容易到用户从而获利，作为用户要多加小心，不可随意信任他人而点击相关内容。

山河远阔，国泰民安，祝福虽晚但心意不晚，祖国生日快乐！

标签：SCOSCORDISCCORDSCO币SCORCHERDisciplinaCORD价格

币赢热门资讯