NCE:知道创宇区块链安全实验室|十一月典型安全事件盘点-ODAILY_Carve Finance

前言

11月以来知道创宇区块链安全实验室检测到的攻击事件相较于10月更加多样化。这主要得益于区块链威胁情报中心功能的正式开放,其大大提高了我们检测攻击的能力。

十一月安全事件盘点

以下是11月发生的各领域的安全事件:

11月3日,以太坊上的DeFi协议VesperFiFianance遭遇预言机操控攻击,损失超300万美元。

Do Kwon声称他不知道自己的密码是假的:金色财经报道,Do Kwon在6月16日在黑山首都波多里察地方法院的一次听证会上声称,是通过朋友推荐的新加坡一家机构收到了他被抓获的哥斯达黎加护照;并表示,我拿着哥斯达黎加护照环游了世界。如果我怀疑那是假护照,我就不会去很多国家旅行了。Do Kwon还试图获得格拉纳达护照,但被拒绝了。不过当被问及那个机构的名字时,他表示不记得了,只知道是中文。

检察官Harris Chabotich表示,这两本护照的名字和出生日期不同,这清楚地表明它们是出于恶意而制作的。请给予适当的惩罚。[2023/6/18 21:45:19]

11月6日,DeFi借贷协议bZx在Polygon和BSC链上的私钥泄露事件已导致超5500万美元资产被盗。

动态 | Sophia机器人称知道加密货币,但未使用过:金色财经报道,11月6日,名为Sophia的类人机器人在葡萄牙里斯本Web峰会上致辞。在被问到她是否对区块链,比特币和加密货币有看法时,她回答称:“我知道什么是加密货币,但是我自己还没有使用它们。我完全不用钱。”据悉,Sophia是总部位于香港的汉森机器人公司(Hanson Robotics)创造的几种人性化机器人之一。[2019/11/7]

11月7日,跨链协议SynapseProtocol推出的资产跨链桥被攻击,攻击者设法降低了nUSDMetapool虚拟价格并从中获利约800万美元,但是该攻击被开发人员检测到从而暂停了矿池,最终回滚了交易避免了直接损失。

动态 | 推特网友称知道对ETC进行51%攻击的幕后黑手是谁:推特用户Marshall Long今日发推称,他知道对ETC进行51%攻击的幕后黑手是谁,并称,感兴趣的网友可以联系他。以太经典基金会在评论区评论称,请发消息到我们的邮箱。根据推特认证消息显示,Marshall Long是比特币矿工、Mockit Esports的董事长。[2019/1/9]

11月11日,Curve.Finance遭Mochi稳定币USDM团队「治理攻击」,损失超3000万美元。

11月13日,BSC上的DeFi协议welnance.finance遭遇闪电贷价格操控攻击,损失5,994BUSD、0.7ETH、0.06BTC。

11月21日,以太坊上的DeFi协议Formation.Fi遭遇黑客攻击,损失近10万美元,该攻击产生主要原因在于项目方设计函数swapIn时低估了fee对totalTokens的影响,且忽视了不同代币间小数点精确度的影响。

11月23日,BSC上借贷协议PloutozFinance遭到攻击,黑客获利36.5万美元,该攻击与11月13日welnance.finance遭遇的攻击类似都是通过闪电贷的巨额资金抬高抵押物的价格进行超额借贷完成攻击。

11月27日,BSC上借贷协议LeverNetwork遭到攻击,损失超65万美元,该攻击产生主要原因在于repay函数缺少对调用者的债务检测,攻击者的借贷可由不同角色归还,从而破坏了金库平衡导致套利空间的产生。

11月27日,基于UNIswapV3的DeFi协议VisorFinance遭受基于预言机的价格操纵攻击,该漏洞属于典型的DEX现货价格信任问题,在被攻击中错误的获取到由黑客控制的价格。

总结

11月发生的安全事件类型多元化,不仅有传统的预言机安全问题、私钥泄露问题甚至还有着项目方反撸矿工的操作,这昭示着我们对于安全这块不能轻易放松。

知道创宇区块链安全实验室在次提醒,近期各链上攻击情况任然处于多发,合约安全需要得到最高的重视,合约审计、风控措施、应急计划等都有必要切实落实。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-4:883ms