EFI:知道创宇区块链安全实验室 | 十月安全事件总结与回顾-ODAILY_Symbiosis Finance

前言

10月以来各类安全事件依然多发且主要集中在月末,从Defi安全角度看安全形势不容乐观,黑客攻击带来的损失最大多达1.3亿美元,令人震惊。知道创宇区块链安全实验室总结了10月发生的各类安全事件,并就攻击手法和暴露出的问题进行探讨。

10月安全事件盘点

以下是10月发生的各领域的安全事件:

10月2日

BSC链上DeFI协议AutoSharkFinance遭遇闪电贷攻击,其挖矿兑换功能存在漏洞,被黑客攻击后损失约58万美元。

欧盟计划让欧洲央行对数字欧元的使用设定限制条件:金色财经报道,欧盟计划让欧洲央行针对数字欧元的使用情况设定限制条件。[2023/6/15 21:37:15]

10月4日

去中心化借贷协议Compound在试图通过社区提案修补流动性挖矿代币分发合约含有的漏洞的同时,因为drip()函数的调用而向漏洞合约打入了20万枚comp代币,由此该协议已面临1.58亿美元的潜在损失。

10月11日

Moonriver链上DEXMoonSwapIDO项目SaturnBeam跑路。

印度央行将在试点基础上推出有限使用的数字货币:10月7日消息,印度储备银行 (RBI) 发布了一份50页的概念说明,用于在该国引入中央银行数字货币 (CBDC)。该文件由印度储备银行的金融科技部门准备,该部门于2022年1月创建,负责制定加密货币法规并创建中央银行数字货币 (CBDC)。

印度储备银行创建CBDC的动机包括降低实物现金管理的运营成本、促进金融包容性、提高支付系统的弹性、效率和创新能力、促进跨境支付领域的创新、向公众提供任何私人虚拟货币可以提供的用途,而不存在相关风险,在偏远地区没有电力或移动网络时,提供可用性和弹性优势。

BRI表示,在印度测试数字货币时,将很快开始针对特定用例试行电子卢比(e-rupee)。随着此类试点的范围和范围不断扩大,印度储备银行将不时继续就电子卢比的具体特点和好处进行沟通。(CoinDesk)[2022/10/7 18:42:01]

10月15日

声音 | 中国央行:春节后央行通过公开市场操作投放的短期流动性已基本收回:随着央行逆回购不断到期,春节后央行通过公开市场操作投放的短期流动性已基本收回。目前银行体系流动性总量处于合理充裕水平,2020年2月19日不开展逆回购操作。(金十)[2020/2/19]

以太坊上被动收益协议IndexedFinance遭到攻击,其漏洞产生的原因在于协议通过一种代币来描述整个矿池价值,损失约1600万美元。

10月18日

ESC链上DeFi协议GlideFinance合约漏洞被利用,漏洞原因为团队在审计后进行了费用参数更改,但未将合约上的数字从1000更新为10000,损失约为30万美元。

10月20日

BSC链上DeFi协议PancakeHunny遭闪电贷攻击,漏洞原因在于其底层资产兑换过程的价格易被操控,使得攻击者可以通过巨额资金操纵某一交易对价格进行攻击套利。

10月21日

Avalanche链上生态协议AvaterraFinance遭黑客攻击,其铸币合约存在严重漏洞,任何人都可以调用其铸币功能。

10月27日

以太坊上DeFi借贷协议CreamFinance再遭受攻击,此次攻击产生的核心代码原因在于价格因子pricePerShare通过简单的资产数额占比来动态定价,损失约1.3亿美元。

10月29日

BSC链上DeFi协议AutoSharkFinance于本月再次遭到攻击,损失金额超200万美元。

10月29日

公平启动拍卖平台Copper上启动的项目AnubisDAO中5865万美元资金被盗。

10月30日

BSC链上去中心化交易协议BXH项目遭受攻击,该攻击核心原因在于管理权限被直接赋予攻击者,损失金额约1.39亿美元。

总结

10月发生的安全事件类型是多样化的,各种漏洞产生的情况也是各有不同,有矿池功能存在问题、有兑换功能存在问题、甚至有铸币功能存在问题等。知道创宇区块链安全实验室在此提醒,近期各链上攻击情况仍然处于多发,合约安全需要得到最高的重视,合约审计、风控措施、应急计划等都有必要切实落实。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-4:271ms