前言
11月以来知道创宇区块链安全实验室检测到的攻击事件相较于10月更加多样化。这主要得益于区块链威胁情报中心功能的正式开放,其大大提高了我们检测攻击的能力。
十一月安全事件盘点
以下是11月发生的各领域的安全事件:
11月3日,以太坊上的DeFi协议VesperFiFianance遭遇预言机操控攻击,损失超300万美元。
小蜜蜂Bee智能合约已通过知道创宇安全审计:据官网消息,知道创宇近日已完成小蜜蜂Bee智能合约项目的安全审计服务。
据介绍,小蜜蜂Bee是基于波场底层打造的第二代DeFi协议。旨在改善上一代DeFi协议在交易速度、成本等方面,面临的一些固有挑战,突破较大规模 DeFi 应用的瓶颈。
小蜜蜂Bee将于2020年10月15日晚20:00开启创世挖矿,目前小蜜蜂Bee已上线bitkeep钱包defi专栏推荐位,并已在Justswap开启流通。小蜜蜂Bee无ICO、零预挖且零私募,社区高度自治。
?合约地址:TNUXHrnHFJ89cgT8kCLmxYCVj3PeEqyJ4C[2020/10/13]
11月6日,DeFi借贷协议bZx在Polygon和BSC链上的私钥泄露事件已导致超5500万美元资产被盗。
Cocos-BCX 生态 DeFi+NFT 项目 CROSWAP 已通过知道创宇安全审计:据官方消息,9月26日,Cocos-BCX 生态首个 DeFi+NFT 项目 CROSWAP 智能合约通过知道创宇安全审计,安全状态为五星安全。
CROSWAP 是 Cocos-BCX 生态投资的首款 DeFi+NFT 的去中心化 AMM 代币兑换协议 ,于9月22日上线,CROSWAP.COM 首创 LP NFT 分解合成模式。用户获得的 LP Token 将从 FT 升级为基于 COCOS-1808 非同质数字资产标准的 LP NFT,LP NFT 支持分解与合成,更可与 DApp 产生联动,赋予 DeFi 与 NFT 更多使用场景与想象空间。
知道创宇创立于2007年,并于2015年获得腾讯大范围战略投资,拥有近百位国内一线安全人才,比特大陆、火币网等皆是知道创宇的客户。[2020/9/28]
11月7日,跨链协议SynapseProtocol推出的资产跨链桥被攻击,攻击者设法降低了nUSDMetapool虚拟价格并从中获利约800万美元,但是该攻击被开发人员检测到从而暂停了矿池,最终回滚了交易避免了直接损失。
声音 | Dovey Wan:不知道Tether发行稳定币(CNHT)的意义何在:针对Tether将发行锚定离岸人民币的稳定币(CNHT)这一消息,Primitive Ventures创始合伙人万卉(Dovey Wan)在微博中表示,这是个很大的事儿,Tether非常有魄力,捅了很多人都不敢捅的马蜂窝,是条汉子,祝好运。随后针对网友的提问表示,现实意义并不大。离岸人民币的入金实质和美金一样了,在岸人民币入金到BTC或者USDT是依赖P2P OTC人员支撑起来的。并且新的稳定币不管任何币种,都很难有USDT一个数量级流动性,更不用说人民币作为次级资产的抵押。不知道这么做意义何在。[2019/8/22]
11月11日,Curve.Finance遭Mochi稳定币USDM团队「治理攻击」,损失超3000万美元。
11月13日,BSC上的DeFi协议welnance.finance遭遇闪电贷价格操控攻击,损失5,994BUSD、0.7ETH、0.06BTC。
11月21日,以太坊上的DeFi协议Formation.Fi遭遇黑客攻击,损失近10万美元,该攻击产生主要原因在于项目方设计函数swapIn时低估了fee对totalTokens的影响,且忽视了不同代币间小数点精确度的影响。
11月23日,BSC上借贷协议PloutozFinance遭到攻击,黑客获利36.5万美元,该攻击与11月13日welnance.finance遭遇的攻击类似都是通过闪电贷的巨额资金抬高抵押物的价格进行超额借贷完成攻击。
11月27日,BSC上借贷协议LeverNetwork遭到攻击,损失超65万美元,该攻击产生主要原因在于repay函数缺少对调用者的债务检测,攻击者的借贷可由不同角色归还,从而破坏了金库平衡导致套利空间的产生。
11月27日,基于UNIswapV3的DeFi协议VisorFinance遭受基于预言机的价格操纵攻击,该漏洞属于典型的DEX现货价格信任问题,在被攻击中错误的获取到由黑客控制的价格。
总结
11月发生的安全事件类型多元化,不仅有传统的预言机安全问题、私钥泄露问题甚至还有着项目方反撸矿工的操作,这昭示着我们对于安全这块不能轻易放松。
知道创宇区块链安全实验室在次提醒,近期各链上攻击情况任然处于多发,合约安全需要得到最高的重视,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。