又到了每月安全盤點(diǎn)時(shí)刻!據(jù)區(qū)塊鏈安全審計(jì)公司Beosin旗下Beosin EagleEye安全風(fēng)險(xiǎn)監(jiān)控、預(yù)警與阻斷平臺(tái)監(jiān)測(cè)顯示,2023年7月,各類安全事件數(shù)量和損失金額較6月大幅增加。7月發(fā)生較典型安全事件超“31”起,各類安全事件總金額達(dá)4.15億美元。其中攻擊事件損失總金額約1.8億美元,較6月上漲89%;Rug Pull總金額2446萬美元,約為6月Rug Pull金額的5倍。另有MultiChAIn資金異常流出事件涉及金額2.1億美元。
本月發(fā)生了多起千萬美元以上的安全事件:跨鏈橋MultiChain異常流出2.1億美元;舊版本Vyper因漏洞導(dǎo)致多個(gè)Curve池被攻擊,損失達(dá)6170萬美元;Alphapo熱錢包被盜6000萬美元;加密支付服務(wù)提供商 CoinsPaid被盜3730萬美元;跨鏈協(xié)議Poly.NETwork被攻擊,損失1010萬美元。此外,本月詐騙跑路事件也頻發(fā),涉及金額最大的為Base鏈上的BALD項(xiàng)目,部署者獲利約928萬美元。
DeFi方面
共發(fā)生“17”起典型安全事件
No.1 7月2日,Pulse chain上的Aave fork項(xiàng)目遭受治理攻擊,損失約90萬美元。
No.2 7月2日,跨鏈協(xié)議Poly Network疑似因私鑰泄露遭受攻擊,損失約1010萬美元。
No.37月7日開始,從跨鏈橋Multichain共計(jì)流出2.1億美元。7月14日,根據(jù)官方的推特,流出的資金系團(tuán)隊(duì)CEO的家人轉(zhuǎn)移,CEO Zhao Jun已被中國(guó)警方帶走,Multichain團(tuán)隊(duì)因此被迫停止運(yùn)營(yíng)。
No.47月8日,Civfund合約遭到攻擊,損失約18萬美元。
No.57月10日,ArcadiaFi在Ethereum和Optimism兩條鏈上遭到攻擊,損失約45萬美元。
No.67月11日,Libertify在Polygon和Ethereum兩條鏈上遭到重入攻擊,損失約45萬美元。
No.77月11日,Arbitrum 生態(tài)杠桿收益協(xié)議 Rodeo Finance遭到價(jià)格操縱攻擊,損失約88萬美元。
No.87月12日,BNB Chain上的WGPT遭到閃電貸攻擊,損失約8萬美元。
No.97月18日,BNB Chain上的BNO遭受閃電貸攻擊,損失約50萬美元。
No.107月20日,BNB Chain上出現(xiàn)一系列airdrop() 漏洞攻擊,涉及FFIST、AI-Doge、QX、Utopia等多個(gè)代幣,共計(jì)損失約30萬美元。
No.117 月 21 日,Conic Finance 遭受重入攻擊,損失約320萬美元。
No.127月22日,愛沙尼亞加密支付服務(wù)提供商 CoinsPaid 稱其遭遇攻擊,價(jià)值3730萬美元的加密貨幣被盜。
No.137 月 25 日,BNB Chain上的Palmswap遭到攻擊,損失約90萬美元。
No.147 月 25 日,Zksync上的借貸協(xié)議 Eralend 遭受閃電貸攻擊,損失約340萬美元。
No.15加密貨幣支付服務(wù)商 Alphapo 熱錢包被盜,損失達(dá)6000萬美元。
No.167月27日,BNB Chain上的Carson遭到攻擊,損失約14萬美元。
No.177月30日,由于舊版本Vyper 0.2.15、0.2.16 和 0.3.0 版存在防重入鎖失效漏洞,多個(gè)Curve池遭到黑客攻擊。pETH/ETH、msETH/ETH、alETH/ETH、CRV/ETH 池共計(jì)損失6170萬美元。
詐騙跑路方面
共發(fā)生“8”起典型安全事件
No.17月3日,加密項(xiàng)目 Encryption AI發(fā)生 Rug Pull,開發(fā)人員卷走了200萬美元,并在社交媒體發(fā)布公告,聲稱自己“嚴(yán)重沉迷于賭博”。
No.27月18日,BSC 上的 GMETA 發(fā)生 Rug Pull,部署者獲利367萬美元。
No.37月19日,BSC上的IPO代幣發(fā)生Rug Pull,部署者獲利48萬美元。
No.47月20日,BSC上的Flashmall項(xiàng)目發(fā)生Rug Pull,部署者獲利55萬美元。
No.57月22日,BSC上的 IEGT代幣發(fā)生Rug Pull,部署者獲利約114萬美元。
No.67月28日,BNB Chain上的 DefiLabs 已跑路,詐騙者獲利140萬美元。
DeFiLabs 在Twitter上聲稱,該平臺(tái)在“進(jìn)行維護(hù)和更新”時(shí)“遇到了意外問題”。
No.77月29日,zkSync Era 收益聚合器協(xié)議 Kannagi Finance 發(fā)生 Rug Pull,涉及金額約213萬美元。
No.87月31日,Base鏈上項(xiàng)目BALD發(fā)生Rug Pull,部署者獲利約5000 ETH(約928萬美元)。
加密犯罪/案件監(jiān)管方面
共發(fā)生“6”起典型安全事件
No.17月11日消息,美國(guó)司法部公布了首個(gè)涉及對(duì) DEX 運(yùn)行的智能合約攻擊的刑事案件。Shakeeb Ahmed 是一家國(guó)際科技公司的高級(jí)安全工程師,利用他的專業(yè)知識(shí)欺詐了交易所和其用戶,盜取了大約 900 萬美元的加密貨幣。
No.27月18日,中國(guó)湖北警方偵破全國(guó)‘虛擬貨幣第一案’,涉案流水達(dá)4000 億人民幣。
No.37月18日消息,紐約加密交易平臺(tái) EminiFX 創(chuàng)始人 Eddy Alexandr被判處九年監(jiān)禁,因其在 EminiFX 交易平臺(tái)上詐騙了超過 25,000名投資者,金額超過 2.48 億美元。
No.47月25日消息,美國(guó)商品期貨交易委員會(huì)(CFTC)對(duì)田納西州的夫婦 Michael 和 Amanda Griffis 提出指控,他們涉嫌通過名為“Blessings of God Thru Crypto”的數(shù)字資產(chǎn)商品池欺詐了超過 100 人,籌集了超過 600 萬美元。
No.57月25日消息,韓國(guó)檢方起訴了 49 名涉嫌虛擬資產(chǎn)投機(jī)的人員,因其利用虛擬資產(chǎn)投機(jī)獲得 3900 億韓元(約 3.04 億美元)不當(dāng)利潤(rùn)。
No.67月28日消息,英國(guó)一家法院判處兩名加密貨幣詐騙者六年徒刑,涉案金額約50萬英鎊。
鑒于當(dāng)前區(qū)塊鏈安全領(lǐng)域的新形勢(shì),“Beosin”在此總結(jié):
從總體上看,2023年7月各類區(qū)塊鏈安全事件和損失金額大幅增加。各類安全事件涉及的總金額達(dá)到了4.15億美元。
本月Poly Network、Alphapo等私鑰泄露事件損失金額巨大,建議項(xiàng)目方建立嚴(yán)格私鑰管理流程,采用多簽機(jī)制,禁止在聯(lián)網(wǎng)環(huán)境中使用私鑰。此外,本月重入漏洞攻擊大幅增加,建議項(xiàng)目方在上線前尋找專業(yè)的安全公司進(jìn)行審計(jì)。而本月出現(xiàn)的Vyper編譯器版本漏洞,需要社區(qū)共同努力提出改進(jìn)方案。此外,本月的Rug Pull事件頻發(fā),建議用戶仔細(xì)進(jìn)行項(xiàng)目背景調(diào)查,查看相關(guān)審計(jì)報(bào)告,避免資產(chǎn)損失。
Beosin作為一家全球領(lǐng)先的區(qū)塊鏈安全公司,在全球10多個(gè)國(guó)家和地區(qū)設(shè)立了分部,業(yè)務(wù)涵蓋項(xiàng)目上線前的代碼安全審計(jì)、項(xiàng)目運(yùn)行時(shí)的安全風(fēng)險(xiǎn)監(jiān)控、預(yù)警與阻斷、虛擬貨幣被盜資產(chǎn)追回、安全合規(guī)KYT/AML等“一站式”區(qū)塊鏈安全產(chǎn)品+服務(wù),目前已為全球3000多個(gè)區(qū)塊鏈企業(yè)提供安全技術(shù)服務(wù),審計(jì)智能合約超過3000份,同時(shí),Beosin也提供上幣項(xiàng)目的安全評(píng)估以及提供符合各地監(jiān)管要求的合規(guī)評(píng)估、VaaS自動(dòng)化上幣審計(jì)服務(wù)、交易所滲透服務(wù)、交易所安全建設(shè)咨詢服務(wù)等安全解決方案。
