创宇区块链 | 6 月安全月报_陀螺科技

　　前言

　　六月以来，安全事件仍层出不穷，即使币价下跌，攻击者却没有停下攻击的脚步。据知道创宇区块链安全实验室【被黑事件档案库】数据显示：该月发生的安全事件超 46 起，其中跑路骗局变得更加严重，而跨链桥 Harmony Bridge 由于验证者节点的私钥泄露损失高达 1 亿美元。本月安全事件造成的损失总金额共计约 1.21 亿 美元。

　　以下是知道创宇区块链安全实验室对六月各类型安全资讯的总结，并就其暴露出的问题进行探讨。

　　DeFi 安全类型事件

• 　　6 月 2 日，BNB Chian 上项目 CoFiXProtocol 遭受价格操控攻击，攻击者获利约 14 万美元。

• 　　6 月 4 日，fomo-dao 项目遭到攻击，目前攻击者获利 11 万美元，已经转至 Tornado.cash。

• 　　6 月 7 日，Equalizer Finance 遭受闪电贷攻击。此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。损失约为 831 美元。

• 　　6 月 9 日，部署在 Osmosis 区块链上的 678 号池遭到攻击，金额或涉及 500 万美元。通过利用此漏洞，用户可以退出池并获得最初存入池中的额外 50% 的资产。

• 　　6 月 14 日，Fswap 官方表示，其于 6 月 13 日 22:08 遭到黑客攻击，此次攻击为非被攻击项目漏洞事件，是恶意借贷攻击事件。损失 1751 BNB，价值约为 39 万美元。

• 　　6 月 21 日，whaleswap.finance 项目遭受攻击，至少损失 5946 个 BUSD 和 5964 个 USDT，价值约 11910 美元。

• 　　6 月 23 日，pandorachainDAO 项目遭受闪电贷攻击，导致了价值约 12.8 万美元的资产损失。

• 　　6 月 24 日，由 Layer1 公链 Harmony 开发的以太坊与 Harmony 间的资产跨链桥 Horizo n 遭到攻击，损失金额约为 1 亿美元。

• 　　6 月 26 日，NFT 借贷协议 XCarnival 遭到攻击，黑客获利 3087 枚以太坊（约 380 万美元），而协议损失可能更高。

• 　　6 月 28 日，Goldfinch 项目的 SeniorPool 合约遭受攻击，攻击者通过套利累计获利 28523 个 USDC，项目方累计损失 541158 个 USDC。

　　骗局安全类型事件

• 　　6 月 1 日，BNB Chian 上项目 ArmadilloCoin 发生 Rug Pull，诈骗者已将 663.4 枚 BNB 转入 Tornado Cash。损失价值约 21 万美元。

• 　　6 月 3 日，StarMan 发生 Rug Pull，币价下跌 99.5%，诈骗者已将约 640.4 枚 BNB 转移至 Tornado Cash。损失价值约 19.6 万美元。

• 　　6 月 6 日，ACC 代币暴跌超 70%，近期交易中有 7 笔被认定为可疑的 Rug Pull，损失达 12 万美元。

• 　　6 月 8 日，BNB Chian 上项目 BabyElon 发生 Rug Pull，代币下跌 98%，诈骗者已将 623 枚 BNB 转入 Tornado Cash，损失约为 18 万美元。

• 　　6 月 12 日，HEGE Coin 已被确认为 Rug Pull 跑路项目，HEGE 代币的价格暴跌超过 97%。目前损失金额约为 43 万 USC-USD（约为 43 万美元）。

• 　　6 月 13 日，ElonMVP 代币发生 Rug Pull，代币价格下跌 99%，超 622 枚 BNB 转入 Tornado.Cash，损失约为 13 万美元。

• 　　6 月 14 日，区块链云基础设施 Chain（XCN）或发生 Rug Pull，Token 价格 24 小时下跌 96.28%。

• 　　6 月 20 日，Move To Earn 应用 StepUp Games 发生 Rug Pull，Token 价格下跌 84%，部署者铸造大量 STP 并进行抛售。

• 　　6 月 21 日，DHE 项目发生 Rug Pull，导致 DHE 代币价格下跌超过 91%。目前损失总额约为 14.2 万美元。

• 　　6 月 22 日，LV PLUS（代币 LVP）项目已被确认为跑路项目。北京时间 2022 年 6 月 21 日，该项目因 Rug Pull 攻击损失了约 150 万美元。

• 　　6 月 29 日，LV Metaverse (代币 LVP) 项目再次发生 Rug Pull，合约部署者再次拿走价值 5 万美元的代币。

　　网络钓鱼安全类型事件

• 　　6 月 4 日，Homeless Friends NFT 的 Discord 遭到攻击，homelessfriends[.]net 系钓鱼网站。

• 　　6 月 4 日，NFT 项目 Not Bored Apes 的 Discord 遭到攻击，一个 mod 账户似乎被黑，开始频繁发布网络钓鱼链接。请对官方未公布的 Mint 保持警惕。

• 　　6 月 4 日，NFT 项目 Wibin Wolves 的 Discord 服务器遭到攻击，社区用户被踢，所有服务器邀请链接被关闭。

• 　　6 月 5 日，NFT 项目「无聊猿」的 Discord 服务器遭到短暂攻击，有价值约 200 ETH 的 NFT 被盗。

• 　　6 月 6 日，NFT 项目 Aiternate 的 Discord 已被攻击，请用户不要点击任何 Discord 私信或链接。

• 　　6 月 7 日，Elrond 网络近日遭黑客攻击，超 165 万美元 EGLD 被盗，部分并已通过去中心化交易平台 Maiar 出售，引发 Maiar 停机维护，部分发送至 Binance。

• 　　6 月 7 日，专注于女性赋权的 NFT 系列 Boss Beauties 的 Discord 被攻击，截至目前仍在频繁转入转出 NFT，总量已达 40 余枚。

• 　　6 月 8 日，NFT 项目 Dapper Dinos 的 Discord 遭遇攻击，https://dapperdrop.com是钓鱼网站。

• 　　6 月 9 日，https://mint-samsung.com是一个钓鱼网站。该钓鱼网站冒充三星 (Samsung) 铸造网站盗取了VeeFriends Series 2 #44451 NFT。

• 　　6 月 9 日，NFT 项目 Alpha Kongs Club 的 Discord 遭到攻击，https://alphakongsclubnft.org是钓鱼网站，用户不要与该项目的 Discord 发送的任何链接互动。

• 　　6 月 12 日，NFT 项目 Gooniez Gang 的 Discord 遭到攻击并发布了网络钓鱼链接。

• 　　6 月 12 日消息，科幻 NFT 卡牌游戏 Parallel 发推称，其 Discord 遭到攻击，团队正在恢复。请用户不要点击任何 Mint 链接。

• 　　6 月 14 日，NFT 发现和交易平台 KnownOrigin 的 Discord 已被攻击，https://knownoriginpass.io是钓鱼网站，请用户不要点击任何 Discord 私信或链接。

• 　　6 月 21 日，NFT 项目 Neo Hunters 官方推特发文称，其官方 Discord 遭遇黑客攻击，提醒用户不要点击任何链接。

• 　　6 月 22 日，rrbayc.art 系钓鱼网站，谨防上当受骗。真正的 RR/BAYC 项目页面已被 OpenSea 下架。

• 　　6 月 23 日，https://punkcomics.net网站被认定为诈骗网站，诈骗者已经以 0 美元的价格获得了 Otherdeed、The Sandbox LAND 等 100 多个 NFT。

• 　　6 月 26 日，Cardano 链上 NFT 项目 Ugly Bros 的 Discord 遭到攻击并发布包括网络钓鱼链接的公告。请社区用户不要点击任何链接与之交互。

• 　　6 月 26 日，Web3 安全分析师 Serpent 表示，已发现一种将盗取钱包内 NFT 的恶意文件伪装成 PDF 文件的攻击形式，目前 Twitter ID 为 @RabbitinM 的艺术家已因此遭到了损失。

• 　　6 月 27 日，加密 KOL ZachXBT 在其社交网站发文表示，Nouns 官方推特账号（@nounsdao）被盗，黑客借机发布钓鱼网站信息，提醒用户谨慎点击相关链接。

　　其他安全事件类型

• 　　6 月 9 日，去中心化交易平台 ApolloX 发布针对黑客攻击事件的最新声明，「一名黑客利用 ApolloX 的交易奖励合约中的一个漏洞积累了 255 个签名，然后使用这些签名从提款合约中盗取了 5300 万枚 APX Token。

• 　　6 月 16 日，包括 MetaMask 和 Phantom 在内的至少 10 款浏览器插件钱包由于 Javascript 语言中的某个问题导致可能存在暴露登录信息的可能性，该漏洞会使得助记词在内存中存储一段时间从而被攻击者利用。目前 MetaMask 及 Phantom 已修复了该漏洞。

• 　　6 月 24 日消息，Ribbon Finance 发推表示遭遇 DNS 攻击，某用户损失 16.5 WBTC。

　　总结

　　从 Defi 安全形势来看，本月安全事件中闪电贷攻击和预⾔机操控仍然是常客，对于这些方面的安全需要项目方着重注意。同时跨链桥 Harmony Bridge 安全事件也提醒我们要保护好自己的私钥，以及如何针对私钥泄漏做到更好的安全防护。知道创宇区块链安全实验室在此提醒，对合约安全有必要做到常规审计和复合审计，保障合约免受其他攻击影响，同时高度重视授权问题，对于授权要有明确的时间限制。

　　从网络钓鱼以及骗局跑日渐频繁来看，用户对于项目的鉴别能力弱，容易被项目方的高回报给骗进去，同样的，钓鱼事件也会利用各种免费馅饼勾引用户进入他们设置的全套。用户在进行投资的过程中也要多学习区块链相关知识，尽可能减少自己的潜在损失。