前言
从Defi安全角度来看9月安全事件相较于较8月份已有所下降,但是从整体安全角度来看依然不容乐观,黑客攻击涉及到的损失金额巨大。
知道创宇区块链安全实验室?总结了9月发生的各类安全事件,并就攻击手法和暴露出的问题进行了梳理。
9月安全事件盘点
以下是9月发生的各领域的安全事件:
9月4日
NFT赛马项目DeRac针对DAO公共买家在未来解锁领取代币的合约DAOMaker分发系统被攻击。
中币(ZB)与Simplex达成合作,支持借记卡/信用卡买币服务:根据官方消息,ZB已宣布与获得欧盟许可的支付机构Simplex集成合作,允许中币(ZB)用户使用Visa和Mastercard购买BTC,ETH等其他主流加密货币。 Simplex支持50多种本地货币,包括美元,欧元,卢布,英镑,日元,加元,澳元和韩元。现在,世界各地的用户都可以使用法定货币在ZB平台上无缝购买加密货币。[2021/4/27 21:03:04]
其漏洞原理是:Vesting合约未进行init未初始化保护,从而让黑客初始化了init的关键参数,也变更了owner,导致黑客通过紧急提款函数提取了合约资金,损失约400万美元。
中币(ZB) 早行情:BTC 现报56131美元:据中币(ZB)交易平台行情数据,截止到今日09:48时,BTC 现报56131美元(+9.36%),ZB 积分现报0.64美元(+39.95%)。据CoinMarketCap 统计的数字货币总市值为一万亿美元,24 小时总交易额为1667亿美元,比特币市值占比61.4%。全球市值前 100 名的数字货币有62支上涨,38支下跌。主流资产价格为:ETH 报1950.20美元(+11.81%),EOS报5.33美元(+11.64%),XRP 报0.56美元(+7.22%),LTC币种 报236.16(+4.97%)。中币(ZB)24 小时内涨幅前三的数字货币是:DOT(+21.97%)、ADA(+17.58%)、CRO(+16.67%)。[2021/2/20 17:32:47]
9月
中币(ZB)早行情:BTC现报23128美元:据中币(ZB)交易平台行情数据,截止到今日09:48时,BTC现报23128美元(-2.57%),ZB积分现报0.24美元(-6.07%)。据CoinMarketCap统计的数字货币总市值为6179亿美元,24小时总交易额为2293亿美元,比特币市值占比69.1%。全球市值前100名的数字货币有22支上涨,78支下跌。主流资产价格为:ETH 报583.20美元(-7.19%),EOS报2.40美元(-15.68%),XRP 报0.28美元(-30.28%),LTC币种 报102.54美元(-10.21%)。中币(ZB)24 小时内涨幅前三的数字货币是:DMD(+23.85%)、SNX(+2.81%)、CENNZ(+1.61%)。[2020/12/24 16:20:59]
NFT市场OpenSea出现漏洞导致30笔交易受到影响,至少42个NFT被销毁,损失约9.7万美元。
9月12日
Avalanche链上ZabuFinance由于其defi协议与代币协议之间不兼容被黑客利用,通过攻击获取45亿ZABU代币,损失约60万美元。
9月15日
去中心化交易所NowSwap遭到黑客攻击,由于没有修改swap函数的参数导致闪电贷的恒定乘积校验逻辑失效,攻击者返还部分闪电贷金额即被认为是完全归还,从而实现了攻击,损失金额超100万美元。
9月17日
9月17日,SushiSwap平台MISO上的DONA代币拍卖遭到攻击,黑客通过向MISO前端插入了恶意代码,将拍卖钱包地址改为了自己的钱包地址获利,损失超300万美元。
9月20日
跨链协议pNetwork因代码漏洞遭攻击,损失约1308万美元。
9月21日
借贷协议Vee.Finance,超3500万美元资产被盗,据官方调查,极可能是小数点未精确以及权限校验问题导致预言机价格被操纵。
9月
OpenZeppelin的TimelockController合约修复了一个可重入漏洞,这是OpenZeppelin在其开源智能合约库中唯一存在的严重漏洞。
9月30日
去中心化借贷协议Compound出现漏洞错误地允许一些用户索取额外的COMP代币,该漏洞损失约28万枚COMP代币。
总结
各链上项目问题依然十分严峻,智能合约层面的漏洞导致的损失一般都十分巨大,相较于新型漏洞,大多数漏洞都属于可追溯漏洞即已经出现过的漏洞,希望各方在开发项目或者审计项目时多做考虑。
关于OpenZeppelin出现的漏洞则再一次提醒我们,没有绝对的权威,任何项目都需要多方验证保证其安全性。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。