创宇区块链｜7 月安全月报
2022-08-05 10:35:59   来源： 创宇区块链实验室   评论：0 点击：

　　前言

　　七月随着币价的回升，安全事件也变的频繁发生，攻击者在本月也是“火力全开”，从各个方面进行攻击。据知道创宇区块链安全实验室 【被黑事件档案库】 数据显示：该月发生的安全事件超 43 起，其中跑路骗局和钓鱼造成的单个损失也愈发严重，代表事件为 Uniswap V3 钓鱼攻击和 DRAC Network 的 Rug Pull，而月初 DeFi 协议 Crema Finance 被攻击造成的损失尤为惨重。本月安全事件造成的损失总金额共计约 29,000,000 美元。

　　通过对本月各类型安全事件的数量和占比分析，不难发现网络钓鱼安全事件仍然占比最多。再次提醒大家要对网络钓鱼提高警惕，可借助一些工具来减少被钓鱼的风险，如 ：FishAlert  （https://fishalert.knownseclab.com）插件，可减少被钓鱼风险。

　　本月安全事件对比6月数量虽然略有下降，但整体局势仍处在安全事件高发期。再此提醒大家，对于安全应持续提高安全意识，保持对安全问题的敏锐性。

　　以下是 知道创宇区块链安全实验室 对七月各类型安全资讯的总结，并就其暴露出的问题进行探讨。

　　DeFi 安全类型事件

　　7 月 3 日，Solana 生态流动性协议 Crema Finance 遭黑客攻击中损失超 600 万美元，黑客使用 Solend 闪电贷耗尽资金池。

　　7 月 7 日，ProjectX 项目 PXT 代币价格下跌，官方称价格下降是由于黑客攻击（漏洞利用）造成的。攻击者获利约 1.9 万美元。

　　7 月 10 日，去中心化 NFT 金融化协议 Omni X 遭到攻击，攻击者利用 ERC721 的重入了清算函数。损失超 100 万美元。

　　7 月 11 日，DeFi 平台 Parallel Finance 遭到重入攻击，导致了约 200 万美元的损失。

　　7 月 12 日，质押挖矿项目遭到黑客攻击，攻击者利用合约中 updateBalance 函数的加法溢出漏洞，修改攻击账户的质押量，总计获利约为 11 万美元。

　　7 月 12 日，多链 NFT 协议 Citizen Finance 被攻击，CIFI 代币价格已下跌逾 50%，244 枚 BNB 和 5.76 万枚 MATIC 被盗。

　　7 月 14 日，BNB Chain 上项目 SpaceGodzilla 遭到了黑客的闪电贷攻击。黑客通过闪电贷借取大量资金并在 Pancake 上操纵交易池中 SpaceGodzilla 的价格，攻击共获利 25,378.78 BUSD。

　　7 月 24 日，Web3 音乐流媒体服务平台 Audius 社区金库被利用，损失 1850 万枚 AUDIO Token，黑客将资金在 Uniswap 兑换为 705 枚 ETH，共获利约 11万美元。

　　7 月 25 日，LPC 项目遭受闪电贷攻击，由于 _transfer 函数中未更新账本余额，而是直接在原接收者余额 recipientBalance 值上进行修改，导致攻击者余额增加。攻击者共获利 178 BNB，约为 45715 美元。

　　7 月 28 日，基于 Solana 的去中心化算法稳定币协议 Nirvana 遭到闪电贷攻击，其稳定币 NIRV 价格从 1 美元一度跌至 0.09 美元，最大跌幅超过 90%，攻击者共获利3,490,563.69 USDT，21,902.48 USDC 及 393,230.32 ANA 代币，价值约 357 万美元。

　　7 月 3 日，Solana 生态流动性协议 Crema Finance 遭黑客攻击中损失超 600 万美元，黑客使用 Solend 闪电贷耗尽资金池。

　   7 月 7 日，ProjectX 项目 PXT 代币价格下跌，官方称价格下降是由于黑客攻击（漏洞利用）造成的。攻击者获利约 1.9 万美元。

　　7 月 10 日，去中心化 NFT 金融化协议 Omni X 遭到攻击，攻击者利用 ERC721 的重入了清算函数。损失超 100 万美元。

　　7 月 11 日，DeFi 平台 Parallel Finance 遭到重入攻击，导致了约 200 万美元的损失。

　　7 月 12 日，质押挖矿项目遭到黑客攻击，攻击者利用合约中 updateBalance 函数的加法溢出漏洞，修改攻击账户的质押量，总计获利约为 11 万美元。

　　7 月 12 日，多链 NFT 协议 Citizen Finance 被攻击，CIFI 代币价格已下跌逾 50%，244 枚 BNB 和 5.76 万枚 MATIC 被盗。

　　7 月 14 日，BNB Chain 上项目 SpaceGodzilla 遭到了黑客的闪电贷攻击。黑客通过闪电贷借取大量资金并在 Pancake 上操纵交易池中 SpaceGodzilla 的价格，攻击共获利 25,378.78 BUSD。

　　7 月 24 日，Web3 音乐流媒体服务平台 Audius 社区金库被利用，损失 1850 万枚 AUDIO Token，黑客将资金在 Uniswap 兑换为 705 枚 ETH，共获利约 11万美元。

　　7 月 25 日，LPC 项目遭受闪电贷攻击，由于 _transfer 函数中未更新账本余额，而是直接在原接收者余额 recipientBalance 值上进行修改，导致攻击者余额增加。攻击者共获利 178 BNB，约为 45715 美元。

　　7 月 28 日，基于 Solana 的去中心化算法稳定币协议 Nirvana 遭到闪电贷攻击，其稳定币 NIRV 价格从 1 美元一度跌至 0.09 美元，最大跌幅超过 90%，攻击者共获利3,490,563.69 USDT，21,902.48 USDC 及 393,230.32 ANA 代币，价值约 357 万美元。

　　骗局安全类型事件

　　7 月 4 日，分布式节点基础设施项目 Nody(NODY) 发生 Rug Pull，当前 NODY Token 价格下跌 93%。

　　7 月 6 日，BNB Chain 项目 Baby DAO 发生 Rug Pull，代币下跌 99.9%，约 773 枚 BNB（约 18 万美元）被转移至 Tornado Cash。

　　7 月 20 日，RacKiller 发生 RugPull，代币价格下跌超 70%。

　　7 月 20 日，NumberSwap 发生 RugPull，代币价格下跌超 96%。

　　7 月 20 日，Neoteric.finance 发生 Rug Pull，其 NTRC 代币价格下跌超 91.6%。目前的报告显示损失约为 10 万美元。

　　7 月 20 日，Angels To Miracles 项目发生 Rug Pull，ATM 代币价格下跌 46%，有 1943.3 枚 BNB 转移至 TornadoCash，损失约 53 万美元。

　　7 月 20 日，ORCHID 项目发生 Rug Pull，ORCHID 代币价格下跌超 96.4%，目前的报告显示损失约为 5 万美元。

　　7 月 25 日，DeFi 项目 DRAC Network 发生 RugPull，代币 TEDDY 价格下跌 99.4%，1 万枚 BNB 和 200 万枚 BUSD 转入币安。损失约为 450 万美元。

　　7 月 26 日，SKG 代币项目 Rug Pull，价格下跌超过 80%。超过 10 万枚 SKG 被出售，资产利润超过 7 万美元。

　　7 月 27 日，Larp Finance 项目发生 Rug Pull，LARP 代币跌幅超过 80%。合约部署者出售了最初铸造的 LARP 代币并获利 2.8 万美元（20 个 ETH）。

　　7 月 29 日，second uncle coin 二舅币池发生 Rugpull，合约部署者已通过 Tornado Cash 清洗赃款，截至目前代币 SUC 价格已下跌 99.7%。据统计，本次诈骗事件的利润总额高达 130 万美元。

　　网络钓鱼安全类型事件

　　7 月 6 日，NFT 项目 Spiky Space Fish 的 Discord 服务器遭黑客攻击，请用户不要点击任何链接，且不要参与铸造或批准任何交易。

　　7 月 6 日，Otherside 官方推特帐号（@scottehartley）疑似被盗，其个人资料已更改为展示 OthersideMeta NFT 图像并推销骗局。

　　7 月 9 日消息，NFT 项目 Dope Ape Club 的 Discord 服务器遭到攻击。聊天被锁定，攻击者发布了一个钓鱼链接。请社区用户不要点击链接、铸造或批准任何交易。

　　7 月 12 日，黑客通过钓鱼攻击在 Uniswap V3 上窃取 7500 ETH，协议本身并无安全问题。

　　7 月 14 日，NFT 项目 AzukiArt 的 Discord 服务器遭到了黑客攻击，请用户不要点击链接、铸造或批准任何交易。

　　7 月 15 日，NFT 项目 Lonely Alien Space Club 的 Discord 服务器遭到入侵，请用户不要点击链接、铸造或批准任何交易。

　　7 月 16 日，P2E 元宇宙项目 Botborgs 的 Discord 服务器遭到攻击，请用户不要点击链接、铸造或批准任何交易。

　　7 月 17 日，NFT 管理平台 NFTY Dash 的 Discord 服务器和 Twitter 账号遭到攻击，请用户不要点击链接、铸造或批准任何交易。

　　7 月 17 日，premint.xyz 遭到黑客攻击，黑客在 premint.xyz 网站中通过植入恶意的 JS 文件来实施钓鱼攻击，欺骗户签名 setApprovalForAll(address,bool) 的交易，从而盗取用户的NFT等资产。

　　7 月 18 日，originals-adidas.com 被证实是一个钓鱼网站，19 枚 ETH 和 17 枚 NFT 已进入诈骗者地址。

　　7 月 19 日，NFT 项目 Maximalist 的 Discord 服务器遭到攻击，攻击者发布了钓鱼链接，请用户不要点击链接、铸造或批准任何交易。

　　7 月 20 日，DerpyPunkz 的 Discord 服务器遭到攻击，攻击者发布了钓鱼链接，与此前 Maximalist 项目攻击者相同，用户不要点击链接、铸造或批准任何交易。

　   7 月 20 日，DerpyPunkz 的 Discord 服务器遭到攻击，攻击者发布了钓鱼链接，与此前 Maximalist 项目攻击者相同，用户不要点击链接、铸造或批准任何交易。

　　7 月 21 日，NFT 项目 Tableland Discord 遭遇攻击，公告板块发布钓鱼链接，团队部分成员已被踢出。请用户不要点击链接、铸造或批准任何交易。

　　7 月 25 日，NFT 项目 NEN Studio 的 Discord 服务器遭受攻击。请社区用户不要点击链接、铸造以及批准任何交易。

　　7 月 27 日，NFT 项目 The Americans NFT 的 Discord 服务器遭到攻击，攻击者发布了钓鱼链接。请社区用户不要点击、铸造或批准任何交易。

　　7 月 29 日，NFT 项目 Old Sport 的 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

　　7 月 29 日，ApachesNFT 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

　　7 月 29 日，DAISUKI 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

　　其他安全事件类型

　　7 月 4 日，英国陆军的官方推特账户和 YouTube 帐户遭到黑客攻击，并发布了有关加密货币和 NFT 的帖子。

　　7 月 4 日，多名用户加密钱包 MetaMask 的 POAP 被盗，建议提醒用户撤销之前与 NFT 市场 Eporio 交互的所有 POAP 批准。

　　7 月 26 日，Windows 版 Coremail 邮件客户端存在 RCE（远程代码执行）漏洞，攻击者可通过给用户发送含有恶意程序的邮件从而控制用户主机，可能导致钱包私钥泄露。

　　总结

　　从 Defi 安全形势来看，本月安全事件中闪电贷攻击和重入攻击较为普遍，逻辑漏洞也是频现，项目方对于此类攻击事件应做好提前防护。特别是 Crema Finance 安全事件提醒我们攻击者能通过闪电贷进行花式攻击，所以对于闪电贷的安全性项目方一定要深思熟虑。知道创宇区块链安全实验室 在此提醒，对合约安全有必要做到常规审计和复合审计，保障合约免受其他攻击影响，同时高度重视授权问题，对于授权要有明确的时间限制。

　　从网络钓鱼以及骗局跑来看，网络钓鱼和骗局跑路所造成的损失也在逐月加重，一方面是数量增多，另一方面单个事件造成的金额损失也增多，所以用户在投资之余也要多学习区块链知识和防骗意识，确保自己的资产不会不翼而飞。