PEPE:創宇區塊鏈：11月安全月報-ODAILY

前言

十一結束，今年只剩最后一個月，經過了FTX的暴雷和之后FTX被黑客攻擊事件，市場造成了不小的動蕩，攻擊事件也下降了不少。據知道創宇區塊鏈安全實驗室數據顯示：該月發生的安全事件超28起，其中DeFi安全事件雖較上月略有減少，但攻擊總數仍然很多，其中FTXUS遭到黑客攻擊，損失高達4.77億美元。騙局事件雖然發生次數不多，但DeFiAI發生的RugPull讓用戶損失了近4千萬美元。本月安全事件造成的損失總金額共計約5.6億美元。

數據分析

1、占比分析：

通過對本月各類型安全事件數量占比分析，可以發現DeFi安全仍然是攻擊者最擅長的領域，占比54%。

美內華達州監管機構請愿對Prime Trust進行破產管理:金色財經報道，美國內華達州金融機構部門已向內華達州第八司法地區法院申請任命加密貨幣托管機構Prime Trust的破產管理人，稱該公司沒有資金來支付客戶存款，也無法獲得加密貨幣托管服務。該監管機構表示，“Prime的運營方式不安全、不健全，并且按照2023年6月21日發布的停止令的規定，已無力償債，因此采取了這一行動。”

請愿書尋求接管人接管Prime Trust的日常運營，并“徹底檢查其所有財務狀況，以確定保護Prime客戶的最佳選擇，要么恢復公司并將其交由私人管理，要么清算公司”。[2023/6/28 22:04:28]

2、對比數據分析：

Worldcoin正研究提升身份驗證功能和檢測攻擊的兩項模型:6月6日消息，OpenAI首席執行官Sam Altman創立的加密貨幣公司Worldcoin在官方博客上介紹了其虹膜識別推理系統，即使用虹膜生物識別技術來驗證身份和唯一性。闡述了如何結合圖像質量評估和圖像理解的深度學習模型以及傳統特征提取技術，使系統能夠準確地在全球范圍內驗證獨特性。[2023/6/6 21:18:49]

在上個月安全事件突增后，本月各類安全事件數量下降，應是與FTX暴雷破產有關，市場情緒也隨之下降。

3、2022年月安全趨勢：

本月較上月，安全事件幾乎對半下降，但所造成的金額損失卻并未減少，安全方面仍然高風險頻發，希望大家提高警惕謹慎面對。

數據：兩巨鯨昨日拋售1.67萬億枚PEPE逃頂:5月8日消息，據Spot On Chain披露數據顯示，5月7日PEPE出現近30%跌幅之前，兩個巨鯨總計拋售1.67萬億枚PEPE成功逃頂，價值約合555萬美元。其中qianbaidu.eth拋售1.4萬億枚PEPE，獲利約482萬美元。0x2410開頭地址拋售2748億枚PEPE，獲利約95.14萬美元，該地址曾在4月26日以10.03萬枚USDT購入4010億枚PEPE，5月6日還將1262億枚PEPE兌換200 ETH，其投資回報率高達948%。[2023/5/8 14:49:20]

DeFi安全類型事件

11月1日，DODO的USDT/DAI池疑似存在嚴重的三明治攻擊。

11月2日，借貸協議Solend遭到預言機攻擊，已產生126萬美元壞賬。

11月2日，Deribit被盜約6947ETH、691BTC與340萬USDC。損失約2800萬美元。

觀點：比特幣永續合約資金費率連續10天為正反映出投資者的樂觀情緒:金色財經報道，資金費率代表永續期貨合約持有人之間的費用支付，當利率為正時，多頭頭寸持有人向空頭頭寸持有人支付費用，以保持交易的對手盤。當資金費率為負時，情況正好相反，空頭支付多頭。數據顯示，就比特幣而言，自1月14日以來，除2月12日的數值為中性外，每天的資金費率都為正。持有多頭頭寸的投資者預計資產價值會增加，而空頭投資者預計資產價值會下降。持續的正資金費率表明BTC交易員目前看好該資產，并愿意支付費用來表達他們的看漲情緒。[2023/2/24 12:27:10]

11月3日，NEAR鏈上資產發行平臺SkywardFinance遭到漏洞利用，已損失110萬枚NEAR代幣。

11月4日，pGALA合約遭到黑客攻擊，黑客已將大部分GALA兌換成13,000枚BNB，獲利超430萬美元，該地址仍有450億枚Gala，但不太可能兌現，因為資金池基本已耗盡。

PayPal聯創Peter Thiel支持的風投Valar Ventures持有BlockFi 19%的股份:11月29日消息，據外媒報道，根據提交給破產法庭的文件，從PayPal聯合創始人Peter Thiel創立的投資公司Thiel Capital分拆出來的風險投資公司Valar Ventures擁有已申請破產的加密借貸公司BlockFi 19%的股份，這使Valar成為BlockFi的最大股東之一。

今年早些時候，Valar支持的另一家加密貨幣貸款機構 Vauld Group凍結了客戶提款，并向其在新加坡的債權人申請保護。此前昨日消息，BlockFi正式申請破產，債權人超10萬，資產和負債均在10億至100億美元區間。（華爾街日報）[2022/11/29 21:09:17]

11月7日，MooCakeCTX項目遭到黑客攻擊，黑客獲利約143921美元。

11月10日，ETH鏈上的BrahmaTopGear項目由于任意外部調用的風險遭到攻擊，攻擊者獲利約89879美元。

11月11日，針對穩定幣的去中心化外匯交易初創公司DFXFinanceDEX池由于缺乏適當的重入保護疑似被攻擊，損失約3000ETH，約合400萬美元。

11月11日，一MEV機器人花費31.06枚以太坊的交易費用對一筆約2500萬美元的交易發動「三明治攻擊」，使得打包該區塊的驗證者總共獲得了32.09枚以太坊的獎勵。

11月13日，FTXUS遭到黑客攻擊，據估算損失約為4.77億美元。

11月16日，SheepFarm項目遭到黑客攻擊，目前損失約7.2萬美元。

11月21日，sDAO合約業務邏輯存在漏洞，攻擊者獲利超1.3萬BUSD。

11月23日，AurumNodePool合約遭到漏洞攻擊，攻擊者通過該漏洞獲得約50個BNB($14,538.04)。

11月23日，ETH鏈上的NumbersProtocol(NUM)代幣項目遭到攻擊，攻擊者獲利約13,836美元。

11月29日，SEAMAN項目遭閃電貸攻擊，攻擊者獲利約7781美元。

騙局安全類型事件

11月1日，FITE(FTE)項目疑似RugPull，其網站fit.app已關閉，社交媒體已被刪除。詐騙者已將1900枚BNB轉入TornadoCash。

11月3日，BSC鏈上MetFX項目疑似發生RugPull，MFX代幣暴跌97%。MetFX部署者已將10000枚MFX交換為402枚BNB。

11月7日，ETHPoW上穩定幣交易協議MinerSwap疑似發生RugPull，獲利資金已從ETHPoW跨鏈至以太坊，其中已有約308枚ETH被轉入TornadoCash。

11月14日，DeFiAI項目發生RugPull，合約部署者獲利約4000萬美元。

網絡釣魚安全類型事件

11月1日，Generativemasks項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

11月2日，NFT項目ArtGobblers出現偽造賬號并發布假的Gobblers公共鑄造抽獎活動。

11月3日，DigiDaigakuCEO推特賬戶疑似被盜，謹防釣魚鏈接。

11月4日，網絡釣魚詐騙團伙MonkeyDrainer再度盜取價值80萬美元的NFT，包括7枚CryptoPunks系列NFT以及20枚Otherdeed系列NFT。

11月23日，SenseiLabs項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

11月28日，ShamanzsNFT項目Discord服務器遭到攻擊。請社區用戶不要點擊、鑄造或批準任何交易。

其他安全事件類型

11月1日，KUMALEON項目的Discord遭黑客入侵，目前已有111枚NFT被盜，包括BAYC#5313、ENS、ALIENFRENS和ArtBlocks。參與該項目用戶需撤銷錢包權限，并將資金轉移至新錢包。

11月2日，鏈兌換協議Rubic發推稱，管理員地址私鑰疑被泄露，攻擊者已出售約3400萬RBC/BRBC。損失約100萬美元。

11月6日，Loopring稱11月5日遭到DDoS攻擊，服務曾宕機11小時。

總結

本月因中心化交易所暴雷，大部分用戶對其失去信任，用戶對于中心化交易所失去信任，而各大中心化交易所為了挽回用戶的信任，紛紛開始進行了默克爾樹儲備金證明。如果您對自己的資金有所疑問，建議去用官方的文檔去驗證下自己的資金是否安全。

從DeFi的角度來看，所涉及的安全事件中，除最常見的閃電貸攻擊外，很多攻擊事件都源于合約本身的邏輯問題，這也說明了合約審計的必要性。知道創宇區塊鏈安全實驗室在此提醒，對合約安全有必要做到常規審計和復合審計，保障合約免受其他攻擊影響，同時高度重視閃電貸和合約邏輯問題。

從網絡釣魚以及騙局跑路角度來看，跑路騙局本月發生的次數并不多，但是跑路騙局所涉及的金額都不少，投資者仍然不能對項目發送警惕，在投資之前一定要做好相應的考察；網絡釣魚相比于上月減少一半，攻擊者一般都是偽造成項目方或者攻擊項目方Discord獲得權限，之后攻擊者會發布欺騙鏈接等，所以用戶一定不要點擊、鑄造或批準任何交易。

Tags：ETHEPEALAPEPEethereum代幣瀏覽器WPEPEGALAXY價格APEPE價格

比特幣交易所