BNB:創宇區塊鏈5月安全月報-ODAILY

前言

五月以來，幣價雖然在不斷下滑然而發生的安全事件的數量卻在顯著攀升，據知道創宇區塊鏈安全實驗室數據顯示：該月發生的安全事件超37起，其中跑路騙局和網絡釣魚事件頻發，而Terra生態的原生算法穩定幣UST因資本圍獵和債務危機，出現UST嚴重脫錨事件，導致Luna暴跌，損失高達410億美元。本月安全事件除Luna外涉及到的安全事件總金額共計約3000萬美元。

以下是知道創宇區塊鏈安全實驗室對五月各類型安全資訊的總結，并就其暴露出的問題進行探討。

DeFi安全類型事件

5月5日，Cronos生態DEXMM.Finance遭到前端攻擊，黑客利用DNS漏洞從用戶那里竊取超過200萬美元的CROToken。被盜資金已轉入TornadoCash。

5月14日，BNBChain上借貸協議Venus發布LUNA預言機事件補充公告稱，UTC時間5月12日09:20左右，Chainlink對LUNA的價格反饋達到價格下限，并被其以0.107美元的價格暫停，而Venus的LUNA市場繼續運行，但現貨價格繼續下跌，4小時后現貨價格約為0.01美元時團隊發現問題并暫停協議，資金損失缺口約1420萬美元。

環球音樂和谷歌正在就打擊AI深度造假交易進行談判:金色財經報道，環球音樂集團和谷歌正在就人工智能 (AI) 生成的歌曲中使用藝術家旋律和聲樂的許可進行談判。這些公司的目標是在音樂行業和大型科技公司之間建立合作伙伴關系，以應對人工智能生成的深度造假的猖獗出現。

由于大量使用音樂家肖像的“深度造假”，主流人工智能的使用引發了主要音樂行業領導者的擔憂。 人工智能生成的 Drake 和 Kanye West 的視頻在四月份左右開始瘋傳。

據報道，這兩個行業巨頭之間的討論仍處于開始階段，沒有即將推出的產品或指南。 消息人士稱，我們的目標是開發一種工具，用于合法創作具有正確版權歸屬的曲目。[2023/8/9 21:34:41]

5月16日，BNBChain上項目FeministMetaverse(FM_Token)遭到攻擊。攻擊者獲利1838BNB，約54萬美元，之后攻擊者將BNB轉入tornado.cash。

5月16日，多鏈DeFi協議FEG遭到攻擊，共損失144枚以太坊和3280枚BNB，約130萬美元。

5月17日，多鏈DeFi協議FEG再次受到攻擊，損失約190萬美元。

美眾議員證實比特幣礦業消費稅計劃已被取消:金色財經報道，美國俄亥俄州眾議員Warren Davidson周日分享了新提議的債務上限協議的文本，該法案將在2025年1月1日之前完全暫停債務上限。另一方面，它將實施多項開支削減措施，包括限制非國防開支和削減美國國稅局的資金。作為對Davidson的回應，比特幣礦業公司Riot Platforms的研究副總裁Pierre Rochard指出，該法案沒有提及政府此前提議的數字資產礦業能源(DAME)稅。Davidson證實該提案已被取消，并且共和黨人的談判勝利之一是阻止民主黨提議的稅收。[2023/5/30 9:50:02]

5月21日，bDollar項目遭到價格操控攻擊，攻擊者獲利2381WBNB。

5月24日，hackerDao項目遭到價格操控攻擊，攻擊者實施了兩次攻擊，總計獲利約200BNB，已經轉至Tornado.cash。

5月25日，以太坊上MVEbot疑似遭到攻擊，損失8.18個ETH，約15971.72美元。

5月29日，在Terra新鏈啟動后，LUNC的預言機價格達到5美元，而實際價格遠低于5美元，Anchor平臺一名用戶注意到該漏洞，存入大約2000萬個LidoBondedLunaToken，并成功借出4000萬UST，最終提取并獲利約80萬美元。

數據：約2.5萬枚ETH從幣安轉入未知錢包:金色財經報道，WhaleAlert監測數據顯示，北京時間11:47:33，25709枚ETH從幣安轉入未知錢包，價值約3244萬美元。[2022/12/7 21:27:55]

5月30日，DeFi項目Novo疑似遭遇攻擊，黑客已將280枚BNB轉移至Tornado.cash。

騙局安全類型事件

5月11日，Diaos項目發生RugPull，Diaos價格暴跌，合約所有者利用mint()函數向鑄造了100萬枚Diaos代幣并發送到了另一個賬戶，隨后向其他地址分發代幣并通過PancakeSwap出售。

5月16日，TOM項目發生RugPulls，代幣下跌了99.94%。目前已經有1200BNB轉入了TornadoCash。

5月17日，BSC鏈上項目TokenALG發生RugPull，價格下跌99.95%，約581.5BNB被轉入TornadoCash。

5月18日，JJHDAO項目發生RugPull。其項目代幣JJH價格跌副超過94%。

5月24日，KCT代幣發生RugPull，代幣價格下跌100%，超607枚BNB轉入Tornado.Cash。

Commons Foundation在巴拉圭簽署100MW加密采礦協議:金色財經消息，Commons Foundation與巴拉圭電網運營商簽署了一份100兆瓦、為期10年的購電協議，這些能源計劃用于加密貨幣的開采。據悉，巴拉圭電力局（ANDE）和Commons Foundation之間的合同是一個可變價格協議，這意味著能源的價格由市場條件決定。上周，該國的參議院通過了一項監管該行業的法案。該法案要求礦工必須得到當局的許可。（CoinDesk）[2022/7/22 2:30:07]

5月25日，BNBChian上項目DecentraWorld發生RugPull，代幣DEWO下跌97%，DecentraWorld社交賬戶已注銷，約3200枚BNB從DecentraWorld合約部署器中被提取。

5月25日，BNBChian上項目Starship發生RugPull，其代幣價格幾乎歸零，約715枚BNB轉入TornadoCash。

5月27日，BNBChian上鏈游項目Pokemoney發生RugPull，導致代幣PMY價格下跌99.98%，詐騙者共提取了1.18萬枚BNB。

敦煌研究院、盧浮宮等10大國內外博物館在天貓首發2.5萬件數字藏品:5月18日消息，在“5.18國際博物館日”來臨之際，國內外十大博物館、圖書館旗艦店首次在天貓推出數字藏品。這些文物數字藏品一共20款，總量2.5萬件。

據悉，此次共有國家圖書館、敦煌研究院、西安碑林博物館、麥積山石窟、河南博物院、宮里的世界、國家大劇院、人民文學出版社·人文之寶、盧浮宮博物館等10家博物館、圖書館在其天貓旗艦店進行數字藏品的發行，首個中央媒體文創品牌“人民文創”也參與其中。所覆蓋的文創數字藏品包括敦煌拾遺、資治通鑒、天龍八部-那伽、盧浮宮勝利女神等世界著名文物的二次文化創作。也有如世界經典名曲《春之圓舞曲》片段音樂數字藏品，記錄并保存下這類“瞬間”的藝術。（中國日報網）[2022/5/18 3:24:16]

5月27日，BNBChain上生態MovetoEarn應用Sport為騙局，SPORTToken跌幅逾94%。

網絡釣魚安全類型事件

5月9日，有數十個YouTube頻道通過剪輯馬斯克和杰克多爾西和ArkInvest的舊視頻進行詐騙，詐騙者在這些視頻中加入其虛假加密信息，包括指向欺詐性加密贈品網站的鏈接，有數百萬美元被盜。

5月18日，美國演員SethGreen遭遇釣魚攻擊，致4個NFT被盜，釣魚者地址已將NFT全部售出，獲利近160枚ETH。

5月18日，CyberConnect、Moonbirds、PROOF、Memeland、RTFKT官方Discord均遭遇黑客攻擊，并在Discord中放出釣魚鏈接。

5月20日，FlareCommunity在推特上提醒用戶警惕FLR預售相關網絡釣魚詐騙。目前已發現96個FlareNetwork的冒名虛假網站以Discord用戶為目標，發布FlareNetwork進行FLR預售的虛假信息及釣魚鏈接。

5月22日，數字藝術家Beeple的推特賬號遭到黑客攻擊，并被攻擊者用于推廣網絡釣魚騙局，Beeple推特賬號發布的推文中包含路易威登NFT合作抽獎的虛假釣魚鏈接。騙子還使用該賬號發布其他虛假NFT系列的釣魚鏈接。

5月23日，NFT項目APIENS的Discord遭遇攻擊，130枚NFT已被轉移，包括24枚Apiens及1枚ENS。

5月23日，NFT項目TheFracture的Discord遭遇攻擊，攻擊者已獲利455枚SOL。

5月25日，推特用戶@CirrusNFT的推文顯示，29個MoonbirdsNFT在一次黑客攻擊中被盜，損失金額達150萬美元。

5月25日，NFT稀有度排名工具TraitSniper的Discord遭到黑客攻擊，59枚NFT已被轉移到0x3E8Da開頭的地址，其中包括3枚Otherdeed、1枚CloneX、2枚RTFKT-MNLTH、1枚adidasoriginals等NFT。

5月26日，知道創宇區塊鏈安全實驗室監測顯示，goblintown-claimswtf是一個釣魚網站。該網站引誘用戶連接錢包以盜取NFT，并且這個釣魚網站看起來與官方網站幾乎完全相同。

5月27日，知道創宇區塊鏈安全實驗室監測顯示，zed-run.info是一個網絡釣魚站點，它可能會竊取用戶的私鑰。

5月27日，知道創宇區塊鏈安全實驗室監測顯示，gunslingersnftorg是一個釣魚網站鏈接，GunslingersNFTDiscord可能遭到了攻擊。

公鏈安全事件類型

5月10日，Terra生態的原生算法穩定幣UST因資本圍獵和債務危機，出現UST嚴重脫錨事件，導致Luna價格暴跌，損失高達400億美元。

其他安全事件類型

5月24日，以太坊二層擴容網絡Optimism公布空投最新進展，表示將移除17101個女巫攻擊者地址的空投資格。上述地址的超1400萬枚OPToken原定空投，將按比例重新分配給在Airdrop#1中其余有資格的用戶。

5月26日，知道創宇區塊鏈安全實驗室檢測到詐騙者將WrappedLUNA2.0發送到TerraDeployer地址，并空投至VitalikButerin等相關地址，企圖偽裝成官方TerraDeployer空投。

5月29日，跨鏈橋HopProtocol在Discord中表示，由于提交地址表單的漏洞，去中心化應用平臺Authereum的用戶需在6月2日前重新提交空投領取地址的表單，如果錯過，也可以在Token上線后的6個月內通過治理提案申領Token。

5月30日，MetaMaskDAO為蜜罐騙局，MetaMaskDAO合約地址發行了大量代幣，并將它們發送到加密影響者和加密交易所的地址，如V神(VitalikButerin)、NBA著名球星StephenCurry、幣安及Bithumb交易所。

5月30日，Moonbirds發布安全公告稱Nesting合約存在安全問題。該安全問題出現在OpenSea或者LooksRare等NFT交易平臺，當用戶在平臺進行掛單售賣時，賣家不能僅通過執行nesting函數禁止NFT的售賣，而是需要下架交易平臺中相關的NFT售賣訂單，因為不這樣做的話，在某個特定場景下買家將會繞過Moonbirds在nesting時不能交易的限制。

總結

從Defi安全形勢來看，本月安全事件中，閃電貸攻擊和預?機操控成為常客，越來越多的攻擊手法呈現普遍化，技術上趨向于成熟。同時出現了多例非預期事件如Venus的ChinaLink預言機事故，Terra生態也因各方原因導致崩盤。知道創宇區塊鏈安全實驗室在此提醒，對合約安全有必要做到常規審計和復合審計，保障合約免受其他攻擊影響，同時高度重視授權問題，對于授權要有明確的時間限制。

從網絡釣魚以及騙局跑路頻發來看，區塊鏈用戶極容易被欺騙，對此用戶需要學習區塊鏈基礎并提高自身安全意識，在理解區塊鏈基礎上辨別項目真偽，對于陌生鏈接以及不合理請求不要亂點，名人相關的視頻或圖片也要進行相關求證，只有這樣做才能保障自身財產安全。

Tags：BNBNFT區塊鏈LUNBNB AxisNFT-Starter區塊鏈可以看作是LUNAT幣

MANA