ANC:知道創宇區塊鏈安全實驗室 | 十月安全事件總結與回顧-ODAILY

前言

10月以來各類安全事件依然多發且主要集中在月末，從Defi安全角度看安全形勢不容樂觀，黑客攻擊帶來的損失最大多達1.3億美元，令人震驚。知道創宇區塊鏈安全實驗室總結了10月發生的各類安全事件，并就攻擊手法和暴露出的問題進行探討。

10月安全事件盤點

以下是10月發生的各領域的安全事件：

10月2日

BSC鏈上DeFI協議AutoSharkFinance遭遇閃電貸攻擊，其挖礦兌換功能存在漏洞，被黑客攻擊后損失約58萬美元。

馬斯克：想知道2009年美聯儲加息而不是降息的話會有怎樣的結果:金色財經報道，特斯拉CEO埃隆·馬斯克表示，想知道2009年美聯儲加息而不是降息的話會有怎樣的結果。利率越高越難降下來。[2023/1/14 11:11:48]

10月4日

去中心化借貸協議Compound在試圖通過社區提案修補流動性挖礦代幣分發合約含有的漏洞的同時，因為drip()函數的調用而向漏洞合約打入了20萬枚comp代幣，由此該協議已面臨1.58億美元的潛在損失。

FTX前COO：不知道任何轉移客戶資金的事情，個人資產都在FTX上:11月15日消息，針對加密 KOL Autism Capital 發布的關于包括 FTX 前 COO Constance 在內的前員工的各種傳聞，FTX 前 COO Constance 進行了回應與澄清，其表示：

看到我們的前雇員在推特上散布關于我個人的不真實的謠言，最終還是感到很傷心和難過。我和這個事件沒有關系，在上周二之前我也毫不知情。我所做的只是盡力在事后提供幫助，我不想放棄我在過去 3 年中為之付出的公司，所以我真的試圖拯救它。

我想澄清的是：

1/我不知道任何轉移客戶資金的事情，也不了解 Alameda 的交易及其與 FTX 的安排。

2/我負責 BD，增長和市場營銷，直到最后一刻，我和我的團隊都在用自己的名譽來捍衛 FTX，看到這樣的事情發生，我們感到非常失望。

3/我和 Sam 沒有任何私人關系，在過去 3 年，我非常努力地建設公司和團隊，我不認為這次的失敗是由于我們的交易所業務沒有做好。

4/Conch Shack 是公司財產，不是送給我的，我和其他員工一起住在 Conch Shack。

5/像你們很多人一樣，我所有的資產都在 FTX 上，現在都沒了，我在其他交易所沒有任何資產。

6/我非常傷心，而且我個人也被員工們分享的這些不實之詞傷害了，我會暫停發布新的工作招聘貼，直到完全恢復過來，但我還是會在其他人 DM 我時把簡歷發送過去。[2022/11/15 13:07:46]

10月11日

Vitalik Buterin：開發人員還不知道“Merge + surge + verge + purge + splurge”的執行順序:金色財經報道，以太坊聯合創始人“V神” Vitalik Buterin 今日在社交媒體上發文稱“Merge + surge + verge + purge + splurge”不是5個階段，而是會并行發生。在回應加密社區質疑“合并后不會立即發生所有事情”的問題時，Vitalik Buterin 進一步解釋說，這一切都是同時發生，實際的部署會在單獨的硬分叉進行，但是不同的團隊正在并行完成工作，在某些情況下，開發人員甚至還不知道事情的執行順序。[2022/7/26 2:38:57]

Moonriver鏈上DEXMoonSwapIDO項目SaturnBeam跑路。

10月15日

以太坊上被動收益協議IndexedFinance遭到攻擊，其漏洞產生的原因在于協議通過一種代幣來描述整個礦池價值，損失約1600萬美元。

10月18日

ESC鏈上DeFi協議GlideFinance合約漏洞被利用，漏洞原因為團隊在審計后進行了費用參數更改，但未將合約上的數字從1000更新為10000，損失約為30萬美元。

10月20日

BSC鏈上DeFi協議PancakeHunny遭閃電貸攻擊，漏洞原因在于其底層資產兌換過程的價格易被操控，使得攻擊者可以通過巨額資金操縱某一交易對價格進行攻擊套利。

10月21日

Avalanche鏈上生態協議AvaterraFinance遭黑客攻擊，其鑄幣合約存在嚴重漏洞，任何人都可以調用其鑄幣功能。

10月27日

以太坊上DeFi借貸協議CreamFinance再遭受攻擊，此次攻擊產生的核心代碼原因在于價格因子pricePerShare通過簡單的資產數額占比來動態定價，損失約1.3億美元。

10月29日

BSC鏈上DeFi協議AutoSharkFinance于本月再次遭到攻擊，損失金額超200萬美元。

10月29日

公平啟動拍賣平臺Copper上啟動的項目AnubisDAO中5865萬美元資金被盜。

10月30日

BSC鏈上去中心化交易協議BXH項目遭受攻擊，該攻擊核心原因在于管理權限被直接賦予攻擊者，損失金額約1.39億美元。

總結

10月發生的安全事件類型是多樣化的，各種漏洞產生的情況也是各有不同，有礦池功能存在問題、有兌換功能存在問題、甚至有鑄幣功能存在問題等。知道創宇區塊鏈安全實驗室在此提醒，近期各鏈上攻擊情況仍然處于多發，合約安全需要得到最高的重視，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：ANCNCEFTXEFIMethod FinancekatanafinanceMilady Vault (NFTX)DEFI

TRX