一、基本信息
2022年10月發生較典型安全事件約『100』起。
本月攻擊形式呈現多元化,攻擊范圍包括錢包、MEV機器人、跨鏈,項目獎勵等。
由于上個月Profanity工具被曝存在生成私鑰被爆破的安全風險,導致本月也有多起因私鑰泄漏引發的攻擊產生。
MEV機器人,因校驗存在缺陷,也成為了攻擊者的攻擊目標。
BNBChain跨鏈橋BSCTokenHub因校驗存在缺陷,導致攻擊者可以繞過校驗并無限鑄幣。
TeamFinance合約存在漏洞,UniswapV2LPtoken向V3的遷移函數實現有問題,導致被攻擊。
另外,部分項目的獎勵池存在邏輯錯誤導致項目被攻擊也警醒著人們對于獎勵邏輯安全的思考。
而社媒詐騙和RugPull事件與上個月相比依然在大幅增加。
1.1REKT盤點
No.1
10月1日,THB項目遭受攻擊。攻擊者利用重入漏洞盜取THBRNFT。
攻擊hash:0x57aa9c85e03eb25ac5d94f15f22b3ba3ab2ef60b603b97ae76f855072ea9e3a0
攻擊合約:0xfed1b640633fd0a4d77315d229918ab1f6e612f9
攻擊者地址:0xbc62b9ba570ad783d21e5eb006f3665d3f6bba93
No.2
10月2日,跨鏈DEX聚合器TransitSwap遭受攻擊,導致用戶的資金從錢包中被取出。到目前為止,損失估計約為2000萬美元,該項目目前已暫停運營。
攻擊hash:
0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189
0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7
No.3
10月4日,Defi應用Sovryn遭到價格操縱攻擊,約損失44.93RBTC和21.1萬USDT。
No.4
10月7日,BSCTokenHub遭遇黑客攻擊。具體攻擊過程分析如下:幣安跨鏈橋BSCTokenHub在進行跨鏈交易驗證時,使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞,該漏洞可能允許攻擊者偽造任意消息。
1)攻擊者先選取一個提交成功的區塊的哈希值
2)然后構造一個攻擊載荷,作為驗證IAVL樹上的葉子節點
3)在IAVL樹上添加一個任意的新葉子節點
4)同時,添加一個空白內部節點以滿足實現證明
5)調整第3步中添加的葉子節點,使得計算的根哈希等于第1步中選取的提交成功的正確根哈希
6)最終構造出該特定區塊的提款證明BeosinTrace正在對被盜資金進行實時追蹤。
攻擊hash:0xebf83628ba893d35b496121fb8201666b8e09f3cbadf0e269162baa72efe3b8b
No.5
10月9日,XaveFinance項目遭受黑客攻擊,導致RNBW增發了1000倍。攻擊交易為0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a。
OpenSea Polygon鏈上交易量連續第二個月超越以太坊:2月2日消息,區塊鏈數據聚合平臺Dune Analytics數據顯示,NFT市場OpenSea在Polygon區塊鏈上的交易量連續第二個月超越以太坊,12月OpenSea市場在Polygon區塊鏈上售出130萬枚NFT,1月為150萬枚NFT;相比之下,以太坊鏈上銷量分別為99.5萬枚NFT和110萬枚NFT。此外,數據顯示特朗普推出的TrumpDigital Trading Cards是OpenSea在Polygon區塊鏈上銷售量最高的NFT項目,該項目在一月份售出5,517枚NFT,交易額達到1,760ETH(約合920萬美元)。[2023/2/2 11:43:44]
攻擊過程如下,攻擊者首先創建攻擊合約0xe167cdaac8718b90c03cf2cb75dc976e24ee86d3,該攻擊合約首先調用DaoModule合約0x8f90的executeProposalWithIndex()函數執行提案,提案內容為調用mint()函數鑄造100,000,000,000,000個RNBW,并將ownership權限轉移給攻擊者。最后黑客將其兌換為xRNBW,存放在攻擊者地址上。
攻擊hash:0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a
No.6
10月11日,TempleDAO項目因合約函數沒有檢查輸入的參數遭受攻擊,損失約237萬美元。
攻擊hash:0x8c3f442fc6d640a6ff3ea0b12be64f1d4609ea94edd2966f42c01cd9bdcf04b5
No.7
10月11日,QANplatform項目遭到攻擊。攻擊者的地址為0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11疑似合約部署者的私鑰泄露。攻擊者將盜取的QANX代幣在1inch上換為WBNB代幣。
攻擊hash:
0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51
0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82
No.8
10月11日,DeBank開發的插件錢包Rabby的SwapRouter疑似存在一個漏洞,可任意轉移用戶資產。其合約中代幣兌換函數直接通過OpenZeppelinAddresslibrary中的functionCallWithValue函數進行外部調用,而調用的目標合約以及調用數據都可由用戶傳入,但合約中并未對用戶傳入的參數進行檢查,導致了任意外部調用問題。攻擊者利用此問題竊取對此合約授權過的用戶的資金。
攻擊者地址:0xb687550842a24d7fbc6aad238fd7e0687ed59d55
No.9
10月12日,Journeyofawakening(ATK)項目,遭受閃電貸攻擊。
No.10
10月12日,基于Solana的去中心化金融平臺Mango遭受潛在1億美元價格操縱攻擊。經分析,攻擊者通過閃電貸,將Mango代幣的價格拉升了20倍以上,然后作為抵押,借貸了其他的貨幣,并都提取,將流動性掏空。
No.11
10月13日,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。
具體攻擊過程如下:1.以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)2.FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9…7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀。3.接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintReward()函數為提取函數,該函數只判斷是否達到時間期限,便可無條件提取。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。4.1-3中的步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求。
Terra鏈上DeFi鎖倉量為146.1億美元:金色財經報道,據DefiLlama數據顯示,當前Terra鏈上DeFi鎖倉量為146.1億美元,在公鏈中仍排名第2位。目前,鎖倉量排名前5的公鏈分別為以太坊(1253.7億美元)、Terra(146.1億美元)、BSC(134.4億美元)、Avalanche(101.9億美元)、Fantom(91.5億美元)。[2022/2/10 9:42:14]
No.12
10月14日,MEV機器人被利用,損失約為187.75WETH。其中攻擊者用Flashloan借了1WETH并發送給機器人,隨后機器人將WETH換成USDC并發送到攻擊者的合約,攻擊者將USDC換成WETH并提現。
No.13
10月14日,EdenNetwork的部署者地址在鏈上發起異常交易,部署者調用setMetadataManager將其元數據管理員權限轉移到攻擊者地址0x5C95123b1c8d9D8639197C81a829793B469A9f32,隨后該地址利用此權限將EDEN幣的名稱和符號修改為”EDENHackInu”和”EDENHACK”,由于部署者地址對于EDENtoken的admin權限早已轉移,目前攻擊暫未造成其他影響。漏洞產生的原因,或由或由profanity漏洞導致。
No.14
10月15日,BNBChain上RKC代幣合約留有組合類后門,攻擊者可通過預留的后門函數操作成為關聯合約Pool的admin,然后利用RKC代幣中具有后門的transferFrom轉走任意地址的代幣。目前PinkLock上的鎖定代幣已被全部轉出,并將被盜代幣已換為BNB發送至地址0xeB2cD19A76DF7B4C19965e0B0cba059658750D23。
No.15
10月15日,Earning.Farm的EFLeverVault合約遭到兩次閃電貸攻擊,第一筆攻擊被MEVbot截獲,造成合約損失480ETH;第二筆黑客完成攻擊,黑客獲利268ETH。經過分析,漏洞是由合約的閃電貸回調函數未驗證閃電貸發起者產生,攻擊者可自行觸發合約的閃電貸回調邏輯:償還合約內的AavestETH債務并提現,然后將stETH兌換為ETH。隨后攻擊者可調用withdraw函數提現所有合約內的ETH余額。
No.16
10月17日,NFT平臺LiveArtX的錢包在10月17日凌晨0:24被攻擊,獲得財庫錢包的訪問權限,共盜取197枚NFT,其中100枚屬于金庫,97枚計劃本用于營銷活動。
No.17
10月17日,MTDAO項目方的未開源合約0xFaC064847aB0Bb7ac9F30a1397BebcEdD4879841遭受閃電貸攻擊,受影響的代幣為MT和ULM。攻擊交易為0xb1db9743efbc306d9ba7b5b892e5b5d7cc2319d85ba6569fed01892bb49ea499,共獲利487,042.615BUSD。攻擊者通過未開源合約中的0xd672c6ce和0x70d68294函數,調用了MT與ULM代幣合約中的sendtransfer函數獲利。
MTDAO合約地址:0xFaC064847aB0Bb7ac9F30a1397BebcEdD4879841
攻擊hash:0xb1db9743efbc306d9ba7b5b892e5b5d7cc2319d85ba6569fed01892bb49ea499
No.18
10月19日,Celo上的Moola協議遭受攻擊,黑客獲利約900萬美元。
具體攻擊過程分析如下:
第一步:攻擊者進行了多筆交易,用CELO買入MOO,攻擊者起始資金.
第二步:攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯,攻擊者抵押了價值a的MOO,可借出價值b的CELO。
第三步:攻擊者用貸出的CELO購買MOO,從而繼續提高MOO的價格。每次交換之后,Moo對應CELO的價格變高。
德國當局開發技術允許投資者在區塊鏈上買賣證券換取央行資金:德國當局開發了一項技術,允許投資者在區塊鏈上買賣證券,以換取央行資金。這一項目由德國聯邦銀行與德意志交易所和德國政府債務機構合作開展。聯邦銀行周三表示,其解決方案是第一個允許那些在區塊鏈上出售證券的人在央行的賬戶上收到他們的收益。此外,這項技術可能很快就會推廣到整個歐元區,并且遠在歐洲央行的數字歐元推出之前。(路透社)[2021/4/4 19:44:53]
第四步:由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷,導致用戶之前的借貸數量,并未達到價值b,所以用戶可以繼續借出CELO。通過不斷重復這個過程,攻擊者把MOO的價格從0.02CELO提高到0.73CELO。
第五步:攻擊者進行了累計4次抵押MOO,10次swap,28次借貸,達到獲利過程。
No.19
10月19日,鏈上Mev機器人被攻擊。合約地址開頭為0xf6d7的MEV機器人因閃電貸回調損失約15萬美元,攻擊者地址為smithbot.eth。
No.20
10月20日,以太坊鬧鐘服務漏洞被利用,目前已導致約26萬美元被盜取。以太坊鬧鐘服務讓用戶能夠通過預先確定接收方地址、發送金額和交易時間來安排未來的交易。
No.21
10月21日,OlympusDAO的BondFixedExpiryTeller合約中的redeem()函數因無法正確驗證輸入導致了約29.2萬美元的損失。
No.22
10月24日,QuickSwapLend的項目因Curve預言機漏洞被攻擊,目前已因閃電貸攻擊損失22萬美元。
No.23
10月25日,MelodySGS項目的AssetsDepositUpgrade合約疑似遭受黑客攻擊,攻擊共造成2225枚BNB損失。初步懷疑是由于項目的鏈下簽名生成模塊存在漏洞,導致攻擊者繞過訪問控制,從而利用API漏洞生成了合法簽名進而提取SGS和SNS,并通過Dex拋售被盜資金,最終獲利2225BNB。
No.24
10月25日,ULME代幣項目被黑客攻擊,目前造成50646BUSD損失。
攻擊過程如下:黑客首先利用閃電貸借出BUSD,由于用戶前面給ULME合約授權,攻擊者遍歷了對合約進行授權的地址,然后批量轉出已授權用戶的BUSD到合約中,提高價格ULME價格,然后黑客賣掉之前閃電貸借出的ULME,賺取BUSD,歸還閃電貸獲利離場。
攻擊hash:0xdb9a13bc970b97824e082782e838bdff0b76b30d268f1d66aac507f1d43ff4ed
No.25
10月27日,TeamFinance在由Uniswapv2遷移至v3的過程中遭到黑客攻擊,已確定的損失為1450萬美元。
攻擊hash:0xb2e3ea72d353da43a2ac9a8f1670fd16463ab370e563b9b5b26119b2601277ce
No.26
10月27日,UVT項目被黑客攻擊,涉及金額為150萬美元。攻擊交易為0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499。經分析攻擊者首先利用開發者部署的另一個合約的具有Controller權限的0xc81daf6e方法,該方法會調用被攻擊合約的0x7e39d2f8方法,因為合約具有Controller權限,所以通過驗證直接轉走了被攻擊合約的所有UVT代幣。
攻擊Hash:0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499
No.27
10月29日,FriesDAO遭到攻擊,損失約230萬美元,起因是攻擊者獲得了該協議操作者錢包的控制權——似乎是由于Profanity錢包生成器的漏洞導致的。
分析 | BTC新增流量緩慢 鏈上活躍度持續下降:據TokenInsight數據顯示,反映區塊鏈行業整體表現的TI指數北京時間08月26日8時報737.35點,較昨日同期下跌3.8點,跌幅為0.51%。此外,在TokenInsight密切關注的25個細分行業中,24小時內漲幅最高的為其它行業,漲幅為0.71%;24小時內跌幅最高的為治理協議 行業,跌幅為7.64%。
據監測顯示,BTC 24h交易額為$164億,活躍地址數及轉賬數分別較前日下降26.23%和10.13%。BCtrend分析師Jeffrey認為,BTC新增流量緩慢,鏈上活躍度持續下降,短期或將盤整。
另據Bituniverse智能AI量化分析,今日行情可開啟LTC/USDT網格交易,區間64.85-84.24 USDT,高拋低吸,賺取收益。注:以上內容僅供參考,不構成投資建議。[2019/8/26]
1.2RugPull盤點
No.1
10月2日,BTU代幣:0xf5e88c44093252db8c8250df3cd51c8fd96cd6c9,價格下跌88%.
No.2
10月3日,GSLS代幣:0xb1Dd2Cff2eb22FFc26B0Dc706D84e0A7DB552887,價格下跌85%。
No.3
10月4日,FDO代幣:0xB4dAB11C24eDa8e1565f6aBd0CFDF1fde5767A67,價格下跌96%。
No.4
10月4日,RRB代幣:0x4161557153cf56b10836b3f76f9b82561f23cb0c,價格下跌89%。
No.5
10月5日,Web3社交平臺SexDAO疑似Rug。項目方先用大量的SED代幣向池子進行兌換,換出一部分USDT,然后又移除了之前添加的流動性,目前資金池流動性幾乎為0,相應的SED代幣也失去了價值。目前官網跟官方Twitter均已無法訪問。
No.6
10月6日,EAI代幣:0x82b558c60fc4d1e12862b0d8fad693ae81aba48c,價格下跌66%。
No.7
10月6日,FGD代幣:0x2206c35e770b66fb6fd0d6c633101819e4358fb8,價格下跌83%。
No.8
10月6日,RES代幣:0xeccd8b08ac3b587b7175d40fb9c60a20990f8d21,價格下跌98%。
No.9
10月7號,GMX代幣:0x73ec30019ca98c1db932d06636f484cf9e559dbb,價格下跌88%。
No.10
10月9號,Jumpnfinance項目Rugpull。攻擊交易為0x48333962e6e946748a26d6222db95ce97e76c9ed3917123a7c9f2731f896b72c。經分析,攻擊者首先調用0xe156合約的0x6b1d9018()函數,提取了該合約中的用戶資產,存放在攻擊者地址上。
攻擊hash:0x48333962e6e946748a26d6222db95ce97e76c9ed3917123a7c9f2731f896b72c
No.11
10月10日,JST疑似RugPull,刪除了所有的社交媒體賬號。
合約地址:0xee6cacddd3a9370d87db581ee6728226883578e5
No.12
10月10日,MMF代幣:0x64427e98B5403bbE8A95F12B935d4275d2802B26,價格下跌93%。
No.13
10月11日,DMC代幣:0x256b001173111d632e87e6812fe9c23272d29600,價格下跌87%。
動態 | BCH鏈上一地址發起過多冗余交易引用戶吐槽:據CCN報道,BCH鏈上一個qqrxa0開頭的地址,不久前在4月9日創建,至今就已經發起了67.4萬筆交易,但這些交易看起來大都是無意義的交易,而且這類地址在BCH鏈上還不止一個。有用戶稱這些交易是由鏈上游戲Craft.cash生成的,這一賬戶的交易數量快占了BCH鏈上交易的50%,并認為這些無意義的交易會BCH僅僅是看起來很活躍。查詢該地址發現,目前該地址的交易筆數已經達到了685073筆,但交易量僅有6.22858291個BCH。[2019/5/10]
No.14
10月11日,TME代幣:0xd631464f596e2ff3b9fe67a0ae10f6b73637f71e,價格下跌95%。
No.15
10月11日,FC代幣:0xa48d94e1cca09c4867d710cd24f002cb6aa196d3,價格下跌99%。
No.16
10月12日,ATK代幣:0x9cB928Bf50ED220aC8f703bce35BE5ce7F56C99c,價格下跌99%。
No.17
10月13日,KFT代幣:0xe1e17b24f32Cfe85a3C1aB63f14082D70592f6eE,價格下跌100%。
No.18
10月13日,LGT代幣:0xd21d53fa113dd5769aa1b603c296d6ae15d0044a,價格下跌95%。
No.19
10月15日,PDB代幣:0x18a2E0ba304112134bd407744Ff0b0a03aE77327,價格下跌99%。
No.20
10月17日,SHOK代幣:0xe1f41f5f11e89c674d6c6c23899f7773322756f2,價格下跌83%。
No.21
10月17日,BadySUC:0x6890637881C60271C77275c0597b74df8540a596,價格下跌86%
No.22
10月18日,Shih-Tzu:0x74d00122a5d038914EAe062af8174C888F3166Dc,價格下跌52%。
No.23
10月19日,DDCX代幣:0x2a895aFAEB582b5C914dAA3DEECc08C9705C9fBC,價格下跌94%。
No.24
10月20日,DD代幣:0x7f7a036aba49122dbbdb3da9bd67b45f10fcd765,價格下跌87%。
No.25
10月20日,MNGO代幣:0x335e14d18d8a903b782a39059dc35d61b94e1c1b,價格下跌80%。
No.26
10月22日,SocialShow代幣:0x10B5F130B1191b4838500274de3cce9233C34b8B,價格下跌80%。
No.27
10月23日,ATV代幣:0x06114Cad0D3B9B06963Aaba6a5Ec0c46C195838a,價格下跌100%。
No.28
10月23日,BTDOG代幣:0x3e7960A0Cd30Dfde3C57E071936b98c7E98c8303,價格下跌65.5%.
No.29
10月24日,A6項目:0xE77D77309027c71F006DfF5d2F1b76060F4F5F13,價格下跌91.38%。
No.30
10月24日,加密平臺Freeway已停止平臺所有取款,項目方刪除了官方名單疑似rugpull,涉及金額或超1億美元。
No.31
10月25日,SANTA代幣:0x4F1A6FC6A7B65Dc7ebC4EB692Dc3641bE997c2F2,價格下跌68.18%。
No.32
10月26日,NWT代幣:0x2c44c71df4dbd3634e43ab0bc6dcb809d5286443,價格暴跌53%。
No.33
10月28日,HLG代幣:0x10f9Ccb9CfCa4ad48BC9256c22ade8303cf5E95E,價格暴跌90%。
No.34
10月29日,GDAO代幣:0xeB0dafA840Df31F5Ae18d54d96Bf9c7760fDb904價格暴跌96%,疑似項目方rugpull。
No.35
10月29日,LOO代幣:0xfDB0fE3dD8F7e9A671f63b7e7db0935A955659ab發生rugpull,價格下跌97%。
No.36
10月30日,ETT代幣:0xa941Ca288f7f79Eb215EA3492a0662BF12E7A205發生rugpull,價格下跌74%。
1.3社媒詐騙與釣魚盤點
社交詐騙類
No.1
10月1日,BadDogsCompany項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.2
10月3日,kinkverse項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.3
10月3日,beeple項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.4
10月8日,flaskiesNFT項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.5
10月12日,DogeClub_NFT項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.6
10月12日,thehirosnft項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.7
10月12日,OthersideMetatwitter賬號被入侵,要小心這個賬號發的任何鏈接
No.8
10月13日,Devious_DeadNFT項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.9
10月13日,GenuineUndead項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.10
10月14日,ProjectKaitoNFT項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.11
10月16日,WhisbeVandalz項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.12
10月17日,SwampverseNFT項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.13
10月17日,projectPXN項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.14
10月18日,XANAMetaverse項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.15
10月18日,AnimemeLabs項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.16
10月19日,ForgottenTribe0項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.17
10月20日,sougenco項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.18
10月22日,Vivity_NFT項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.19
10月22日,Shojira項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.20
10月22日,經檢測,加密平臺Gate官方Twitter賬戶疑似被盜用。半小時前,攻擊者利用該賬戶發文,誘導用戶進入虛假網站連接錢包。
No.21
10月22日,經分析,@Blur_DAO為網絡釣魚賬戶,該虛假賬戶發布推文稱目前已經開放BLUR代幣查詢,并貼出一個釣魚網址,提醒廣大用戶切勿點擊虛假鏈接。
No.22
10月26日,Primordials_項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.23
10月28日,OxyaOrigin項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.24
10月28日,JunglersNFT項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.25
10月29日,NFTInfernals項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.26
10月29日,SchoolData_NFT項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.27
10月30日,The_Chimpsons項目Discord服務器已被入侵。請社區用戶不要點擊、鑄造或批準任何交易。
No.28
10月31日,AlexanderTaubTwitter賬號被入侵,攻擊者提供了一個假的網站要求掃碼。請用戶在點擊一個網站前要確定網站。
加密網站釣魚類
No.1
10月5日,檢測到一個關于uniswap獎勵的釣魚鏈接,攻擊者會空投一些獎勵代幣到很多地址,并引導他們訪問該鏈接https://aatusite/。
No.2
10月24日,推特賬號@zksync_io是一個偽造的zkSync帳號,其主頁上的airdropzskyncio是釣魚網站,提醒用戶切勿點擊虛假空投鏈接。
No.3
10月26日,一名化名為“MonkeyDrainer”的網絡釣魚詐騙者在過去24小時內偷走700個ETH,價值約105萬美元。
No.4
10月28日,一偽造公鏈項目Aptos的虛假推特賬號@AptosLabs_fi發布詐騙空投釣魚鏈接,詐騙者已獲利114.8枚ETH。目前該虛假推特賬號已有超5萬名關注者,airdropaptlabsfi為釣魚網站,提醒用戶切勿點擊釣魚網站,以免造成財產損失。
1.4其他
No.1
10月6日,一個身份不明的垃圾郵件發送者正通過海量屏蔽交易輸出填充Zach區塊鏈的交易區塊,目前已對Zcash節點運營商造成了嚴重破壞。
No.2
10月11日,黑客正在向Solana加密貨幣所有者空投NFT,假裝對新的Phantom安全更新發出警報,該更新導致安裝加密竊取惡意軟件和盜竊加密貨幣錢包。
No.3
10月11日,TokenPocket官網遭受異常流量攻擊,技術團隊正在進行緊急維護。技術維護期間,TokenPocket網站將不能正常訪問,用戶資產安全不會受到影響。官方提醒用戶提高警惕,注意識別欺詐風險。
No.4
10月21日,AptosLabs團隊在10月20日發現Petra上的一個Bug,該Bug與現有錢包內的帳戶創建有關,頁面上顯示的助記詞可能會不準確。訪問準確的12個助記詞短語的過程為,設置、管理帳戶、輸入密碼,然后單擊顯示密鑰恢復短語。當前,Petra已修復該Bug,將很快發布到GoogleAppStore。
No.5
10月26日,SpookieFinance項目前端疑似遭攻擊,試圖在任何提現操作之前授權0xe316Ba開頭錢包地址,然后獲取受害者的資產。相關資金似乎被發送至錢包地址0x5451A25AFf1c14DDEF74D2AF703aaCc5d483782c,推特賬號@SpookieFinance已顯示不存在,GHOST/WAVAX跌幅達100%。
二、安全總結
2022年10月的安全事件涉及包括錢包、MEV機器人,DeFi項目等多個方面。建議項目方在項目正式上線之前要尋找可靠的安全審計機構對項目進行漏洞審計,以免造成不必要的損失。
本月社媒詐騙事件較上月仍有大幅增加。項目方應該更加注重Discord和Twitter等官方賬號的保護防止密碼泄漏,同時用戶應提高對“freemint”活動的警惕,仔細查看簽署的交易是否符合預期。
同時不斷增多的RugPull項目也提醒著用戶應當對高額回報保持警惕,而釣魚網站的增多也需要用戶對于來路不明的所謂的官方鏈接保持距離。
Tags:NFTETHUSDNFT價格NFT幣ETH錢包地址ETH挖礦app下載Etherael指什么寓意USD幣USD價格
去年10月31日,香港政府在“香港金融科技周”發表宣言,決心競爭全球虛擬資產中心和Web3中心。與新加坡相比,香港雖然在Web3政策上慢了半拍,但是在底蘊上仍是亞洲最強的城市之一.
1900/1/1 0:00:00封面新聞記者吳雨佳 11月11日,全球第二大加密貨幣交易所FTX在推特發布申請破產保護的聲明,并宣布創始人SamBankman-Fried辭去CEO職務.
1900/1/1 0:00:00近日,由于人工智能聊天機器人ChatGPT的爆火A股和美股市場的AI相關公司的股價受影響迅速增長.
1900/1/1 0:00:00周五上午,市值排名前10的非穩定幣加密貨幣在亞洲交易時段表現不一,其中以太幣上漲。在美國證券交易委員會(SEC)與RippleLabsInc.之間的法律糾紛提交簡報的截止日期之前,XRP是最大的.
1900/1/1 0:00:00圖片來源:攝圖網授權 2022年中國奢侈品牌市場首次出現負增長2022年,全球奢侈品市場進一步復蘇,獲得同比17%的高速增長,市場規模達到25450億人民幣.
1900/1/1 0:00:00萊特幣(Litecoin)是一種基于“點對點”(peer-to-peer)技術的網絡貨幣,其受到了比特幣(BTC)的啟發,并且在技術上具有相同的實現原理.
1900/1/1 0:00:00