EFI:知道创宇区块链安全实验室 | 十月安全事件总结与回顾-ODAILY_DEFI

前言

10月以来各类安全事件依然多发且主要集中在月末，从Defi安全角度看安全形势不容乐观，黑客攻击带来的损失最大多达1.3亿美元，令人震惊。知道创宇区块链安全实验室总结了10月发生的各类安全事件，并就攻击手法和暴露出的问题进行探讨。

10月安全事件盘点

以下是10月发生的各领域的安全事件：

10月2日

BSC链上DeFI协议AutoSharkFinance遭遇闪电贷攻击，其挖矿兑换功能存在漏洞，被黑客攻击后损失约58万美元。

声音 | 巴西总统：不知道比特币是什么:据Cointelegraph报道，巴西总统Jair Bolsonaro表示，他不知道比特币是什么，并且赞同暂停一项为土著人民提供一种加密货币的项目。据悉，该加密货币项目由全国印第安人基金会（FUNAI）和联邦弗鲁米嫩大学（UFF）发起，价值4490万巴西雷亚尔（1150万美元）。[2019/6/6]

10月4日

去中心化借贷协议Compound在试图通过社区提案修补流动性挖矿代币分发合约含有的漏洞的同时，因为drip()函数的调用而向漏洞合约打入了20万枚comp代币，由此该协议已面临1.58亿美元的潜在损失。

DDoS新动向：攻击同时发送勒索信 并不知道谁真的支付了加密币:据Mashable中文站5日报道，互联网公司Akamai的安全研究人员最近发现，网络攻击者改变了以前先发动攻击再通过电子邮件或其他方式发出勒索信的做法次序，在攻击的同时将勒索信埋在了攻击数据中一并发出去。Akamai安全情报高级工程师Chad Seaman接受《财富》采访时表示：“这实际上就像是把DDoS攻击、钓鱼式攻击和勒索攻击打包成一种攻击。当我们看到这种攻击时，感觉这些攻击者就是聪明的混蛋。”攻击者将勒索信埋在一串难以辨认的代码中，对攻击对象提出的赎金要求是 “50枚门罗币”。截至3日，这些门罗币的价值大约为1.8万美元。据采访称，然而由于门罗币固有的匿名性质，攻击者本人也并不一定知道受攻击者谁支付了赎金哪些还没有。[2018/3/6]

10月11日

用户提交的韩币退款申请一周还未到账，Bithumb表示由于内部问题，但不知道什么时候处理:1月11日，一韩国用户向韩国最大的虚拟货币交易所Bithumb提交韩币退款申请，但是已经过了1周都未到账。对于这个问题Bithumb交易所表示 ：“是由于内部问题导致延迟，但是什么时候会处理还不知道”。 现在有很多用户都提交了韩币退款申请，但都得不到处理。[2018/1/17]

Moonriver链上DEXMoonSwapIDO项目SaturnBeam跑路。

10月15日

以太坊上被动收益协议IndexedFinance遭到攻击，其漏洞产生的原因在于协议通过一种代币来描述整个矿池价值，损失约1600万美元。

10月18日

ESC链上DeFi协议GlideFinance合约漏洞被利用，漏洞原因为团队在审计后进行了费用参数更改，但未将合约上的数字从1000更新为10000，损失约为30万美元。

10月20日

BSC链上DeFi协议PancakeHunny遭闪电贷攻击，漏洞原因在于其底层资产兑换过程的价格易被操控，使得攻击者可以通过巨额资金操纵某一交易对价格进行攻击套利。

10月21日

Avalanche链上生态协议AvaterraFinance遭黑客攻击，其铸币合约存在严重漏洞，任何人都可以调用其铸币功能。

10月27日

以太坊上DeFi借贷协议CreamFinance再遭受攻击，此次攻击产生的核心代码原因在于价格因子pricePerShare通过简单的资产数额占比来动态定价，损失约1.3亿美元。

10月29日

BSC链上DeFi协议AutoSharkFinance于本月再次遭到攻击，损失金额超200万美元。

10月29日

公平启动拍卖平台Copper上启动的项目AnubisDAO中5865万美元资金被盗。

10月30日

BSC链上去中心化交易协议BXH项目遭受攻击，该攻击核心原因在于管理权限被直接赋予攻击者，损失金额约1.39亿美元。

总结

10月发生的安全事件类型是多样化的，各种漏洞产生的情况也是各有不同，有矿池功能存在问题、有兑换功能存在问题、甚至有铸币功能存在问题等。知道创宇区块链安全实验室在此提醒，近期各链上攻击情况仍然处于多发，合约安全需要得到最高的重视，合约审计、风控措施、应急计划等都有必要切实落实。

标签：ANCEFIDEFIDEFRin Finance CoinWDEFI价格XDEFI币defi币种

BTC热门资讯