安全月報 | 5月損失總金額約1969萬美元 較4月下降約79%

又到了每月安全盤點時刻！據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年5月，各類安全事件涉及金額連續兩月持續下降。 5月發生較典型安全事件超『22』起，各類攻擊事件損失總金額約1969萬美元，較4月下降約79%。另外，詐騙跑路涉及總金額達到了4502萬美元，超過了攻擊事件的損失金額。

本月最大的攻擊事件為Arbitrum鏈上的Jimbos遭受攻擊，損失約750萬美元。硬件錢包相關的安全事件有所增加，用戶需多加注意。5月詐騙跑路事件依舊頻發，多起跑路項目涉及金額達到了100萬美元以上。

DeFi方面

共發生『10』起典型安全事件

No.1  5月2日，BSC鏈上的Level Finance項目被攻擊，損失109萬美元。

No.2   5月3日，BSC鏈上的Never Fall遭受攻擊，損失7萬美元。

No.35月6日，DEUS推出的穩定幣 DEI 遭到黑客攻擊，黑客獲利約630萬美元。

No.45月7日，BSC鏈上的BFT遭受閃電貸攻擊，損失27萬美元。

No.55月10日，BSC鏈上SNK遭受攻擊，黑客利用 SNK 的邀請獎勵機制獲利 19 萬美元。

No.65月20日，BSC鏈上Swap-Lp遭受攻擊，損失100萬美元。

No.75月20日，Tornado Cash遭受攻擊，損失107萬美元。

No.85月24日，BSC鏈上CS代幣遭受攻擊，損失約71萬美元。

No.95月24日，BSC上鏈的LCT項目遭受攻擊，損失約11.8萬美元。

No.105月28日，Arbitrum鏈上的Jimbos遭受攻擊，損失約750萬美元。項目方表示，若攻擊者歸還90%的資金，則放棄追究攻擊者責任。

錢包/用戶安全方面

共發生『3』起典型安全事件

No.1 硬件錢包imKey稱，近期發現有非官方店鋪线上商城出售“已激活”的imKey硬件錢包，此情況存在被社會工程攻擊的可能，有較大欺詐風險。

No.2安全公司稱Trezor T硬件錢包存在漏洞，攻擊者可以在物理訪問硬件錢包時破解助記詞。

No.3目前出現使用共享充電寶竊取私鑰的新型盜幣方式，詐騙團夥將KTV的共享充電寶改裝了並植入了惡意程序以盜取手機內的私鑰。

詐騙跑路方面

共發生『6』起典型安全事件

No.15月4日，Arbitrum 生態上的項目 XIRTAM發生rug pull，項目方將1909 ETH（約358萬美元）轉入幣安後遭凍結。

No.25月4日，Meme 幣項目 WSB Coin 發生 Rug Pull，涉及資金63.5 萬美元。

No.35月19日，Arbitrum 上應用 Swaprum 發生 Rug Pull，部署者獲利300萬美元。

No.45月24日，區塊鏈金融平臺Fintoch幕後團隊疑似龐氏騙局，已詐騙3160萬枚USDT。

No.55月30日，BlockGPT 項目發生Rug Pull，涉及資產約25.6萬美元。

No.6一家名為 Inferno Drainer 的多鏈詐騙服務提供商已盜取約 590 萬美元資產，目前已有近 4888 名受害者。

加密犯罪/案件監管方面

共發生『2』起典型安全事件

No.15月20日消息，美國司法部公告稱，一名內華達州男子因涉嫌參與 CoinDeal 而受到指控。CoinDeal 是一項投資欺詐計劃，騙取了 10,000 多名受害者超過 4500 萬美元。

No.25月，美國司法部從與殺豬詐騙相關的地址中繳獲了價值高達 1.12 億美元的加密貨幣。

其他方面

共發生『1』起典型安全事件

No.1Beosin安全團隊在 SnarkJS 0.6.11及之前的版本的庫中發現了一個嚴重漏洞CVE-2023-33252，提醒所有使用了SnarkJS庫的zk項目方將SnarkJS更新到0.7.0版本以確保安全性。

鑑於當前區塊鏈安全領域的新形勢，『Beosin』在此總結：

從總體上看， 2023年5月各類區塊鏈安全事件涉及金額持續下降。5月各類攻擊事件損失總金額達到了1969萬美元，較4月下降約79%。

本月詐騙跑路涉及金額超過了攻擊事件，也出現了諸如使用共享充電寶竊取私鑰的新型盜幣方式。黑客和詐騙者正逐漸將攻擊目標從各項目方轉向普通用戶。建議用戶一定要提高反詐意識，做好項目背景調查，多渠道了解和學習以保障自身資產安全。另外，本月被攻擊的項目中超過一半都未經審計，建議項目上线前一定要尋找專業的審計公司進行審計。