創宇區塊鏈｜11月安全月報

前言

11月結束，今年只剩最後一個月，經過了 FTX 的暴雷和之後 FTX 被黑客攻擊事件，市場造成了不小的動蕩，攻擊事件也下降了不少。據知道創宇區塊鏈安全實驗室 【被黑事件檔案庫】 數據顯示：該月發生的安全事件超 28 起，其中 DeFi 安全事件雖較上月略有減少，但攻擊總數仍然很多，其中 FTX US 遭到黑客攻擊，損失高達 4.77 億美元。騙局事件雖然發生次數不多，但 DeFi AI 發生的 Rug Pull 讓用戶損失了近 4千萬 美元。本月安全事件造成的損失總金額共計約 5.6億美元。

數據分析

1、佔比分析：

通過對本月各類型安全事件數量佔比分析，可以發現 DeFi安全仍然是攻擊者最擅長的領域， 佔比54%。

2、對比數據分析:

在上個月安全事件突增後，本月各類安全事件數量下降，應是與FTX暴雷破產有關，市場情緒也隨之下降。

3、2022年月安全趨勢：

本月較上月，安全事件幾乎對半下降，但所造成的金額損失卻並未減少，安全方面仍然高風險頻發，希望大家提高警惕謹慎面對。

DeFi 安全類型事件

• 11 月 1 日，DODO 的 USDT/DAI 池疑似存在嚴重的三明治攻擊。

• 11 月 2 日，借貸協議 Solend 遭到預言機攻擊，已產生 126 萬美元壞账。

• 11 月 2 日，Deribit 被盜約 6947 ETH、691 BTC 與 340 萬 USDC。損失約 2800 萬美元。

• 11 月 3 日，NEAR 鏈上資產發行平臺 Skyward Finance 遭到漏洞利用，已損失 110 萬枚 NEAR 代幣（約合 300 萬美元）。

• 11 月 4 日，pGALA 合約遭到黑客攻擊，黑客已將大部分 GALA 兌換成 13,000 枚 BNB，獲利超 430 萬美元，該地址仍有 450 億枚 Gala，但不太可能兌現，因為資金池基本已耗盡。

• 11 月 7 日，MooCakeCTX 項目遭到黑客攻擊，黑客獲利約 143921 美元。

• 11 月 10 日，ETH 鏈上的 Brahma TopGear 項目由於任意外部調用的風險遭到攻擊，攻擊者獲利約 89879 美元。

• 11 月 11 日，針對穩定幣的去中心化外匯交易初創公司 DFX Finance DEX 池由於缺乏適當的重入保護疑似被攻擊，損失約 3000 ETH，約合 400 萬美元。

• 11 月 11 日，一 MEV 機器人花費 31.06 枚以太坊的交易費用對一筆約 2500 萬美元的交易發動「三明治攻擊」，使得打包該區塊的驗證者總共獲得了 32.09 枚以太坊（價值約 4.08 萬美元）的獎勵。

• 11 月 13 日，FTX US 遭到黑客攻擊，據估算損失約為 4.77 億美元。

• 11 月 16 日，SheepFarm 項目遭到黑客攻擊，目前損失約 7.2 萬美元。

• 11 月 21 日，sDAO 合約業務邏輯存在漏洞，攻擊者獲利超 1.3 萬 BUSD。

• 11 月 23 日，AurumNodePool 合約遭到漏洞攻擊，攻擊者通過該漏洞獲得約 50 個 BNB ($14,538.04)。

• 11 月 23 日，ETH 鏈上的 Numbers Protocol (NUM) 代幣項目遭到攻擊，攻擊者獲利約 13,836 美元。

• 11 月 29 日，SEAMAN 項目遭閃電貸攻擊，攻擊者獲利約 7781 美元。

騙局安全類型事件

• 11 月 1 日，FITE(FTE) 項目疑似 Rug Pull，其網站 fit.app 已關閉，社交媒體已被刪除。詐騙者已將 1900 枚 BNB 轉入 Tornado Cash。

• 11 月 3 日，BSC 鏈上 MetFX 項目疑似發生 Rug Pull，MFX 代幣暴跌 97%。MetFX 部署者已將 10000 枚 MFX 交換為 402 枚BNB（約 13.1 萬美元）。

• 11 月 7 日，ETHPoW 上穩定幣交易協議 MinerSwap 疑似發生 Rug Pull，獲利資金已從 ETHPoW 跨鏈至以太坊，其中已有約 308 枚 ETH 被轉入 Tornado Cash。

• 11 月 14 日，DeFi AI 項目發生 Rug Pull，合約部署者獲利約 4000 萬美元。

網絡釣魚安全類型事件

• 11 月 1 日，Generativemasks 項目 Discord 服務器遭到攻擊。請社區用戶不要點擊、鑄造或批准任何交易。

• 11 月 2 日，NFT 項目 Art Gobblers 出現僞造账號並發布假的 Gobblers 公共鑄造抽獎活動。

• 11 月 3 日，DigiDaigaku CEO 推特账戶疑似被盜，謹防釣魚鏈接。

• 11 月 4 日，網絡釣魚詐騙團夥 Monkey Drainer 再度盜取價值 80 萬美元的 NFT，包括 7 枚 Crypto Punks 系列 NFT 以及 20 枚 Otherdeed 系列 NFT。

• 11 月 23 日，Sensei Labs 項目 Discord 服務器遭到攻擊。請社區用戶不要點擊、鑄造或批准任何交易。

• 11 月 28 日，Shamanzs NFT 項目 Discord 服務器遭到攻擊。請社區用戶不要點擊、鑄造或批准任何交易。

其他安全事件類型

• 11 月 1 日，KUMALEON 項目的 Discord 遭黑客入侵，目前已有 111 枚 NFT 被盜，包括 BAYC #5313 、ENS、ALIENFRENS 和 Art Blocks。參與該項目用戶需撤銷錢包權限，並將資金轉移至新錢包。

• 11 月 2 日，鏈兌換協議 Rubic 發推稱，管理員地址私鑰疑被泄露，攻擊者已出售約 3400 萬 RBC/BRBC。損失約 100 萬美元。

• 11 月 6 日，Loopring 稱 11 月 5 日遭到 DDoS 攻擊，服務曾宕機 11 小時。

總結

本月因中心化交易所暴雷，大部分用戶對其失去信任，而各大中心化交易所為了挽回用戶的信任，紛紛开始進行了默克爾樹儲備金證明。如果您對自己的資金有所疑問，建議去用官方的文檔去驗證下自己的資金是否安全。

從 DeFi 的角度來看，所涉及的安全事件中，除最常見的閃電貸攻擊外，很多攻擊事件都源於合約本身的邏輯問題，這也說明了合約審計的必要性。知道創宇區塊鏈安全實驗室 在此提醒，對合約安全有必要做到常規審計和復合審計，保障合約免受其他攻擊影響，同時高度重視閃電貸和合約邏輯問題。

從網絡釣魚以及騙局跑路角度來看，跑路騙局本月發生的次數並不多，但是跑路騙局所涉及的金額都不少，投資者仍然不能對項目發送警惕，在投資之前一定要做好相應的考察；網絡釣魚相比於上月減少一半，攻擊者一般都是僞造成項目方或者攻擊項目方 Discord 獲得權限，之後攻擊者會發布欺騙鏈接等，所以用戶一定不要點擊、鑄造或批准任何交易。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。