创宇区块链三月安全月报

前言

三月以来发生的安全事件数量之多、涉及到的金额之高令人沉默，据知道创宇区块链安全实验室【被黑事件档案库】数据显示：该月发生的安全事件超 34 起，其中跨链桥 Ronin 攻击事件涉及金额更是足以媲美去年跨链桥ploy network 攻击事件，损失超 6.2 亿美元，而本月安全事件涉及到的总金额更是高达 7 亿美元。

以下是知道创宇区块链安全实验室对三月各类型安全资讯的总结，并就其暴露出的问题进行探讨。

Defi安全类型事件

• 3 月 5 日，BaconProtocol 遭受黑客攻击损失约 958,166 美元，本次攻击利用重入漏洞，并凭借闪电贷扩大收益额。

• 3 月 16 日 ，xDai Chain 上Agave合约因为一个非信任的外部调用遭受攻击，黑客获得约 raluni，获利逾 170 万美元，约 1/3 已流入 Tornado。

• 3 月 16 日 ，xDai Chain 上 Agave 合约因为一个非信任的外部调用遭受攻击，黑客获得约 540 万美元的利润。

• 3 月 16 日 ，多链衍生品协议 DeusFinance 被监控到在 Fantom 网络上被黑客攻击，黑客共计盗走 20 万枚 DAI和 1,101.8 枚 ETH，总价值约 300万 美元。

• 3 月 21 日，BNB Chain 和以太坊上的 Umbrella Network 由于合约存在整型溢出问题导致奖励池被抽取，黑客获利 70 万美元。

• 3 月 22 日， 跨链 DEX 聚合协议 Li.Finance 发推表示，攻击者利用了 Li.Finance 的智能合约，约 60 万美元从 29 个钱包中被盗，错误已修复并进行重新部署。

• 3 月 24 日，Solana 上的稳定币项目Cashio遭遇黑客攻击。黑客利用了协议无限铸造漏洞，并通过绕过一个未被验证的账号，非法增发了20亿个CASH代币，获利总价值约

• 3 月 24 日，Solana 上的稳定币项目 Cashio 遭遇黑客攻击。黑客利用了协议无限铸造漏洞，并通过绕过一个未被验证的账号，非法增发了 20 亿个 CASH 代币，获利总价值约 5000 万美金。

• 3 月 29 日，Axie Infinity 侧链 Ronin 发文表示验证者节点遭入侵，17.36 万枚 ETH 和 2550 万 USDC 被盗，总金额约合 6.2 亿美元。

• 3 月 30 日，去中心化期权协议 Acutus 的 ACOWriter 合约存在外部调用风险，攻击者可以通过此漏洞进行任意外部调用。目前攻击者利用该手法已经盗取了部分授权过该合约的用户的资产约 72.6 万美金。

• 3 月 31 日，BasketDAO 遭到攻击，导致用户损失约 120 万美元。目前发现大部分被盗资金都被存入了 TornadoCash。

• 3 月 31 日，去中心化借贷网络 Ola Finance 遭遇黑客攻击，损失约 470 万美元。

• 3 月 31 日，Fuse 链上借贷协议 Voltage Finance 借贷平台被攻击，损失约为 400 万美元。

• 3 月 31 日，Castle Finance 开发者发现 Solana 生态 DeFi 借贷协议 Jet Protocol 存在重大漏洞，该漏洞可以使得攻击者从任意账户中提取代币。

骗局安全类型事件

• 3 月 10 日，￥DAOKing-Lucky DAO 被监测到为诈骗项目，其管理员已将 505 枚 BNB 存入Tornado.cash，并事先进行了虚假的智能合约升级。

• 3 月 15 日，NFT 项目 NFTflow 发生 Rug Pull，目前其官方社交账号（＠NftflowStarkNet）已注销。

• 3 月 22 日，NFT 项目 WW3Apes 发生 Rug Pull，目前已删除其社交媒体账号。其另一关联项目 GodZape 也发生了 Rug Pull，损失约 20 ETH，并已在数天前删除其社交媒体账号。

• 3 月 28 日，DeFi 项目 Buccaneer Finance 发生 Rug Pull，目前其官方社交账号已注销，诈骗者已将 841 枚 BNB 转移至 TornadoCash 混币。

• 3 月 29 日，BNB DEFI 发生Rug Pull，DEFI 代币短时下跌 68％。目前该项目已关闭其社交媒体群组，损失达 255 枚 BNB。

• 3 月 31 日，＠BinanceNFT_BFT 系伪造的 Binance NFT Twitter 账户，正在推广“貔貅盘”骗局。Binance NFT 官方 Twitter 账户，请认准 ＠TheBinanceNFT。

网络钓鱼安全类型事件

• 3 月 7 日， Solana 上出现多起授权钓鱼事件。攻击者批量给用户空投 NFT，用户通过空投 NFT 描述内容里的链接进入目标网站，连接钱包，点击批准后该钱包里的所有原生资产都会被转走。

• 3 月 15 日，诈骗者入侵 NFT 项目 Wizard Pass社群，被盗 NFT 包括 BAYC、Doodles 等。

• 3 月 18 日 ，NFT 项目 Rare Bears 官方 Discord 遭遇攻击，提醒用户不要点击任何钓鱼链接或随意连接钱包，注意资产安全。

• 3 月 24 日，高达元素 NFT 项目 MekaVerse 发推表示，官方 Discord 被黑，社区其他用户反映，疑似有数十万机器人的钱包已经被盗，似乎没有真实用户影响。

• 3 月 28 日，有攻击者冒充 Cryptovoxel 官方进行钓鱼攻击，诱导用户进行授权，偷走了多个 NFT 然后在opensea 上出售。

• 3 月 29 日，智能元宇宙项目 Alethea AI 发推称其 Discord 被黑客攻击，目前正在评估情况。

• 3 月 29 日，TheDronesNFT 项目 discord 遭受黑客攻击，黑客在 discord 中发布了一个伪造的 mint 链接，项目方发布公告愿意赔偿投资者因 mint 带来的损失。

• 3 月 31 日，由于涉及被黑推特账户的广泛网络钓鱼攻击，至少有 35 个 NFT 被盗。包括 Bored Ape、Mutant Ape 以及 Bored Ape Kennel Club NFT，价值达 90 多万美元。

其他安全事件类型

• 3 月 4 日， 在 TreasureDAO 代码漏洞导致其 NFT 市场 100 多个 NFT 被盗数小时后，开发人员证实黑客已开始归还被盗的 “Smol Brains”和其他 NFT。

• 3 月 23 日，主要加密投资公司 DeFiance Capital 的创始人 “Arthur_0 x” 的一个热钱包遭到黑客攻击，损失超过 160 万美元的非同质化代币 (NFT) 和加密货币。

• 3 月 25 日，Lido DAO 已销毁 DeFiance Capital 创始人价值 1330 万美元被盗 Lido Token，并将它们铸造到由 DeFiance Capital 控制的新钱包中。

• 3 月 28 日，谷歌研究人员发现有 2 个朝鲜黑客组织利用了 Chrome 浏览器中的一个远程代码执行 0 day 漏洞超过 1 月，用于攻击新闻媒体、IT 公司、加密货币和金融科技机构。

• 3 月 31 日，Tezos 开发团队 Nomadic Labs 今日凌晨在推特上表示，已发布 Tezos Octez 套件的新版本 v12.1，修复了 Ithaca 2 Baker 软件中可能导致崩溃的漏洞。

总结

从Defi安全形势来看，重入漏洞和外部危险调用成为常客，Solana生态也被黑客觊觎，当然重中之重依然是跨链桥安全问题。知道创宇区块链安全实验室 在此提醒，对合约安全有必要做到常规审计和复合审计，保障合约免受其他攻击影响，同时高度重视授权问题，对于授权要有明确的时间限制。

从网络钓鱼以及骗局跑路频发来看，黑客和骗子们对于区块链用户更加青睐，对此用户需要提示自身安全意识，做到拒绝陌生链接以及不合理请求，不可以盲目信服他人，这样才能保障自身财产安全。