9月安全事件回顾

创宇区块链安全实验室
创宇区块链安全实验室 机构得得号

Oct 08 专注构建区块链安全生态,致力于让人类进入安全的区块链世界。

摘要: 从 Defi 安全角度来看 9 月安全事件相较于较 8 月份已有所下降,但是从整体安全角度来看依然不容乐观。

前言

从 Defi 安全角度来看 9 月安全事件相较于较 8 月份已有所下降,但是从整体安全角度来看依然不容乐观,黑客攻击涉及到的损失金额巨大。

知道创宇区块链安全实验室
总结了 9 月发生的各类安全事件,并就攻击手法和暴露出的问题进行了梳理。

9 月安全事件盘点

以下是 9 月发生的各领域的安全事件:

9 月 4 日

NFT 赛马项目 DeRac 针对 DAO 公共买家在未来解锁领取代币的合约 DAO Maker分发系统 被攻击,其漏洞原理是:Vesting 合约 未进行 init 未初始化保护,从而让黑客初始化了 init 的关键参数,也变更了 owner,导致黑客通过紧急提款函数提取了合约资金,损失约 400 万美元。

9 月

NFT 市场 OpenSea 出现漏洞导致 30 笔交易受到影响,至少 42 个 NFT 被销毁, 损失约 9.7 万美元。

9 月 12 日

Avalanche 链上 Zabu Finance 由于其 defi 协议与代币协议之间不兼容被黑客利用,通过攻击获取 45 亿 ZABU 代币,损失约 60 万美元。

9 月 15 日

去中心化交易所 NowSwap 遭到黑客攻击,由于没有修改 swap 函数的参数导致闪电贷的恒定乘积校验逻辑失效,攻击者返还部分闪电贷金额即被认为是完全归还,从而实现了攻击,损失金额超 100 万美元。

9 月 17 日

9 月 17 日,SushiSwap 平台 MISO 上的 DONA 代币拍卖遭到攻击,黑客通过向 MISO 前端插入了恶意代码,将拍卖钱包地址改为了自己的钱包地址获利,损失超 300 万美元。

9 月 20 日

跨链协议 pNetwork 因代码漏洞遭攻击,损失约 1308 万美元。

9 月 21 日

借贷协议 Vee.Finance,超 3500 万美元资产被盗,据官方调查,极可能是小数点未精确以及权限校验问题导致预言机价格被操纵。

9 月

OpenZeppelin 的 TimelockController 合约修复了一个可重入漏洞,这是 OpenZeppelin 在其开源智能合约库中唯一存在的严重漏洞。

9 月 30 日

去中心化借贷协议 Compound 出现漏洞错误地允许一些用户索取额外的 COMP 代币, 该漏洞损失约 28 万枚 COMP 代币。

总结

各链上项目问题依然十分严峻,智能合约层面的漏洞导致的损失一般都十分巨大,相较于新型漏洞,大多数漏洞都属于可追溯漏洞即已经出现过的漏洞,希望各方在开发项目或者审计项目时多做考虑。

关于 OpenZeppelin 出现的漏洞则再一次提醒我们,没有绝对的权威,任何项目都需要多方验证保证其安全性。

作者:创宇区块链安全实验室;来自链得得内容开放平台“得得号”,本文仅代表作者观点,不代表链得得官方立场凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请联系微信:chaindd123。

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 创宇区块链安全实验室 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

相关Defi项目

相关币种

  • 币种
    实时价格
    涨跌幅
分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信