BNB:创宇区块链10月安全月报

1.前言

随着行情逐渐的好转，十月各类攻击事件也突增并且涉及金额相当巨大，令人瞠目结舌。据知道创宇区块链安全实验室数据显示：该月发生的安全事件超53起，总损失高达超8.5亿美元。其中DeFi安全事件飞速增加，最具代表性的当属BNBChain跨链桥TokenHub系统合约遭到黑客攻击事件，损失高达5.6亿美元。

2.数据分析

1、占比分析：

通过对本月各类型安全事件的数量和占比分析，可以发现几乎一半攻击都来自DeFi攻击，而网络钓鱼也仍然是高事件攻击类型。

2、对比数据分析：

通过对比发现，本月DeFi安全以及跑路局事件翻倍增加，而其他安全事件也处于小幅度增长或持平状态。

3、2022年月安全趋势：

本月，安全事件数量总体明显上升，对比上月安全事件数量上升超一倍，可见行情逐渐的回暖同时也带来了极大的安全威胁。

3.DeFi安全类型事件

10月2日，跨链DEX聚合器TransitSwap遭到攻击，截至目前，损失估计已超过2800万美元。此次攻击，主要是针对那些已经批准TransitSwap&CrossApproveProxy合约的地址。

opBNB最新进展：已与Truffle、Foundry、Hardhat、Remix开发者平台集成:7月14日消息，BNB Chain发布基于OP Stack的Layer 2网络opBNB最新进展，opBNB已与区块链基础设施提供商NodeReal合作，用户可通过NodeReal平台访问opBNB浏览器，opBNB Scan提供一个用户友好界面，用于探索和分析opBNB交易、地址和其他相关信息。此外，opBNB已与Truffle、Foundry、Hardhat、Remix开发者平台集成，支持MetaMask、Trust Wallet、Particle Network、Math Wallet钱包。同时，opBNB也已集成Polyhedra跨链桥，与AvengerDAO合作增强安全。[2023/7/14 10:55:50]

10月7日，BNBChain跨链桥TokenHub系统合约遭到黑客攻击，被分两次提取200万枚BNB，约合5.6亿美元。

10月9日，XaveFinance项目遭到黑客攻击，导致RNBW增发了1000倍。

10月11日，QANplatform桥智能合约遭到攻击，攻击者在以太坊上获利资产约960,000美元，在BNBChain上获利资产约1,140,000美元。

OpenAI发文介绍保障AI安全的方法:金色财经报道，ChatGPT 研发者 OpenAI 在其官方博客中发布了题为《Our approach to AI safety》（《我们保障 AI 安全的方法》）的文章，介绍了该公司确保 AI 模型安全性的部署。该文章介绍了六个方面的部署，一是构建越来越安全的 AI 系统，二是从实际使用中积累经验以改善安全措施，三是保护儿童，四是尊重隐私，五是提高事实准确性，六是持续研究和参与。

该文章介绍，OpenAI 要求用户必须年满 18 周岁，或年满 13 周岁经父母批准，才能使用其 AI 工具，该公司正在研究验证选项。OpenAI 不允许其技术用于生成仇恨、骚扰、暴力或成人类别的内容，并阻止儿童性虐待等材料上传到其图片工具中等。[2023/4/6 13:47:56]

10月11日，DeFi协议TempleDAO疑似遭到攻击，损失约234万美元。

10月11日，Rabby项目遭到黑客攻击，涉及金额约20万美元。

10月12日，基于Solana的去中心化金融平台Mango遭到潜在1亿美元的攻击。

10月12日，ATK项目遭受闪电贷攻击，攻击者获利12万美元。

10月14日，MEV机器人(0x00000.....be0d72)被利用，损失约为187.75WETH。

2月STEPN月活用户降至42965个，较历史峰值缩水近94%:金色财经报道，Dune Analytics数据显示，自2022年1月以来，市场对STEPN运动鞋的新需求持续下降，2月STEPN月活跃用户数已降至42,965个，较2022年5月创下的705,452峰值缩水近94%。

此外，STEPN旗下去中心化交易所（DEX）DOOAR的日均活跃钱包数量在Solana上DEX日活钱包总量占比也降至22%。[2023/3/8 12:49:07]

10月17日，MTDAO项目方的未开源合约遭受闪电贷攻击，损失近50万美元。

10月18日，BitKeepSwap遭到黑客攻击，开发团队已进行紧急处理，黑客的攻击行为已被阻止，攻击集中于BNBChain，造成约100万美元的损失。

10月18日，PLTD项目遭到黑客攻击，其交易池中的所有BUSD被全部兑空，攻击者共获利24,497枚BUSD。

10月19日，Celo上的Moola协议遭受攻击，黑客获利约900万美元。

10月20日，代币GEO合约被攻击，请勿在BNBChain上购买GEO。

10月20日，一项名为「以太坊闹钟」(EthereumAlarmClock)的服务因智能合约漏洞而被利用，目前黑客已经获取了204个ETH，价值约259800美元。

安全公司：DegenClub_DMC项目损失约1.9万美元:2月6日消息，据区块链安全审计公司Beosin旗下Beosin?EagleEye安全风险监控、预警与阻断平台监测显示，2023年2月6日， DegenClub_DMC项目遭受黑客攻击，Beosin安全团队分析发现，攻击原因为项目方的DMC代币合约中存在外部可调用的mintFromStaking函数，它允许任意人都可以通过该函数增加指定地址的余额，攻击者通过mintFromStaking函数增加指定地址的余额，再通过交易对中把DMC代币兑换成WBNB实现获利。

累计造成损失约1.9万美元，Beosin Trace追踪发现目前获利资金已被攻击者转移至Tornado.cash中。[2023/2/6 11:49:51]

10月20日，推特用户披露BitBTC和Optimism之间的跨链桥存在「虚假铸币」漏洞，现已修复。

10月21日，OlympusDAO因代码漏洞导致约29.2万美元损失。

10月23日，Optimism生态投资项目Layer2DAO遭遇黑客攻击，黑客通过获取了Layer2DAO的多重签名权限盗走约4995万枚L2DAOToken并将部分抛售。损失约为32万美元。

10月24日，QuickSwap因闪电贷攻击损失22万美元，将暂时关闭借贷市场。

以太坊短时跌破1300美元:金色财经报道，行情显示，以太坊短时跌破1300美元，现报价1302.3美元。行情波动较大，请做好风险控制。[2022/10/19 17:31:41]

10月25日，ULME代币项目遭黑客攻击，损失50646BUSD。

10月25日，MelodySGS项目的AssetsDepositUpgrade合约疑似遭受黑客攻击，攻击共造成2225枚BNB损失。损失约为64万美元。

10月27日，多链钱包UvToken遭遇攻击，UVT代币价格下跌99%，攻击者已将盗取的约5011枚BNB转入TornadoCash。

10月27日，TeamFinance团队表示，该协议管理资金在由Uniswapv2迁移至v3的过程中遭到黑客攻击，已确定的损失为1450万美元。

10月27日，TrustSwap项目遭受黑客攻击，影响金额至少约779万美元。

10月27日，项目VictortheFortune遭闪电贷攻击，攻击者已获利约5.8万美元。

10月28日，FriesDAO因Profanity漏洞遭到攻击，损失约230万美元。

4.局安全类型事件

10月2日，BTU(BTU)项目出现88%以上的跌幅，已确认该项目为RugPull项目。

10月6日，Easier(EAI)出现66%以上的跌幅，已确认该项目为RugPull项目。

10月7日，山寨项目GMX(GMX)出现88%以上的跌幅，已确认该项目为RugPull项目。

10月9日，Jumpnfinance项目发生Rugpull，目前被盗资金中2100BNB已转入Tornado.Cash，剩余部分2,058BNB还存放在攻击者地址。

10月16日，SHOK项目价格跌幅超过83%，已被确认为RugPull，该局已获利约7.14万美元。

10月20日，MangoINU项目已确认是RugPull，币价跌幅超过80%，该局已获利约4.85万美元。

10月20日，DD项目价格跌幅超过87%，已被确认为RugPull，该局已获利约10.9万美元。

10月24日，Freeway项目方删除了官方名单并且实施了RugPull，涉及金额或超1亿美元。

10月24日，Mango攻击者通过部署RugPull项目MangoInu获利10万美元。

10月28日，一伪装成Aptos官方的空投局已获利114.8枚ETH，切勿点击钓鱼网站airdrop.aptlabs.fi。

5.网络钓鱼安全类型事件

10月9日，英国知名女子组合辣妹合唱团(SpiceGirls)成员MelB已向当地报警，称其Whatsapp遭加密黑客攻击，黑客向MelB的社交网络好友发布了一个慈善比特币捐款项目请求，她的家人和名人朋友收到了大量虚假加密货币捐赠请求。

10月8日，Flaskies项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

10月9日，价值超过70万美元的七只「无聊猿」BAYC已经被盗，分别是BAYC4317、755、6567、8761、2951、9611、8274。受害者被诱批准了一个恶意合约，导致钱包内BAYC被盗。

10月15日，WhisbeVandalz项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

10月16日，ProjectKaito项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

10月18日，XANA项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

10月22日，Gate官方推特账号疑似被黑，并发送钓鱼信息，请用户注意资产安全。

10月22日，Vivity项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

10月22日，ProjectShojira项目Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

10月25日，FTX和3CommasAPI密钥相关钓鱼事件的攻击者还攻击了BinanceUS和Bittrex交易所，分别盗取了1053枚ETH和301枚ETH。

10月26日，NFT项目primordials的Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

10月28日，NFT项目OxyaOrigin的Discord服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

6.其他安全事件类型

10月11日，paraswap部署者私钥疑似泄露，资金在多个链上被盗。

10月11日，TokenPocket官网遭受异常流量攻击，技术团队正在进行紧急维护。

10月17日，日本多家交易所遭到LazarusGroup发起的网络攻击，据信该集团由朝鲜政府直接控制。

10月25日，Web3娱乐社交应用Melody代币地址被黑客盗用，团队暂时关闭提现功能。

10月26日，SpookieFinance前端疑似遭到攻击，GHOST币价几乎归零。

7.总结

从DeFi的角度看所涉及的安全事件中，除最常见的闪电贷攻击外，跨链桥攻击也愈发频繁。这里再次提醒大家合约审计的重要性：在相当多的攻击事件中，逻辑问题基本上是影响最为严重的，所以开发人员在开发时，需要对合约功能逻辑进行严谨开发。同时对合约安全有必要做到常规审计和复合审计，保障合约免受其他攻击影响，同时高度重视闪电贷和跨链桥合约。

从网络钓鱼以及局跑路角度来看，跑路局相比于上月大量增加，这警示着投资者需要对项目及项目方各个方面都进行全面考察，谨慎对待没一个项目，防止无良项目方钱跑路；网络钓鱼相比于上月基本持平，增加幅度不大，但事件数量却丝毫不减，可以看出攻击者仍然认为网络钓鱼更容易到用户从而获利，而普通投资者也确实在这方面容易掉以轻心，知道创宇区块链安全实验室提醒大家不要点击、铸造或授权任何不明交易，交互过程中注意钱包或者浏览器提示信息，涉及Approve授权操作应格外注意。

标签：BNBPULRUGORDbnb什么银行CatapultRUGBUSTCryptoSword

以太坊价格今日行情热门资讯