创宇区块链｜9月安全月报lg...

前言

9月结束后我们迎来了十一小长假。长假过后10月工作日第一天，知道创宇区块链安全实验室为大家整理了9月安全攻击事件。

9月，攻击事件虽然大量减少，但所涉及金额却并未减少。据知道创宇区块链安全实验室 【被黑事件档案库】 数据显示：该月发生的安全事件超 26 起，其中钓鱼攻击事件增加迅猛，本月造成损失最为严重的当为加密做市商 Wintermute 因私钥泄露事件，损失高达 1.6 亿美元。本月安全事件造成的损失总金额共计约 167,400,000 美元。

数据分析

1、占比分析：

分析发现，网络钓鱼安全事件在9月占比最多，高达44%，请大家警惕钓鱼注意保护个人资产。值得高兴的是，9月跑路骗局大幅度减少仅占比8%。

2、对比数据分析：

通过对比我们可以发现，本月安全攻击事件除了网络钓鱼类，其他类型数量均为减少，尤其是跑路骗局由上月17起减少至2起。

3、2022年月安全趋势：    

本月安全数量大幅度下降，成为下半年以来最少攻击事件月，应该与以太坊POS共识机制合并有较大的关系，后续如何发展我们将持续关注。

以下是知道创宇区块链安全实验室对9月各类型安全资讯的总结，并就其暴露出的问题进行探讨。

DeFi 安全类型事件

9 月 2 日，隐私项目 ShadowFi 遭遇黑客攻击，其官方 Token SDF 下跌 98.5%。攻击者利用 SDF 的漏洞允许任何人烧毁 Token，获利约 1078 枚 BNB（约合 30 万美元），目前被盗资金已被转入 TornadoCash。

9 月 4 日，Rug Pull Finder 最新推出的 NFT 项目「BadGuys」在免费铸造期间遭到漏洞利用攻击，两名用户利用其 NFT 合约漏洞铸造了 450 枚 NFT，而不是按照最初设定的每个钱包仅能分配 1 枚NFT。这次漏洞是因为「mint」函数缺少所需的安全检查导致，该团队已在社交媒体上做出道歉并称将支付 2.5 ETH 赏金来回购多铸造的 NFT。

9 月 4 日，BNB Chain 上聚合 DAO 社区 DAO Officials 疑似被攻击，此外链上数据显示攻击者或获利逾 50 万美元。

9 月 7 日，攻击者通过 AVAX 闪电贷攻击获利约 37 万 USDC。攻击者可能影响的协议包括 Nereus Finance、Trader Joe、Curve Finance。

9 月 8 日，BNB Chian 链上 New Free Dao 项目遭到闪电贷攻击，NFD 价格下跌超 99%，损失 4500 枚 BNB（约合 125 万美元）

9 月 18 日，攻击者首先在 ETH 主网上通过 omni Bridge 转移 WETH，随后将相同的交易内容在 ETHW 链上进行了重放，获取了等额的 ETHW。目前攻击者已经转移了 741 ETHW 到交易所。Beosin 安全团队建议如果项目方合约里面预设了chainID，请先手动将 chainId 更新，即使项目方决定不支持 ETHW，但是由于无法彻底隔绝通过跨链桥之间的资产流动，建议都在 ETHW 链上更新。

9 月 20 日，加密做市商 Wintermute 因私钥泄露被黑客攻击损失 1.6 亿美元 。

骗局安全类型事件

9 月 16 日，GigaChads DAO 项目疑似出现 Rug pull，CHAO 代币价格暴跌 80%。合约部署者铸造了大量代币然后将其出售。

9 月 26 日，在 BNB Chain 上发现抢先交易机器人骗局，其中骗子教用户如何开发「抢先交易」机器人 (Front-run bot) 来赚钱，但它提供的合约有一个后门，部署完成后，受害者的所有代币都会转移到攻击者的地址。

网络钓鱼安全类型事件

9 月 6 日，Arts DAO 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9 月 6 日，Dictators 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9 月 8 日，元宇宙平台 The Sandbox 项目 Instagram 账号被入侵，thesandboxesgame.com 是钓鱼网站。请用户不要点击钓鱼网站。

9 月 12 日，Alpha Centauri Kid 官方 Discord 服务器收到钓鱼邮件攻击，请不要点击，铸造或批准任何交易。

9 月 14 日，BAYC #8941 疑似被盗，NFT 被转入 0x18e541...D0F4 地址，被标记为钓鱼地址。

9 月 14 日，ID 为 @FreddyAdu 的经过认证的推特账号遭到黑客攻击，攻击者将其伪造为 LooksRare 推特并发布虚假空投网站信息，目前仍未恢复。

9 月 18 日，Alter Ego Hunters 官方表示其 Discord 遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9 月 18 日，Dystians 的 Discord 遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9 月 18 日，NFT 项目 pumpʂkin 发推称，Discord 服务器和 Discord 管理账户遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9 月 20 日，印度加密交易平台 CoinDCX Twitter 帐号疑似被入侵，并发布欺诈性链接。

9 月 22 日，Suspicious Unicorn Society 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

9 月 28 日，SOL Decoder 项目 Discord 服务器遭攻击。请社区用户不要点击、铸造或批准任何交易。

其他安全事件类型

9 月 2 日，去中心化流动性协议 Kyber Network 在推特上披露，该协议因前端漏洞利用导致其用户损失 26.5万 美元资金（若出现新信息将更新该数据）。该漏洞源于 KyberSwap 网站中的恶意 Google Tag Manager 代码，攻击者的目标是鲸鱼钱包，通过插入虚假批准获得了转移用户资金的权限。

9 月 9 日，零知识证明研发机构 StarkWare 发推称，其扩容引擎 StarkEx V4.5 被 Vlad Bochok（Matter Labs 工程师）和 Ihor Barenblat 指出存在漏洞，在运营者控制的条件下，该漏洞可使用户能够从一个冻结系统的 Vault 中双花。不过，目前该漏洞已被修复。

9 月 18 日，通过 Profanity 创建的某些以太坊地址存在严重漏洞，黑客利用 Profanity 漏洞获利 330 万美元。

9 月 20 日，加密货币投资服务银行 Revolut 已经证实，它受到了一次高度针对性的网络攻击，黑客可以访问数万名客户的个人详细信息。

9 月 26 日，0x9731F 开头地址从使用 Profanity 工具生成的以太坊靓号地址中窃取 95 万美元的加密货币，攻击者已将将 732 枚以太坊转移至混币器。

总结

从 Defi 的角度来看，所涉及的安全事件中，闪电贷攻击和重入攻击仍旧最为常见，所以说合约的审计是非常有比较的。而加密做市商 Wintermute 安全事件提醒我们私钥的重要性，一定要保护好自己的私钥，所以在合约本身的安全之外，我们也需要关注合规性安全。知道创宇区块链安全实验室 在此提醒，对合约安全有必要做到常规审计和复合审计，保障合约免受其他攻击影响，同时高度重视函数权限问题，以防止高权限函数被任意调用。

从网络钓鱼以及骗局跑路角度来看，跑路骗局在本月有所下降，但仍然不可放松警惕，需要时时刻刻对项目及项目方进行细致的考察；而网络钓鱼逐月增加，可以看出攻击者认为网络钓鱼更容易欺骗到用户从而获利，作为用户要多加小心，不可随意信任他人而点击相关内容。

山河远阔，国泰民安，祝福虽晚但心意不晚，祖国生日快乐！

来源：金色财经