黑暗的八月：各類安全事件回顧_ANC

8 月份以來，各鏈上頻頻遭遇閃電貸攻擊等黑客攻擊事件，其中更是發生了被稱為年度最大黑客事件的跨鏈協議 Poly Network 被攻擊事件。

知道創宇區塊鏈安全實驗室 總結了 8 月 發生的鏈上安全事件，并就攻擊手法和暴露出的問題進行探討。

以下是 8 月 發生的各領域的安全事件：

8 月 4 日

以太坊上的 DeFi 協議 Popsicle Finance 遭遇閃電貸襲擊，漏洞原因在于 PLP 池合約對手續費獎勵的計算存在缺陷，損失 2,070 萬 美元；

SBF同意禁言令，將被禁止與媒體討論可能干擾審判的事宜:7月25日消息，據彭博社報道，FTX創始人SBF同意了一項禁言令，這將在很大程度上阻止他公開討論自己的案件。該命令仍需得到美國地區法官LewisA.Kaplan的批準，他已傳喚SBF周三在紐約聯邦法院出庭。美國檢察官此前指控SBF向媒體提供其前女友的私人文件，以詆毀她作為刑事欺詐審判潛在證人的身份。

金色財經此前報道，根據周一在曼哈頓提交的擬議命令，SBF和其他當事人將被禁止與媒體討論任何可能干擾公平審判的事宜，包括關于證人可信度的陳述、庭審中不能采納的信息以及任何可能影響公眾對此案看法的信息。[2023/7/25 15:56:30]

BSC 鏈上 Wault Finance 遭到閃電貸攻擊，由于代幣質押處理缺陷導致套利，損失 93 萬美元；

DWF Labs在YGG價格上漲時將近一半YGG持倉轉至Binance:6月20日消息，據Spot On Chain監測，DWF Labs在23小時前，當YGG價格開始上漲時，將365萬枚YGG轉移至Binance，單價為0.144美元，總價值為52.4萬美元。DWF Labs上一次與YGG相關的交易是在126天前，當時他們將70萬枚YGG以0.292美元的單價轉至Binance，總價值為20.4萬美元。最新的流出占了DWF Labs目前YGG持倉的50%（仍在0x90d的錢包中持有365萬枚YGG，約值52.9萬美元）。DWF Labs是Yield Guild Games在2022年的投資者之一。[2023/6/20 21:50:28]

Coinbase 表示由于 BSV 網絡遭遇 51% 攻擊，已暫停 BSV 交易。

慢霧創始人發布MetaMask瀏覽器插件失效解決法方案:2月16日，慢霧創始人在回復社區成員問題時，分享 MetaMask 瀏覽器插件無法啟動解決法方案，在沒有備份過助記詞/私鑰，同時重啟插件/電腦均無法解決的情況下，可在電腦本地全局搜索 nkbihfbeogaeaoehlefnkodbefgpgknn，這是 MM 擴展 id，如這個目錄下：

C:\\Users\\[User]\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Local Extension Settings

kbihfbeogaeaoehlefnkodbefgpgknn 找到 ldb/log 這些文件，在這些文件里找到如圖目標內容。

后用 metamask.github.io/vault-decryptor/解開這段目標內容，Password 就是目標 MetaMask 擴展的密碼。

若 MM 的任意擴展頁面可以打開，比如：chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html，則用下面的方式也有得到待解密的內容：

chrome.storage.local.get('data', result => {

var vault = http://result.data.KeyringController.vault

console.log(vault)

})[2023/2/16 12:10:14]

8 月 10 日

跨鏈協議 Poly Network 遭到攻擊，由于函數缺陷導致keeper可被修改，這次攻擊被稱為年度最大黑客事件，損失約 6.1 億美元；

8 月 12 日

加密孵化機構 DAO Maker ?遭到攻擊，此次攻擊極可能源于管理員私鑰泄露或者內部人員作惡，損失約 700 萬美元；

幣安智能鏈上借貸協議 Neko Network 遭受攻擊，損失約 256 萬美元；

8 月 17 日

BSC鏈上DeFi 協議 XSURGE 遭到閃電貸攻擊，由于重入漏洞和架構問題導致套利，損失超 526 萬美元；

8 月 19 日

總部位于日本的加密貨幣交易所 Liquid 熱錢包遭攻擊，損失 9135 萬美元；

BSC 鏈上收益聚合器 Pinecone Finance 保險庫遭受攻擊，損失 20 萬美元；

8 月 21 日

Cosmos 生態 dVPN 項目 Sentinel 因 HitBTC 交易所泄漏了助記詞，損失 4000 萬美元；

8 月 25 日

BSC 鏈上DeFi 項目 Dot.Finance 遭受閃電貸攻擊，這次攻擊屬于 PancakeBunny 同類型協議攻擊，損失近 43 萬美元，迄今為止，此類攻擊已造成損失超 5,000 萬美元；

8 月 27 日

以太坊主網遭遇分叉，以太坊 Geth 客戶端緊接著發布最新的 1.10.8 版本，但仍有超過 70%客戶端未更新至最新版本。

8 月 29 日

Bilaxy（幣系）交易平臺熱錢包被黑客攻擊，損失超 2100 萬美元；

DeFi 質押和流動性策略平臺 xToken 發推稱其 xSNX 合約漏洞被利用。

8 月 30 日

以太坊上的 DeFi 協議 Cream Finance 遭遇重入漏洞襲擊，損失超 1800 萬美元；

各鏈上項目 8 月以來依然頻頻暴雷，DeFi 領域安全形勢依舊嚴峻，幣安智能鏈（BSC）由于其手續費低廉、出塊速度快的特點，吸引了大批 DeFi 協議，也由此黑客的攻擊目標已逐漸從以太坊轉移至幣安智能鏈或者其他相仿智能鏈的 DeFi 生態中。

此外，在最新的攻擊事件中，也讓各項目認識到新興的跨鏈協議也正在成為黑客的目標而且造成的損失可能更加巨大。

Tags：ANCDEFULTNCEYoco FinanceDefiBayMetavault DAOCuriosity Finance

MATIC