區塊鏈安全8月報：安全事件超42起，損失約2.44億美元-ODAILY_區塊鏈

*1.前言*

八月，web3.0方面安全事件數量依舊高居不下，沒有下降趨勢。根據知道創宇區塊鏈安全實驗室數據顯示：該月發生的安全事件超42起，和上月基本持平，造成的損失總金額共計約2.44億美元。

通過對8月各類型安全事件的數量和占比分析，騙局跑路類安全事件仍然最為嚴重，這表明大部分投資者在進行項目投資之前還是未對項目的本質進行辨別從而被騙。值得一提的是跨鏈通訊協議Nomad在本月遭到有史以來最混亂的一次黑客攻擊導致近1.9億美元損失。

本月安全事件趨勢相比上月未出現明顯變化，安全事件仍頻頻發生。千里之堤毀于蟻穴，這需要大家和項目方時刻都做好安全準備，避免造成個人損失。

以下是知道創宇區塊鏈安全實驗室對八月各類型安全資訊的總結，并就其暴露出的問題進行探討。

*2.DeFi安全類型事件*

成都市郫都區利用區塊鏈等建立建筑垃圾信息化監管平臺:中國四川省成都市郫都區充分利用物聯網技術，融合人工智能、大數據、云計算與區塊鏈等技術，建立了“郫都區建筑垃圾（沙石）收運出信息化監管平臺”，通過車載智能終端、電子圍欄、場地監控以及使用無人機巡查等方式，進行“云監管”。（瀟湘晨報）[2020/11/6 11:47:22]

8月2日，知道創宇區塊鏈安全實驗室檢測到，跨鏈通訊協議Nomad遭到攻擊，導致近1.9億美元的加密貨幣被移除。

8月2日，收益聚合器ReaperFarm遭到攻擊，攻擊者已轉移160萬DAI和62枚ETH至Tornado.Cash。

8月5日，EtnProduct項目遭到閃電貸攻擊，攻擊者總共獲利約3074美元和一個價值7380美元的NFT。

8月5日，ANCHStakePool項目遭到價格操縱攻擊，攻擊者共獲利106931USDT。

8月8日，BSC上的EGDFinance項目遭到黑客攻擊，導致代幣價格被閃電貸操控從而獲利。黑客共獲利約36000BUSD。

8月14日，Acala因iBTC/aUSD池的漏洞遭到黑客攻擊，團隊正在通過一項緊急投票，暫停Acala上的操作，同時正調查并解決這個問題。

報告：2020年區塊鏈相關專利數量飆升，阿里巴巴居首:Kisspatent團隊的一項研究顯示，阿里巴巴集團是2020年最大的區塊鏈專利持有者，其專利數量是IBM的10倍，緊隨其后的是金融機構BoA。再之后是IBM、萬事達卡、nChain和沃爾瑪。報告指出，區塊鏈專利在今年“猛增”，到2020年迄今為止，相關專利發布量超過2019年全年。Kisspatent研究員D’vorah Graeser博士指出：“純區塊鏈公司往往沒有申請專利，財富500強企業才申請。”值得注意的是，CSW所在的nChain是“唯一一家純區塊鏈公司”。Kisspatent強調，nChain的專利聲明是基于其新聞稿中所公布的信息，但“可能包括許多尚未公布的專利，另外，他們可能將在多個國家提交的國際申請作為單獨的專利申請進行計算。”

需指出的是，Graeser的名單似乎不完整，因為沒有包括像Rechain、微眾銀行和騰訊等公司。Chinadaily.com顯示，IBM擁有240項區塊鏈專利，Rechain 279項，微眾銀行282項，nChain 402項.此外據其統計，騰訊迄今已有724項相關專利。阿里巴巴仍以1505項專利居首位。（Bitcoin.com）[2020/9/20]

8月17日，Stader.Near在其官方社交媒體發文表示，黑客利用了NearX智能合約中的一個漏洞，造成約165,000枚NEAR損失。Stader.Near已暫停其智能合約，用戶在此期間無法質押、解除質押或提款。

聲音 | 互金協會初本德：增強金融科技治理能力要綜合運用區塊鏈等技術:2019中國金融科技年會暨第十屆金融科技及服務優秀創新獎頒獎典禮近日在京召開。會上，中國互聯網金融協會顧問初本德表示，落實《金融科技發展規劃（2019-2021年）》要求，要積極發展監管科技，增強金融科技治理能力，加強監管科技領域基礎設施、數據標準、運行模式等方面的頂層設計，綜合運用人工智能、大數據、區塊鏈、API等新一代數字技術，逐步實現監管規則數字化翻譯、數據實時化采集、風險智能化分析、結果可視化呈現等功能。（中國金融新聞網）[2019/12/22]

8月22日，BNBChain上DeFi借貸協議CreamFinance正面臨流動性危機，造成此次危機的原因主要是協議允許某用戶在無抵押物的情況下最多借貸10.7萬枚BNB。

8月24日，BNBChain上DeFi協議KaoyaSwap遭到交易函數的錯誤邏輯引起的攻擊，攻擊利潤在37294枚BUSD和271.2枚WBNB左右。

8月31日，BNBChain上CUPID代幣合約遭遇閃電貸攻擊，CUPID代幣和VENUS代幣均暴跌，攻擊者獲利78622美元。

*3.騙局安全類型事件*

8月3日，加密項目TiFiToken發生RugPull，代幣TiFi價格下跌20%，共獲利約700BNB。

聲音 | 維也納首席信息官：區塊鏈技術或成為支付手段，是維也納數字未來的關鍵:維也納首席信息官Ulrike Hueme在接受采訪時表示，區塊鏈是維也納數字化未來的關鍵，區塊鏈技術一直應用于維也納“智慧城市”的建設。維也納首個區塊鏈試點項目“公開數據公證”將在未來幾周內涵蓋位于奧地利數據門戶上的奧地利政府的所有數據記錄。作為一種獎勵制度而設立，維也納市正使用區塊鏈作為所謂“城市代幣計劃”的一部分。此外，維也納還計劃建立一個可以應用于政府文件公證、自我主權身份等不同領域的公證服務。Ulrike Hueme還透露，維也納市并不打算發行自己的加密貨幣，作為一個城市，我們只是作為一個觀察者。不過，在某一時刻，區塊鏈技術可能會被用作一種支付手段，因為它可以大大改善金融交易。[2019/5/19]

8月7日，加密項目SaxonJamesMusk疑似發生RugPull，代幣SJMUSK下跌逾68%，0x53a開頭的EOA地址不斷賣出，已獲利約1355BNB。

8月8日，Polygon鏈游Dragoma疑似發生RugPull，其代幣DMA從1.8美元暴跌至0.003美元左右，跌幅超99%。損失約為270萬美元。

8月10日，XSTABLE.PROTOCOL發生RugPull，代幣XST價格下跌98.4%，官網xstable.finance疑似已被關閉，推特賬號則已被刪除。

金色晨訊 | 火幣區塊鏈產業聯盟在海南落地 阿里巴巴達摩院上線區塊鏈實驗室:1.北京東城法院首次認可區塊鏈取證 區塊鏈+電子存證初步落地。

2.SEC表示目前大部分數字資產可以被視為證券，使用法律與股票相同。

3.奧地利政府將在以太坊區塊鏈上拍賣13.5億美元政府債券。

4.瑞士銀行Dukascopy將發行數字貨幣以擴大業務。

5.阿里巴巴達摩院正式上線區塊鏈實驗室。

6.廣東公布“世界區塊鏈產業聯盟”等125家涉嫌非法社會組織。

7.工業和信息化部副部長陳肇雄到火幣中國總部進行調研。

8.火幣區塊鏈產業聯盟在海南落地。

9.菲律賓聯合銀行加入摩根大通區塊鏈網絡。[2018/9/29]

8月10日，DeFi項目BlurFinance疑似發生RugPull，其TokenBLR價格下跌99%。此外，該項目的社交媒體賬號已刪除，并且Polygon和BNB鏈上價值60萬美元資產被轉移。

8月11日，與五糧液同名的NFT項目Wuliangye疑似發生RugPull，目前官網與Discord社群已關閉。該項目與名酒品牌五糧液無關，僅為同名。項目方共獲利70.5枚ETH。

8月12日，BNBGrowth代幣發生RugPull，合約部署者將代幣以393BNB的價格售出，并發送到外部賬戶(EOA)。

8月12日，GameFi項目DLWorld疑似發生RugPull，GSG價格下跌超97%，約183000美元的資產被轉移。

8月12日，由0xea16地址以400枚BNB資助的詐騙者創建了包括Bitnity、ACKToken等約20個合約發生RugPull，他們抬高價格后抽空合約資金，3900枚BNB被轉移。

8月14日，GEMDAO發生RugPull，項目方共卷走322BNB(約105,553.49美元)。

8月14日，BNBChain上項目MMFinance發生RugPull，MMF代幣下跌超過93%。

8月14日，巴西加密借貸平臺BlueBenx禁止其所有22000名用戶提取資金，稱遭遇黑客攻擊損失達3200萬美元。BlueBenx未提供黑客攻擊細節，有投資者質疑黑客攻擊或為騙局。

8月15日，Polygon鏈上項目FIOProtocol發生RugPull，FIOToken價格下跌100%。

8月15日，BNBChain上GoCoin項目疑似發生RugPull，Go代幣下跌95%，合約部署者將費用設置為最高，并將禁止出售的地址列入黑名單。

8月23日，NFT交易平臺sudoswap仿盤SudoRare疑似RugPull，被盜519枚ETH，目前官方社交賬號已注銷。

8月25日，BNBChain上RSHIB項目發生RugPull，RSHIB代幣價格暴跌92%。合約部署者移除流動性并向外部賬戶(EOA)地址發送約47枚BNB。該項目的推特帳戶也已被刪除。

8月27日，BNBChain上項目ArcadeEarn發生RugPull，代幣價格下跌超過59%。部署者將40000枚ArcadeEarn代幣發送至一個外部賬戶(EOA)，并以約15300美元的價格出售。

*4.網絡釣魚安全類型事件*

8月2日，GasGuzzlers項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。

8月2日，CyberCrew項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。

8月2日，Miningverse項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。

8月3日，NFT項目dTweenies的Discord服務器遭到攻擊，請用戶不要點擊鏈接、鑄造或批準任何交易。

8月5日，DogeCapital項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。

8月11日，MogulProductions項目的Discord服務器遭到攻擊，請用戶不要點擊鏈接、鑄造或批準任何交易。

8月15日，NFT項目PirateApes的Discord服務器遭到攻擊，請用戶不要點擊鏈接、鑄造或批準任何交易。

8月29日，Floaties項目Discord服務器遭到攻擊。請用戶不要點擊鏈接、鑄造或批準任何交易。

8月31日，推特帳戶@WJahitucker被黑客劫持，黑客使用其冒充NFT交易市場LooksRare的帳戶，并發布了空投騙局。

*5.其他安全事件類型*

8月3日，Solana錢包Phantom疑似遭到黑客攻擊，估計損失為800萬美元。

8月3日，加密交易平臺中幣的熱錢包似乎因私鑰泄露而被黑客攻擊，黑客共計獲利約合480萬美元。

8月4日，SlopeWallet(Android,Version:2.2.2)的sentry服務存在私鑰泄露。

8月10日，去中心化交易平臺CurveFinance在社交媒體表示其網站前端被攻擊，提醒用戶如果在數小時內使用過Curve請立即解除授權。此次攻擊黑客已竊取價值570,000美元的ETH，并已轉移到FixedFloat。

8月18日，CelerNetwork推出的跨鏈橋cBridge遭到DNS劫持攻擊，重定向用戶操作與惡意合約進行交互從而盜取用戶資產。目前該攻擊者，已經將攻擊獲取的加密資產對換成127ETH，并且已轉入TornadoCash。

8月21日，黑客利用GeneralBytes旗下比特幣ATM服務器中的零日漏洞(zero-dayvulnerability)從客戶那里竊取加密貨幣。當用戶通過ATM存款或購買加密貨幣時，資金反而會被黑客竊取。

*6.總結*

從DeFi安全形勢來看，本月安全事件中閃電貸攻擊和邏輯漏洞最為頻繁，其他安全事件攻擊類型形式也變得更加多樣化。縱觀今年的DeFi形式，跨鏈項目越來越受到黑客的青睞，同時每次跨鏈安全事件所造成的損失也是極為嚴重，所以我們需要深思如何安全的利用跨鏈。知道創宇區塊鏈安全實驗室在此提醒大家，合約安全對于安全來說有必要進行常規審計和復合審計，以此來保障合約免受其他攻擊影響，同時也要高度重視授權問題，對于授權要有明確的時間限制。

從網絡釣魚以及騙局跑路來看，這兩種類型的安全事件之所以一直很多，一方面是攻擊手法簡單容易操作，另一方面是所涉及的用戶幾乎沒有技術背景因此更加容易被騙。希望用戶在進行投資和項目考察的過程中也要多學習區塊鏈相關知識，盡可能減少自己的潛在損失；當然用戶也可以借助一些工具來減少被釣魚的風險，比如FishAlert插件，遇到陌生的域名，先問一問「它」，就可以極大減少風險。

Tags：區塊鏈BNBPULRUG區塊鏈可以看著是什么BNBPpopulous幣團隊Rug Relief

火星幣