7月盤點|Freemint成釣魚攻擊最常用手段...

語言: CN / TW / HK

2022年7月發生較典型安全事件約『60』起。

編輯|小歐

分析|OKLink安全團隊

據歐科雲鏈OKLink安全團隊監控顯示:2022年7月,各類安全事件數量較6月有所下降。

7月以來,有多個專案方遭到了黑客攻擊,其中 Crema Finance安全事件與Uniswap釣魚事件引起了廣泛的關注與討論 ,Premint釣魚攻擊成了今年NFT最大的黑客攻擊事件之一;社媒詐騙和釣魚的攻擊事件依舊層出不窮,Rug Pull事件與上個月相比大幅增加。

REKT事件 盤點

小知識:

加密領域中,REKT源於英文單詞“wrecked”,原意是“毀壞”,術語是指專案被攻擊。

7月累計發生『12』起典型安全事件 (本文例舉7例)損失金額約1900萬美元

No.1

7月1日,Optimism生態最大NFT平臺Quixotic出現嚴重漏洞,大量使用者資產被盜,獲利約18.3萬美元。

No.2

7月3日上午10:00,Solana鏈上的集中流動性DeFi應用CremaFinance因遭黑客閃電貸攻擊而宣佈停運,損失的加密資產價值為878.2萬美元,經過談判最終攻擊者歸還6,064枚ETH和23,967.9枚SOL(約810萬美元)。

No.3

7月10日,BIFROST官方釋出報告,稱BiFi服務的BTC地址註冊伺服器受到攻擊。在攻擊中,地址釋出伺服器的伺服器金鑰被暴露,攻擊者能夠自簽名自己的存款地址,最終攻擊者以假存款借走1,852ETH。

No.4

7月12日,多鏈NFT協議CitizenFinance聲稱受到了攻擊,攻擊者利用訪問許可權轉移了244BNB(約55,000美元)、57,637MATIC(約32,300美元)和7,000USDC,總計約94,300美元。

No.5

7月16日,ImpermaxFinance官方釋出事件報告稱,一名黑客能夠從團隊控制的幾個錢包中竊取大約900萬個IMX。

No.6

7月24日,Web3音樂流媒體服務平臺Audius社群金庫被黑客攻擊,損失1,850萬枚AUDIO Token,共計造成損失約110萬美元。

No.7

7月28日,演算法穩定幣協議Nirvana遭遇攻擊,共損失350萬USDC;目前黑客已將這筆資金通過蟲洞協議跨鏈至以太坊上,並轉換為不被監管的DAI。

RugPull事件盤點

小知識:

“Rug pull”,原意為拉地毯,延伸意為加密產業中常見的捲款遣逃事件,經常發生於Defi協議中。

7月累計發生『29』起典型案件 (本文例舉8例)損失金額超2700萬美元

No.1

7月6日,一個假冒的ShadeInuToken專案建立者從流動性池中移除大約10.1萬美元(424 BNB)的流動性,建立者總共獲利約53,000美元(224 BNB)。

No.2

7月15日,ArenaPlay發生軟RugPull,APC資產價格下跌40%,建立者進行了Pump&Dump,並將1,200BNB存入TornadoCash。

No.3

7月20日,ATM資產發生Rugpull,價格下降了46%,建立者將資產大量賣出,將1,350BNB轉移到外部地址,並將1,943.3BNB轉移到tornado.cash。

No.4

7月24日,資產YYDNS發生Rug Pull,資產價格下跌超過99%,合約建立者利用MIN()函式鑄造並出售資產獲得了363 BNB,獲利9.4萬美元。

No.5

7月25日,DeFi專案DRACNetwork發生RugPull,TEDDY價格下跌99.4%,1萬枚BNB和200萬枚BUSD已被緩慢轉入Binance。

No.6

7月26日,鏈上資產SKG發生RugPull,價格下跌超過80%,超過10萬個SKG被出售,獲利約7萬美元。

No.7

7月26日,專案SuperStepO發生RugPull,鏈上資產SGMT價格下跌了90%,造成了603BNB(約14.7萬美元)的損失,獲利已存入了TornadoCash。

No.8

7月27日,專案LarpFinance發生RugPull,鏈上資產LARP價格下跌超過80%,專案方出手了初始化鑄造的LARP,獲利20ETH(約2.8萬美元)。

社媒詐騙與釣魚盤點

7月累計發生『17』起典型案件 (本文例舉5例) ,以 Discord伺服器被攻擊 為主,使用者應提防官方通告中類似“freemint”的活動,以防被詐騙。

No.1

7月3日,據福布斯報道,英國陸軍的官方推特賬戶和YouTube帳戶遭到黑客攻擊,併發布了有關加密貨幣和NFT的帖子。目前,所有NFT和加密內容都已從這兩個帳戶中刪除。

No.2

7月11日,超過70,000個連線到Uniswap的地址被空投誘使使用者進行危險的資產批准,此批准允許攻擊者控制其錢包中的資產。在此次網路釣魚事件中,至少有7500個ETH被盜。

No.3

7月16日,黑客入侵了著名NFT藝術家DeeKay的Twitter賬戶。被盜的NFT總價值約為150,000美元。DeeKay說不確定自己的Twitter帳戶是如何被盜的,但“猜測是2FA在特定時間關閉的原因”。

No.4

7月17日,NFT訪問列表工具PREMINT通過官方推特釋出預警,因為有使用者提醒,該工具的網站被黑客入侵,已經有NFT收藏家的藏品被盜。此次攻擊總共損失了約280ETH,金額為381,818美元,使其成為今年最大的NFT黑客攻擊之一。

No.5

7月19日,Tableland專案方Discord相關管理人員許可權被盜。攻擊者掌握了管理員賬戶並在公告頻道上釋出包含虛假網站的連結,任何點選連結並遵循錢包指令的人都會授予攻擊者訪問其賬戶中持有的任何NFT的許可權。

其他典型安全事件

No.1

7月1日,Polygon首席資訊保安官MuditGupta在推特表示,Polygon和Fantom的兩個遠端過程呼叫(RPC)介面在週五受到域名系統(DNS)劫持攻擊的影響。原因是一名黑客劫持Ankr的域名系統(DNS)竊取使用者的種子階段,Ankr很快就恢復了錯誤,並表示沒有資金損失

No.2

7月24日,線上遊戲Neopets表示遇到黑客攻擊,目前正在調查客戶資料洩露事件,此次Neopets黑客攻擊或影響使用者達6900萬個,還有一個名為TarTarX的黑客以4個比特幣的價格出售Neopets網站的原始碼和資料庫。Neopets在近期推出了NFT,用於其線上虛擬世界遊戲。

7月安全總結

2022年7月的安全事件涉及閃電貸攻擊、重入、delegatecall等多個方面,建議專案方在專案正式上線前要尋找可靠的安全審計機構對專案進行漏洞審計,以免造成不必要的損失。

此外,本月Rug Pull事件大幅增加,建議使用者在參與或投資專案時儘可能選取可靠的專案,謹慎追逐熱點幣,避免遭受意外損失。

社媒詐騙的發生率整體延續了上個月的多發態勢,專案方應注重Discord和Twitter等官方賬號的密碼安全,同時使用者應提防官方通告中類似“freemint”的活動,避免落入釣魚詐騙的圈套。

此外,釣魚攻擊層出不窮,其中Premint釣魚事件與Uniswap釣魚事件尤為嚴重,建議使用者在參與NFT專案及資產相關互動時儘量注意發起交易時的行為資訊,避免通過setApprovalForAll將NFT轉賬許可權意外授權給未知賬戶,或將資產轉賬許可權授權給未知賬戶。

更多鏈上資料查詢

盡在www . oklink.com

/

/

/

點選 閱讀原文 ,檢視《7月安全盤點》完整版...