OPEN:加密市场 9 月安全事件大盘点

前言

从Defi安全角度来看9月安全事件相较于较8月份已有所下降，但是从整体安全角度来看依然不容乐观，黑客攻击涉及到的损失金额巨大。

知道创宇区块链安全实验室?总结了9月发生的各类安全事件，并就攻击手法和暴露出的问题进行了梳理。

9月安全事件盘点

以下是9月发生的各领域的安全事件：

9月4日

NFT赛马项目DeRac针对DAO公共买家在未来解锁领取代币的合约DAOMaker分发系统被攻击。

中币（ZB）将于今日上线FLOW并开启FLOW新币活动:据官方公告，中币（ZB）于2021年7月12日上线FLOW（Flow），并在14:00开放FLOW充值。7月13日14:00开放FLOW/USDT和FLOW/QC交易。同时，中币（ZB）于香港时间2021年7月12日14:00开始FLOW新币上线活动。活动一：充值FLOW，免交易手续费；活动二：API用户交易FLOW，送VIP优惠费率。

Flow是数字资产平台，作为一个分散的网络，任何人都可以加入并在Flow上建立。详情见官方公告。[2021/7/12 0:44:32]

其漏洞原理是：Vesting合约未进行init未初始化保护，从而让黑客初始化了init的关键参数，也变更了owner，导致黑客通过紧急提款函数提取了合约资金，损失约400万美元。

中币（ZB）将于5月11日上线SOL（Solana）:根据官方公告，中币（ZB）将于2021年5月11日上线SOL（Solana），并在12:00开放SOL充值。5月12日16:00开放SOL/USDT和SOL/QC交易。

Solana由前高通，英特尔和Dropbox工程师于2017年底创立的一种单链委托权益证明协议。Solana扩展解决方案的核心是名为“历史证明（PoH）”的分散式时钟，旨在解决分布式网络中没有单个可信赖时间源的时间问题。通过使用可验证的延迟功能，PoH允许每个节点使用SHA256计算在本地生成时间戳。这样就无需在整个网络上广播时间戳，从而提高了整体网络效率。而SOL是Solana区块链的本地令牌，Solana使用委托权益证明共识算法来激励令牌持有者验证交易。更多详情请查看中币官方公告。[2021/5/11 21:47:47]

9月

中币（ZB)早行情：BTC现报18389美元:据中币（ZB）交易平台行情数据，截止到今日09:47时，BTC 现报18398美元（+0.51%），ZB 积分现报0.26美元(+0.58%）。据CoinMarketCap 统计的数字货币总市值为5474亿美元，24 小时总交易额为1467亿美元，比特币市值占比 62.6%。全球市值前 100 名的数字货币有22支上涨,78支下跌。主流资产价格为：ETH 报567.76美元（+3.14%），EOS 报2.78美元（+0.35%），XRP 报0.57美元（+2.79%），LTC报76.42美元（-0.15%）。中币（ZB）24 小时内涨幅前三的数字货币是：MTL（+60.00%）、GLM（+32.54%）、LEO（+18.81%）。[2020/12/10 14:46:51]

NFT市场OpenSea出现漏洞导致30笔交易受到影响，至少42个NFT被销毁，损失约9.7万美元。

9月12日

Avalanche链上ZabuFinance由于其defi协议与代币协议之间不兼容被黑客利用，通过攻击获取45亿ZABU代币，损失约60万美元。

9月15日

去中心化交易所NowSwap遭到黑客攻击，由于没有修改swap函数的参数导致闪电贷的恒定乘积校验逻辑失效，攻击者返还部分闪电贷金额即被认为是完全归还，从而实现了攻击，损失金额超100万美元。

9月17日

9月17日，SushiSwap平台MISO上的DONA代币拍卖遭到攻击，黑客通过向MISO前端插入了恶意代码，将拍卖钱包地址改为了自己的钱包地址获利，损失超300万美元。

9月20日

跨链协议pNetwork因代码漏洞遭攻击，损失约1308万美元。

9月21日

借贷协议Vee.Finance，超3500万美元资产被盗，据官方调查，极可能是小数点未精确以及权限校验问题导致预言机价格被操纵。

9月

OpenZeppelin的TimelockController合约修复了一个可重入漏洞，这是OpenZeppelin在其开源智能合约库中唯一存在的严重漏洞。

9月30日

去中心化借贷协议Compound出现漏洞错误地允许一些用户索取额外的COMP代币，该漏洞损失约28万枚COMP代币。

总结

各链上项目问题依然十分严峻，智能合约层面的漏洞导致的损失一般都十分巨大，相较于新型漏洞，大多数漏洞都属于可追溯漏洞即已经出现过的漏洞，希望各方在开发项目或者审计项目时多做考虑。

关于OpenZeppelin出现的漏洞则再一次提醒我们，没有绝对的权威，任何项目都需要多方验证保证其安全性。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。