8 月份以來,各鏈上頻頻遭遇閃電貸攻擊等黑客攻擊事件,其中更是發生了被稱為年度最大黑客事件的跨鏈協議Poly Network 被攻擊事件。
知道創宇區塊鏈安全實驗室總結了8 月發生的鏈上安全事件,並就攻擊手法和暴露出的問題進行探討。
8月安全事件盤點
以下是8 月發生的各領域的安全事件:
8月4日
以太坊上的DeFi 協議Popsicle Finance 遭遇閃電貸襲擊,漏洞原因在於PLP 池合約對手續費獎勵的計算存在缺陷,損失2,070 萬美元;
8月4日
BSC 鏈上Wault Finance 遭到閃電貸攻擊,由於代幣質押處理缺陷導致套利,損失93 萬美元;
8月4日
Coinbase 表示由於BSV 網絡遭遇51% 攻擊,已暫停BSV 交易。
8月10日
跨鏈協議Poly Network 遭到攻擊,由於函數缺陷導致keeper可被修改,這次攻擊被稱為年度最大黑客事件,損失約6.1 億美元;
8月12日
加密孵化機構DAO Maker 遭到攻擊,此次攻擊極可能源於管理員私鑰洩露或者內部人員作惡,損失約700 萬美元;
8月12日
幣安智能鏈上借貸協議Neko Network 遭受攻擊,損失約256 萬美元;
8月17日
BSC鏈上DeFi 協議XSURGE 遭到閃電貸攻擊,由於重入漏洞和架構問題導致套利,損失超526 萬美元;
8月19日
總部位於日本的加密貨幣交易所Liquid 熱錢包遭攻擊,損失9135 萬美元;
8月19日
BSC 鏈上收益聚合器Pinecone Finance 保險庫遭受攻擊,損失20 萬美元;
8月21日
Cosmos 生態dVPN 項目Sentinel 因HitBTC 交易所洩漏了助記詞,損失4000 萬美元;
8月25日
BSC 鏈上DeFi 項目Dot.Finance 遭受閃電貸攻擊,這次攻擊屬於PancakeBunny 同類型協議攻擊,損失近43 萬美元,迄今為止,此類攻擊已造成損失超5,000 萬美元;
8月27日
以太坊主網遭遇分叉,以太坊Geth 客戶端緊接著發布最新的1.10.8 版本,但仍有超過70%客戶端未更新至最新版本。
8月29日
Bilaxy(幣系)交易平台熱錢包被黑客攻擊,損失超2100 萬美元;
8月29日
DeFi 質押和流動性策略平台xToken 發推稱其xSNX 合約漏洞被利用。
8月30日
以太坊上的DeFi 協議Cream Finance 遭遇重入漏洞襲擊,損失超1800 萬美元;
總結
各鏈上項目8 月以來依然頻頻暴雷,DeFi 領域安全形勢依舊嚴峻,幣安智能鏈(BSC)由於其手續費低廉、出塊速度快的特點,吸引了大批DeFi 協議,也由此黑客的攻擊目標已逐漸從以太坊轉移至幣安智能鍊或者其他相仿智能鏈的DeFi 生態中。
此外,在最新的攻擊事件中,也讓各項目認識到新興的跨鏈協議也正在成為黑客的目標而且造成的損失可能更加巨大。