又到了每月安全盤點時刻!根據區塊鏈安全審計公司Beosin Alert監測顯示,2024年4月,各類安全事件損失金額較3月持續下降。 2024年4月發生較典型安全事件超『23』起,因駭客攻擊、釣魚詐騙和Rug Pull造成的總損失金額達1.01億美元,較3月下降約36%。其中攻擊事件約5,256萬美元,下降約55%;釣魚詐騙事件約1,140萬美元,下降約69%;Rug Pull事件約3,705萬美元,成長約624%。
本月最大的安全事件為Hedgey Finance因合約漏洞遭受攻擊,損失約4,470萬美元,該事件佔了當月駭客攻擊總損失的85%。本月發生一起涉及金額超過千萬美元的Rug Pull事件:去中心化投注平台ZKasino轉移用戶資產約3300萬美元。本月加密犯罪案件數量增加,涉及詐欺、傳銷、洗錢等多種類型。
政策方面,4月30日,香港交易結算所有限公司(香港交易所)表示,歡迎亞洲首批虛擬資產現貨ETF 上市,增加香港市場的產品種類及為投資者提供更豐富的選擇,鞏固香港作為亞洲領先ETF 市場的地位。
駭客攻擊方面
共發生『11』起典型安全事件
No.1 4月1日,DeFi協定OpenLeverage因合約漏洞遭到攻擊,損失約23萬美元。
No.2 4月1日,BNB Chain鏈上ATM代幣因合約漏洞遭到攻擊,損失約18萬美元。
No.3 4月2日,去中心化交易所FixedFloat再次遭到攻擊,損失約280萬美元。 FixedFloat表示駭客利用了其第三方服務中的漏洞。
No.4 4月12日,BASE生態計畫SumerMoney因合約漏洞遭到攻擊,損失約35萬美元。
No.5 4月12日,Stacks鏈上Zest Protocol專案遭到價格操縱攻擊,損失約100萬美元。
No.6 4月15日,BASE生態RWA專案Grand Base因部署者私鑰外洩損失約200萬美元。
No.7 4月19日,Hedgey Finance專案在Ethereum和Arbitrum兩條鏈上因合約漏洞遭受攻擊,損失達4,470萬美元。
No.8 4月24日,BNB Chain鏈上YIEDL專案因合約漏洞遭到攻擊,損失約30萬美元。
No.9 4月24日,Saita Chain的跨鏈橋專案Xbridge因合約漏洞遭到攻擊,損失至少20萬美元。
No.10 4月25日,BNB Chain鏈上NGFS代幣因合約漏洞遭到攻擊,損失約19萬美元。
No.11 4月26日,跨鏈借貸協議Pike Finance遭到攻擊,損失約30萬美元。駭客透過偽造的CCTP訊息耗盡了以太坊、Arbitrum和Optimism鏈上的USDC。
釣魚詐騙/Rug Pull方面
共發生‘6’起典型安全事件
No.1 4月2日,Solana鏈上Solareum發生Rug pull,部署者獲利52萬美元。
No.2 4月4日,Solana鏈上CondomSOL發生Rug pull,部署者獲利92萬美元。
No.3 4月11日,某0x5ea8開頭地址因釣魚詐騙在Base鏈上損失約84萬美元。
No.4 4月11日,某0x05f4開頭地址因釣魚詐騙在Base鏈上損失約120萬美元。
No.5 4月19日,某0x5789開頭地址因釣魚詐騙損失約77萬美元。
No.6 4月20日,去中心化投注平台ZKasino發生Rug pull,用戶無法提款,且專案方將3300萬美元用戶資金存入了質押協議Lido。
加密犯罪方面
共發生‘6’起典型安全事件
No.1 4月6日消息,北京警方破獲了涉虛擬貨幣的連續洗錢案件,涉案金額超過20億人民幣。
No.2 4月12日訊息,美國首次對攻擊智能合約的駭客定罪。 SHAKEEB AHMED被判處三年監禁,罪名是攻擊Nirvana Finance和Crema Finance並竊取價值超過1200萬美元的加密貨幣。
No.3 4月16日消息,江蘇法院對王某組織傳銷活動案進行宣判,王某因涉嫌透過名為moom的虛擬幣平台進行網路傳銷被判刑,涉及金額超1億人民幣。
No.4 4月20日消息,印度男子在美國認罪,因其創建偽造的Coinbase網站並竊取超過950萬美元加密貨幣。
No.5 4月24日,加密混幣服務Samourai Wallet的聯合創始人被捕,涉嫌從絲綢之路和其他非法市場洗錢1億美元。
No.6 4月27日訊息,台灣地區加密交易所ACE Exchange創辦人等32人因涉嫌詐欺和洗錢被起訴,涉及金額估計達8億新台幣(2,456萬美元)。
監理、合規、政策面
No.1 4月30日,6支香港首批發行的虛擬資產現貨ETF正式在香港交易所敲鐘上市,並開放交易,香港交易結算所有限公司(香港交易所)歡迎亞洲首批虛擬資產現貨ETF上市,增加香港市場的產品種類及提供投資人更豐富的選擇,鞏固香港作為亞洲領先ETF市場的地位。
No.2 上週,日本央行發布了一份關於其央行數位貨幣工作的中期報告。其透露,本月推出了CBDC API沙箱,日本央行之前曾對數位日圓進行過兩次概念驗證(PoC),最近一次是在一年前結束的。日本央行尚未決定推出CBDC。鑑於日本消費者對這一概念的認識極低,推廣可能會很困難。日本央行也參與了Agora項目,這是國際清算銀行使用代幣化進行跨國支付的項目。同時,第一個日本代幣化存款解決方案DCJPY預計將在未來幾個月推出。
No.3 4月22日,香港證券及期貨專業總會在官方網站發布向香港財庫局的致函《建議成立獨立性的證券業、期貨業、資產管理業及虛擬資產業發展自律組織》 ,其中指出以香港的情況而言,本會建議證監會仍保留對監管市場行為的權力(例如:禁止內線交易、詐欺、與市場操縱交易等),惟將發牌權力分拆到單純由證券業、期貨業、資產管理業及虛擬資產業組成(及泛指現時由香港證監會定義的受規管活動持牌中介)所組成的自律機構。
No.4 近期,泰國當局已決定封鎖「未經授權」的加密貨幣平台,以提高解決網路犯罪問題的執法效率。在技術犯罪預防和抑制委員會召開會議後,泰國證券交易委員會或SEC 被命令向數位經濟和社會部提交有關未經授權的數位資產服務提供者的信息,以阻止對這些平台的存取。
No.5 4月17日,英國國會成員一致呼籲政府投資培養技能,以滿足加密貨幣、區塊鏈和人工智慧(AI)產業的就業需求。週二主持該主題辯論的國會議員麗莎·卡梅倫敦促政府確保從教育的早期階段甚至在工作場所教授數位技能。 “儘管英國完全有能力利用數位經濟成長帶來的機遇,但仍需要在教育、培訓和技能方面進行大量準備和投資,以充分利用這些機會並確保英國擁有必要的人才。”
鑑於當前區塊鏈安全領域的新形勢,『Beosin』在此總結:
從整體來看,2024年4月各類區塊鏈安全事件損失金額連續兩個月持續下降。本月的攻擊事件中,依舊有88%的損失金額來自合約漏洞利用,涉及業務邏輯漏洞、重入漏洞、輸入驗證漏洞等多種問題,建議專案方在專案上線前尋找專業的安全公司進行審計。本月發生多起涉及金額較大的Rug pull事件,建議用戶做好專案背景調查,例如ZKasino在發生Rug pull之前就有多次來自安全社區的警告,揭露創始人團隊的歷史欺騙和不道德行為。