创宇区块链：11月安全月报

FTX 的暴雷和之后 FTX 被黑客攻击事件，市场造成了不小的动荡，攻击事件也下降了不少。据知道创宇区块链安全实验室 【被黑事件档案库】 数据显示：该月发生的安全事件超 28 起，其中 DeFi 安全事件虽较上月略有减少，但攻击总数仍然很多，其中 FTX US 遭到黑客攻击，损失高达 4.77 亿美元。骗局事件虽然发生次数不多，但 DeFi AI 发生的 Rug Pull 让用户损失了近 4 千万 美元。本月安全事件造成的损失总金额共计约 5.6 亿美元。

 1、占比分析：

通过对本月各类型安全事件数量占比分析，可以发现 DeFi 安全仍然是攻击者最擅长的领域， 占比 54% 。

在上个月安全事件突增后，本月各类安全事件数量下降，应是与 FTX 暴雷破产有关，市场情绪也随之下降。

本月较上月，安全事件几乎对半下降，但所造成的金额损失却并未减少，安全方面仍然高风险频发，希望大家提高警惕谨慎面对。

 11 月 1 日，DODO 的 USDT/DAI 池疑似存在严重的三明治攻击。

 11 月 2 日，借贷协议 Solend 遭到预言机攻击，已产生 126 万美元坏账。

 11 月 2 日，Deribit 被盗约 6947 ETH、 691 BTC 与 340 万 USDC。损失约 2800 万美元。

 11 月 3 日，NEAR 链上资产发行平台 Skyward Finance 遭到漏洞利用，已损失 110 万枚 NEAR 代币（约合 300 万美元）。

 11 月 4 日，pGALA 合约遭到黑客攻击，黑客已将大部分 GALA 兑换成 13, 000 枚 BNB，获利超 430 万美元，该地址仍有 450 亿枚 Gala，但不太可能兑现，因为资金池基本已耗尽。

 11 月 7 日，MooCakeCTX 项目遭到黑客攻击，黑客获利约 143921 美元。

 11 月 10 日，ETH 链上的 Brahma TopGear 项目由于任意外部调用的风险遭到攻击，攻击者获利约 89879 美元。

 11 月 11 日，针对稳定币的去中心化外汇交易初创公司 DFX Finance DEX 池由于缺乏适当的重入保护疑似被攻击，损失约 3000 ETH，约合 400 万美元。

 11 月 11 日，一 MEV 机器人花费 31.06 枚以太坊的交易费用对一笔约 2500 万美元的交易发动「三明治攻击」，使得打包该区块的验证者总共获得了 32.09 枚以太坊（价值约 4.08 万美元）的奖励。

 11 月 13 日，FTX US 遭到黑客攻击，据估算损失约为 4.77 亿美元。

 11 月 16 日，SheepFarm 项目遭到黑客攻击，目前损失约 7.2 万美元。

 11 月 21 日，sDAO 合约业务逻辑存在漏洞，攻击者获利超 1.3 万 BUSD。

 11 月 23 日，AurumNodePool 合约遭到漏洞攻击，攻击者通过该漏洞获得约 50 个 BNB ($ 14, 538.04)。

 11 月 23 日，ETH 链上的 Numbers Protocol (NUM) 代币项目遭到攻击，攻击者获利约 13, 836 美元。

 11 月 29 日，SEAMAN 项目遭闪电贷攻击，攻击者获利约 7781 美元。

骗局安全类型事件

•  11 月 1 日，FITE(FTE) 项目疑似 Rug Pull，其网站 fit.app 已关闭，社交媒体已被删除。诈骗者已将 1900 枚 BNB 转入 Tornado Cash。

•  11 月 3 日，BSC 链上 MetFX 项目疑似发生 Rug Pull，MFX 代币暴跌 97% 。MetFX 部署者已将 10000 枚 MFX 交换为 402 枚 BNB（约 13.1 万美元）。

•  11 月 7 日，ETHPoW 上稳定币交易协议 MinerSwap 疑似发生 Rug Pull，获利资金已从 ETHPoW 跨链至以太坊，其中已有约 308 枚 ETH 被转入 Tornado Cash。

•  11 月 14 日，DeFi AI 项目发生 Rug Pull，合约部署者获利约 4000 万美元。

 11 月 1 日，Generativemasks 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

 11 月 2 日，NFT 项目 Art Gobblers 出现伪造账号并发布假的 Gobblers 公共铸造抽奖活动。

 11 月 3 日，DigiDaigaku CEO 推特账户疑似被盗，谨防钓鱼链接。

 11 月 4 日，网络钓鱼诈骗团伙 Monkey Drainer 再度盗取价值 80 万美元的 NFT，包括 7 枚 Crypto Punks 系列 NFT 以及 20 枚 Otherdeed 系列 NFT。

 11 月 23 日，Sensei Labs 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

 11 月 28 日，Shamanzs NFT 项目 Discord 服务器遭到攻击。请社区用户不要点击、铸造或批准任何交易。

 11 月 1 日，KUMALEON 项目的 Discord 遭黑客入侵，目前已有 111 枚 NFT 被盗，包括 BAYC #5313、ENS、ALIENFRENS 和 Art Blocks。参与该项目用户需撤销钱包权限，并将资金转移至新钱包。

 11 月 2 日，链兑换协议 Rubic 发推称，管理员地址私钥疑被泄露，攻击者已出售约 3400 万 RBC/BRBC。损失约 100 万美元。

 11 月 6 日，Loopring 称 11 月 5 日遭到 DDoS 攻击，服务曾宕机 11 小时。

交易所暴雷，大部分用户对其失去信任，用户对于中心化交易所失去信任，而各大中心化交易所为了挽回用户的信任，纷纷开始进行了默克尔树储备金证明。如果您对自己的资金有所疑问，建议去用官方的文档去验证下自己的资金是否安全。

从 DeFi 的角度来看，所涉及的安全事件中，除最常见的闪电贷攻击外，很多攻击事件都源于合约本身的逻辑问题，这也说明了合约审计的必要性。知道创宇区块链安全实验室 在此提醒，对合约安全有必要做到常规审计和复合审计，保障合约免受其他攻击影响，同时高度重视闪电贷和合约逻辑问题。

从网络钓鱼以及骗局跑路角度来看，跑路骗局本月发生的次数并不多，但是跑路骗局所涉及的金额都不少，投资者仍然不能对项目发送警惕，在投资之前一定要做好相应的考察；网络钓鱼相比于上月减少一半，攻击者一般都是伪造成项目方或者攻击项目方 Discord 获得权限，之后攻击者会发布欺骗链接等，所以用户一定不要点击、铸造或批准任何交易。

标签：11 区块 区块链 创宇区块链 区块链1

如果本内容侵权或违规违法，你可以点击 这里 申请删除。