盘点 | 3月区块链生态被盗总金额超过7亿美元，较典型安全事件超30起！

又到了每月安全盘点时刻！据成都链安【链必应-区块链安全态势感知平台】安全舆情监控数据显示：2022年3月，各类安全事件仍然时有发生，3月发生较典型安全事件超『30』起。【DeFi方面】暴露出来的安全风险创下2022开年以来的新高。本月发生的跨链桥Ronin攻击事件可能是DeFi历史上涉及金额最高的一次攻击，损失超6亿美元。（点击阅读）其他DeFi协议也屡遭攻击，其中闪电贷和合约漏洞利用是黑客最青睐的攻击手段。另外，本月【诈骗跑路/加密骗局方面】相关跑路事件也是层出不穷。本月【NFT/元宇宙方面】安全事件有所增加，其中钓鱼攻击方式需要重点关注。

 DeFi方面 共发生『13』起典型安全事件No.1  3月5日，抵押借贷协议Bacon Protocol遭受闪电贷攻击，损失约96万美元。No.2  3月10日，算法资产协议Fantasm Finance因合约漏洞被攻击，损失约262万美元。No.3  3月15日，DeFi 协议 Hundred Finance 与 Agave 遭遇闪电贷攻击。黑客利用两个协议中的可重入漏洞窃取了超1,100万美元。No.4  3月15日，多链衍生品平台Deus Finance在Fantom遭遇黑客攻击，损失或超过300万美元。No.5  3月20日，BNB Chain和以太坊上的 Umbrella Network 奖励池被抽取，黑客从中获利70万美元。No.6  3月20日，跨链DEX聚合协议li.finance遭受call注入攻击，损失约60万美元。No.7  3月22日消息，Fantom生态稳定币收益优化器OneRing发文表示遭到闪电贷攻击，黑客窃取逾145万美元。No.8  3月23日，Solana 链上的算法稳定币 Cashio Dollar遭到黑客攻击，损失约4800万美元。No.9  3月26日，InuSaitama疑似遭遇套利攻击，共获利约430个ETH。No.10  3月29日，期权协议Auctus合约存在漏洞，黑客利用漏洞从未取消授权的用户中获利约72万美元。No.11  3月30日，Axie Infinity侧链Ronin遭遇黑客攻击。攻击者控制了9个验证节点中的5个，并使用窃取的私钥来伪造假提款，最终获利约6.2亿美元。这可能是DeFi历史上金额最大的一次攻击。

No.12 3月30日，以太坊上DeFi 项目BasketDAO的BMIZapper因漏洞遭到攻击，黑客获利约120万美元。
 No.13  3月31日，Voltage Finance借贷平台遭遇攻击，约400万美元被盗。

 诈骗跑路/加密骗局方面 共发生『7』起典型安全事件
No.1  安全机构监测到$DAOKing-Lucky DAO为诈骗项目，其管理员已将505枚BNB存入Tornado.cash，并事先进行了虚假的智能合约升级。 No.2  NFT项目NFTflow已跑路，目前其官方社交账号（@NftflowStarkNet）已注销。 No.3  NFT项目WW3Apes发生Rug Pull，目前已注销其社交媒体账号。与 WW3Apes网站使用同一IP地址的GodZape项目同样发生Rug Pull，并转移了约20枚ETH的资金。 No.4  NFT项目REALSWAK已跑路，其官方社交账号（@REALSWAK）已注销。诈骗者已将1300枚BNB转移至TornadoCash混币。 No.5  BNB Chain上DeFi项目BNB DEFI已跑路，项目已关闭其社交媒体群组，并转移约255枚BNB。 No.6  安全机构监测显示，@BinanceNFT_BFT系伪造的Binance NFT推特账户，正在推广「貔貅盘」骗局。 No.7  BNB Chain上项目BuccaneerFi已跑路。目前项目社交媒体账号以及社群已被删除，约841枚BNB被已转入Tornado.Cash。

 NFT/元宇宙方面 共发生『6』起典型安全事件No.1  3月13日，BNB Chain链上的元宇宙金融项目Paraluni遭受黑客攻击，黑客获利逾170万美元。其中约1/3被盗资金（230 ETH）已流入龙卷风。No.2  基于Arbitrum的TreasureDAO NFT交易市场被曝发现漏洞，黑客以几乎零成本的价格获取了100多个NFT。No.3  3月14日，NFT项目Wizard Pass的Discord社区被诈骗者入侵，诈骗者发送假信息以获得用户NFT完全访问权限，造成多枚NFT被盗。No.4  3月27日，金融NFT项目Revest Finance被攻击，黑客盗取大量相关代币并获利约200万美元。No.5  APECoin空投遭受闪电贷攻击，攻击者获利约82万美元。No.6  Defiance Capital创始人Arthur热钱包被盗，60枚价值约69万美元的NFT在链上被转移。本次盗窃事件或为电子邮件钓鱼攻击。
 其它方面 共发生『4』起典型安全事件No.1  Convex Finance发布博客表示，投票锁定的CVX（vlCVX）合约存在漏洞，用户存款是安全的，不存在任何风险。No.2  3月7日消息，韩国一代币开发商高管因窃取加密货币被判入狱5年，因其非法将用业务资金投资的加密货币转移到自己的私人账户。No.3  三名男子因涉嫌4000万美元的加密货币投资欺诈被美国司法部起诉。No.4  上海警方破获一起涉案金额超1亿元虚拟货币网络传销犯罪案，抓获犯罪嫌疑人10余名。

?注意 ?鉴于当前区块链安全领域的新形势，『成都链安』在此总结：从总体上看，2022年3月区块链安全事件较2月份大幅上升，攻击类安全事件被盗总金额超过7亿美元。针对层出不穷的攻击事件，『成都链安』也为开发者提供了如下安全建议。Ronin跨链桥被攻击事件：1.注意签名服务器的安全性；2.签名服务在相关业务下线时，应及时更新策略，关闭对应的服务模块，并且可以考虑弃用对应的签名账户地址；3.多签验证时，多签服务之间应该逻辑隔离，独立对签名内容进行验证；4.项目方应实时监控项目资金异常情况。Revest Finance被攻击事件：建议在合约设计时严格按照检查-生效-交互模式设计，并在ERC1155 token相关DeFi项目中加入防重入的功能。Paraluni安全事件：合约开发者在开发过程中进行完整的测试以及第三方审计，并养成使用Openzeppelin库的ReentrancyGuard合约来进行重入攻击的防范。 TreasureDAO安全事件：建议开发者在开发多种代币的销售贩卖合约时，需要根据不同代币的特性来进行不同情况的业务逻辑设计。