创宇区块链｜5月安全月报

前言

五月以来，币价虽然在不断下滑然而发生的安全事件的数量却在显著攀升，据知道创宇区块链安全实验室【被黑事件档案库】 数据显示：该月发生的安全事件超 37 起，其中跑路骗局和网络钓鱼事件频发，而 Terra 生态的原生算法稳定币 UST 因资本围猎和债务危机，出现 UST 严重脱锚事件，导致 Luna 暴跌，损失高达 410 亿美元。本月安全事件除 Luna 外涉及到的安全事件总金额共计约 3000 万美元。

以下是知道创宇区块链安全实验室对五月各类型安全资讯的总结，并就其暴露出的问题进行探讨。

DeFi 安全类型事件

5 月 5 日，Cronos 生态 DEX MM.Finance 遭到前端攻击，黑客利用 DNS 漏洞从用户那里窃取超过 200 万美元的 CRO Token。被盗资金已转入 Tornado Cash。

5 月 14 日，BNBChain 上借贷协议 Venus 发布 LUNA 预言机事件补充公告称，UTC 时间 5 月 12 日 09:20 左右，Chainlink 对 LUNA 的价格反馈达到价格下限，并被其以 0.107 美元的价格暂停，而 Venus 的 LUNA 市场继续运行，但现货价格继续下跌，4 小时后现货价格约为 0.01 美元时团队发现问题并暂停协议，资金损失缺口约 1420 万美元。

5 月 16 日，BNB Chain 上项目 Feminist Metaverse(FM_Token) 遭到攻击。攻击者获利 1838 BNB ，约 54 万美元，之后攻击者将 BNB 转入 tornado.cash。

5 月 16 日，多链 DeFi 协议 FEG 遭到攻击，共损失 144 枚以太坊和 3280 枚 BNB，约 130 万美元。

5 月 17 日，多链 DeFi 协议 FEG 再次受到攻击，损失约 190 万美元（其中 BNB Chain 130 万美元，以太坊 60 万美元）。

5 月 21 日，bDollar 项目遭到价格操控攻击，攻击者获利 2381 WBNB（价值约 73 万美元）。

5 月 24 日，hackerDao 项目遭到价格操控攻击，攻击者实施了两次攻击，总计获利约 200 BNB（价值约 66000），已经转至 Tornado.cash。

5 月 25 日，以太坊上 MVE bot 疑似遭到攻击，损失 8.18 个 ETH，约 15971.72 美元。

5 月 29 日，在 Terra 新链启动后，LUNC（Luna Classic）的预言机价格达到 5 美元，而实际价格远低于 5 美元，Anchor 平台一名用户注意到该漏洞，存入大约 2000 万个 Lido Bonded Luna Token，并成功借出 4000 万 UST，最终提取并获利约 80 万美元。

5 月 30 日，DeFi 项目 Novo 疑似遭遇攻击，黑客已将 280 枚 BNB（约 8.96 万美元）转移至 Tornado.cash。

骗局安全类型事件

5 月 11 日，Diaos 项目发生 Rug Pull，Diaos 价格暴跌，合约所有者利用 mint() 函数向铸造了 100 万枚 Diaos 代币并发送到了另一个账户，随后向其他地址分发代币并通过 Pancake Swap 出售。

5 月 16 日，TOM 项目发生 Rug Pulls，代币下跌了 99.94%。目前已经有 1200 BNB 转入了 TornadoCash。

5 月 17 日，BSC 链上项目 Token ALG 发生 Rug Pull，价格下跌 99.95%，约 581.5 BNB 被转入 Tornado Cash。

5 月 18 日，JJH DAO 项目发生 Rug Pull。其项目代币 JJH 价格跌副超过 94%。

5 月 24 日，KCT 代币发生 Rug Pull，代币价格下跌 100%，超 607 枚 BNB 转入 Tornado.Cash。

5 月 25 日，BNB Chian 上项目 DecentraWorld 发生 RugPull，代币 DEWO 下跌 97%，DecentraWorld 社交账户已注销，约 3200 枚 BNB（约 100 万美元）从 DecentraWorld 合约部署器中被提取。

5 月 25 日，BNB Chian 上项目 Starship 发生 Rug Pull，其代币价格几乎归零，约 715 枚 BNB 转入 Tornado Cash。

5 月 27 日，BNB Chian 上链游项目 Pokemoney 发生 Rug Pull，导致代币 PMY 价格下跌 99.98%，诈骗者共提取了 1.18 万枚 BNB（约 350 万美元）。

5 月 27 日，BNB Chain 上生态 Move to Earn 应用 Sport 为骗局，SPORT Token 跌幅逾 94%。

网络钓鱼安全类型事件

5 月 9 日，有数十个 YouTube 频道通过剪辑马斯克和杰克多尔西和 Ark Invest 的旧视频进行诈骗，诈骗者在这些视频中加入其虚假加密信息，包括指向欺诈性加密赠品网站的链接，有数百万美元被盗。

5 月 18 日，美国演员 SethGreen 遭遇钓鱼攻击，致 4 个 NFT（包括 1 个 BAYC、2 个 MAYC 和 1 个 Doodle）被盗，钓鱼者地址已将 NFT 全部售出，获利近 160 枚 ETH（约 33 万美元）。

5 月 18 日，CyberConnect、Moonbirds、PROOF、Memeland、RTFKT 官方 Discord 均遭遇黑客攻击，并在 Discord 中放出钓鱼链接。

5 月 20 日，Flare Community 在推特上提醒用户警惕 FLR 预售相关网络钓鱼诈骗。目前已发现 96 个 Flare Network 的冒名虚假网站以 Discord 用户为目标，发布 Flare Network 进行 FLR 预售的虚假信息及钓鱼链接。

5 月 22 日，数字艺术家 Beeple 的推特账号遭到黑客攻击，并被攻击者用于推广网络钓鱼骗局，Beeple 推特账号发布的推文中包含路易威登 NFT 合作抽奖的虚假钓鱼链接。骗子还使用该账号发布其他虚假 NFT 系列的钓鱼链接。

5 月 23 日，NFT 项目 APIENS 的 Discord 遭遇攻击，130 枚 NFT 已被转移，包括 24 枚 Apiens 及 1 枚 ENS。

5 月 23 日，NFT 项目 The Fracture 的 Discord 遭遇攻击，攻击者已获利 455 枚 SOL。

5 月 25 日，推特用户 @CirrusNFT 的推文显示，29 个 Moonbirds NFT 在一次黑客攻击中被盗，损失金额达 150 万美元。

5 月 25 日，NFT 稀有度排名工具 Trait Sniper 的 Discord 遭到黑客攻击，59 枚 NFT 已被转移到 0x3E8Da 开头的地址，其中包括 3 枚 Otherdeed、1 枚 CloneX、2 枚 RTFKT-MNLTH、1 枚 adidasoriginals 等 NFT。

5 月 26 日，知道创宇区块链安全实验室 监测显示，goblintown-claims[.]wtf 是一个钓鱼网站。该网站引诱用户连接钱包以盗取 NFT，并且这个钓鱼网站看起来与官方网站几乎完全相同。

5 月 27 日，知道创宇区块链安全实验室 监测显示，zed-run.info 是一个网络钓鱼站点，它可能会窃取用户的私钥。

5 月 27 日，知道创宇区块链安全实验室 监测显示，gunslingersnft[.]org 是一个钓鱼网站链接，GunslingersNFT Discord 可能遭到了攻击。

公链安全事件类型

5 月 10 日，Terra 生态的原生算法稳定币 UST 因资本围猎和债务危机，出现 UST 严重脱锚事件，导致 Luna 价格暴跌，损失高达 400 亿美元。

其他安全事件类型

5 月 24 日，以太坊二层扩容网络 Optimism 公布空投最新进展，表示将移除 17101 个女巫攻击者地址的空投资格。上述地址的超 1400 万枚 OP Token 原定空投，将按比例重新分配给在 Airdrop #1 中其余有资格的用户。

5 月 26 日，知道创宇区块链安全实验室 检测到诈骗者将 Wrapped LUNA 2.0 发送到 Terra Deployer 地址，并空投至 Vitalik Buterin 等相关地址，企图伪装成官方 Terra Deployer 空投。

5 月 29 日，跨链桥 Hop Protocol 在 Discord 中表示，由于提交地址表单的漏洞，去中心化应用平台 Authereum 的用户需在 6 月 2 日前重新提交空投领取地址的表单，如果错过，也可以在 Token 上线后的 6 个月内通过治理提案申领 Token。

5 月 30 日，MetaMaskDAO 为蜜罐骗局，MetaMaskDAO 合约地址（0x55e596753247efb7126a965ed07c0d51eb773f6e）发行了大量代币，并将它们发送到加密影响者和加密交易所的地址，如 V 神 (Vitalik Buterin)、NBA 著名球星 Stephen Curry、币安及 Bithumb 交易所。

5 月 30 日，Moonbirds 发布安全公告称 Nesting 合约存在安全问题。该安全问题出现在 OpenSea 或者 LooksRare 等 NFT 交易平台，当用户在平台进行挂单售卖时，卖家不能仅通过执行 nesting（筑巢）函数禁止 NFT 的售卖，而是需要下架交易平台中相关的 NFT 售卖订单，因为不这样做的话，在某个特定场景下买家将会绕过 Moonbirds 在 nesting（筑巢）时不能交易的限制。

总结

从 Defi 安全形势来看，本月安全事件中，闪电贷攻击和预?机操控成为常客，越来越多的攻击手法呈现普遍化，技术上趋向于成熟。同时出现了多例非预期事件如 Venus 的 ChinaLink 预言机事故，Terra 生态也因各方原因导致崩盘。知道创宇区块链安全实验室在此提醒，对合约安全有必要做到常规审计和复合审计，保障合约免受其他攻击影响，同时高度重视授权问题，对于授权要有明确的时间限制。

从网络钓鱼以及骗局跑路频发来看，区块链用户极容易被欺骗，对此用户需要学习区块链基础并提高自身安全意识，在理解区块链基础上辨别项目真伪，对于陌生链接以及不合理请求不要乱点，名人相关的视频或图片也要进行相关求证，只有这样做才能保障自身财产安全。

查看更多

—-

编译者/作者：知道创宇区块链安

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。