攻击

CoinVoice最新获悉：3 月 5 日，据派盾 PeckShield 报告显示，抵押贷款协议 BaconProtocol 遭遇黑客攻击，损失约 100 万美元。[原文链接]

CoinVoice最新获悉：3 月 3 日，SushiSwap 宣布与 OpenMEV、Manifold Finance 合作推出 OpenMEV Gas Refunder 功能，从而保护用户免受 MEV 攻击和退还 Gas 费。滑点设置为 1% 或更高的交易有资格获得 Gas 退款。当前在 SushiSwap 交易页面，用户可以在交易设置中打开 OpenMEV Gas Refunder 功能，该功能会在 35 到 50 个区块内退还给用户至多 95% 的交易费用。退款会以 ETH、WETH、xSUSHI 支付。[原文链接]

CoinVoice最新获悉：3 月 3 日，据 The Block 报道，Sherlock 是一家承诺保护加密项目免受智能合约黑客攻击的安全初创公司，宣布将于北京时间 3 月 8 日 0 时启动公募并计划募资 1 亿美元。 Sherlock 透露，启动公募的原因是希望让更多人能够参与投资，而不是仅限于风险投资机构和天使投资人。据悉，只要用户拥有与 WalletConnect 兼容的钱包，并且至少有 250 美元的 ETH 作为储备金就可参与融资。[原文链接]

CoinVoice最新获悉：3 月 3 日，在 TreasureDAO 代码漏洞导致其市场 100 多个 NFT 被盗数小时后，开发人员证实黑客已开始归还被盗的 Smol Brains 和其他 NFT。据悉，被盗 NFT 的总价值超过 140 万美元。 此前报道，派盾在社交媒体上针对 TreasureDAO 的代码漏洞进行了分析，由于交易功能中的 buyItem() 函数里存在区分 ERC721 和 ERC1155 的错误，该错误将 ERC721 的价格计算为 ERC1155 的价格，且函数不能有效检验购买数量，导致了此次攻击成为可能。据派盾提供的交易地址显示，本次攻击导致了上百枚 NFT 被盗。[原文链接]

CoinVoice最新获悉：3 月 3 日，派盾在社交媒体上针对 TreasureDAO 的代码漏洞进行了分析，由于交易功能中的 buyItem() 函数里存在区分 ERC721 和 ERC1155 的错误，该错误将 ERC721 的价格计算为 ERC1155 的价格，且函数不能有效检验购买数量，导致了此次攻击成为可能。据派盾提供的交易地址显示，本次攻击导致了上百枚 NFT 被盗。[原文链接]

CoinVoice最新获悉：3 月 2 日，派盾在社交媒体上公布了一份漏洞攻击相关数据报告，数据显示，2021 年 2 月全网 Defi 漏洞利用被盗资金达 3.39 亿美元。其中，针对跨链桥的攻击有 2 起，共造成 3.24 亿美元的损失，针对 Token 的攻击有 4 起，共造成 1014 万美元的损失，总计 3.34 亿美元的损失由逻辑漏洞导致。 [原文链接]

CoinVoice最新获悉：2 月 27 日，OpenSea 再次出现钓鱼邮件攻击，该 NFT 市场已经在社交媒体官方渠道中发出提醒称，「目前发现一些用户收到了来自 openseateam.io 的电子邮件，这不是 OpenSea 官方电子邮件地址，请用户不要点击此类电子邮件。」[原文链接]

CoinVoice最新获悉：2 月 27 日，以太坊创始人 Vitalik Buterin 于个人社交媒体平台发文称，从多个来源得到一些确认，乌克兰加密货币捐赠地址是合法的，并暂时删除自己此前发布的警告。「但是请继续保持警惕，在发送不可逆的加密交易时要始终小心谨慎。」 此前报道，2 月 26 日，乌克兰副总理兼数字化转型部部长 Mykhailo Fedorov 在社交网站发布消息称将接受加密货币捐款，并公布了 BTC、ETH 和 trc20 格式的 USDT 捐款地址。同时 V 神于个人社交媒体平台表示，请不要在未经验证的情况下给呼吁乌克兰募款的账户地址发送加密资产。最近这段时间也出现了很多黑客攻击，如果误操作很容易成为黑客攻击的对象，请保持高度警惕。[原文链接]

CoinVoice最新获悉：2 月 26 日，以太坊联合创始人 Vitalik Buterin 在社交媒体上表示，请不要在未经验证的情况下给呼吁乌克兰募款的账户地址发送加密资产。最近这段时间也出现了很多黑客攻击，如果误操作很容易成为黑客攻击的对象，请保持高度警惕。[原文链接]

CoinVoice最新获悉：2 月 26 日，据 ZellaNews 报道，Dune Analytics 数据显示二月份 OpenSea 在以太坊和 Polygon 区块链上的交易量增长趋势出现明显放缓，尤其是自 2 月 14 日以来，日均交易量一直呈现下跌趋势。业内人士分析这种情况可能与 OpenSea 出现钓鱼攻击和全球市场动荡形势有关。截至目前，2 月份 OpenSea 在 Polygon 区块链上总计出售了 1,748,233 枚 NFT，而 1 月份这一数字是 2,685,757 枚。此外，1 月份 OpenSea 在 Polygon 区块链上的交易金额为 79,249,550.72 美元，而 2 月迄今这一数字仅为 64,845,510.12 美元，减少约 1400 万美元。 而在以太坊方面，2 月份 OpenSea 在以太坊区块链上总计出售了 1,957,451 枚 NFT，而 1 月份这一数字是 2,465,115 枚。此外，1 月份 OpenSea 在 Polygon 区块链上的交易金额为 4,954,858,223.88 美元，而 2 月迄今这一数字仅为 3,366,122,009.9 美元，减少约 15 亿美元。

，2 月 25 日，Fantom 生态 DeFi 协议 0xDAO v2 版本即将上线，疑似将针对同样参与 AC 新项目 Solidly 的 Solidex 发起吸血鬼攻击。 根据此前 0xDAO 公布的 v2 版本信息显示，协议现有的 Token OXD 持有者将通过燃烧的形式按比例换得 oxSOLID。新版本将采用新的经济模型以及 Token OXDv2。OXDv2 通过奖励 LP 和 SOLID 锁仓来帮助支持 0xDAO 的发展，并将拥有 0xDAO 的投票治理权。[原文链接]

CoinVoice最新获悉：2 月 22 日，OpenSea CTO Nadav Hollander 在社交媒体发文表示，经审查，本次被盗用户的确签署了有效订单，只是签署时并未发送到 OpenSea。由于没有针对新的（Wyvern 2.3）合约执行恶意订单，表明它们是在迁移之前签署的，与 OpenSea 的迁移问题相关可能性较小。32 名用户在较短的时间内被盗 NFT 非常不幸，但有证据表明这是有针对性的攻击，并不是系统性问题。 [原文链接]

CoinVoice最新获悉：2 月 22 日，OpenSea 官推就此前钓鱼网络攻击事件再次做出回应，OpenSea 官方指出，目前攻击似乎不再活跃，但仍在继续对其进行监控，攻击者钱包超过 36 个小时没有活动，OpenSea 会继续调查。 此外，OpenSea 已经排除了合约迁移工具是攻击载体的可能性，迁移工作是安全的。虽然市场上有对包含 Wyvern 协议徽标的新 OpenSea 签名信息有所担忧，但 OpenSea 明确表示，只要通过 http://opensea.io 进行签名就是安全的。此外，OpenSea 还透露 OpenSea Support 推特账户的私信功能将会在明日关闭，如果需要额外支持可以前往官网帮助中心。 [原文链接]

CoinVoice最新获悉：2 月 21 日，据官方消息，OpenSea 仍在持续调查此前网络钓鱼攻击的具体细节。虽然还没有确定确切的来源，但已发布一些 EOD 更新：已将受影响的个人名单缩小到 17 人，而不是之前提到的 32 人。最初的计数包括与攻击者有过「交互」的任何人，而不是网络钓鱼攻击的受害者。这次攻击似乎不活跃，超过 15 小时没有恶意合约活动。 此前报道，2 月 20 日，OpenSea 联合创始人兼首席执行官 Devin Finzer 针对「OpenSea 漏洞」事件发布回应表示，本次攻击一种网络钓鱼攻击，工作团队相信攻击本身与 OpenSea 网站无关。到目前为止，共有 32 位用户签署了来自攻击者的恶意交易，导致他们的一些 NFT 被盗。目前该攻击似乎并未处于活动状态，2 小时内没有看到来自攻击者帐户的任何恶意活动，且部分 NFT 已退还。[原文链接]

CoinVoice最新获悉：2 月 20 日，派盾（PeckShield）在社交媒体发布相关交易记录表示，「OpenSea 漏洞」事件攻击者已将攻击所得部分 NFT 出售获利后，使用以太坊隐私交易平台 Tornado.cash 混币 1,100ETH。 此前报道，OpenSea 疑似遭到网络钓鱼攻击，大量 NFT 被窃取并卖出套利。本次攻击中共有 32 位用户签署了来自攻击者的恶意交易，导致用户部分 NFT 被盗。据 统计已经有包括 3 只 Bored Ape、25 个 NFT Worlds 、37 个 Azuki 等近百个 NFT 遭到被盗，按照主流资产的地板价计算，黑客至少获取了 416.6 万美元。[原文链接]

CoinVoice最新获悉：2 月 20 日，OpenSea 疑似遭到网络钓鱼攻击，大量 NFT 被窃取并卖出套利。OpenSea 联合创始人兼首席执行官 Devin Finzer 针对此事作出回应称，团队正在全面调查攻击源头，但可以确定这是一次网络钓鱼攻击，目前无法查询到网络钓鱼发生在何处，但根据与 32 名受影响用户的对话，以下情形被排除，包括： 1. 此攻击并非源自 OpenSea 网站； 2. 与 OpenSea 电子邮件的交互不是攻击的媒介。事实上，我们不知道有任何受影响的用户收到或点击可疑电子邮件中的链接； 3. 使用 OpenSea 铸造、购买、出售或上架物品不是攻击的载体。特别是，签署新的智能合约（Wyvern 2.3 合约）不是攻击的载体； 4. 使用 OpenSea 上的列表迁移工具将列表迁移到新的 Wyvern 2.3 合约不是攻击的载体； 5. 点击 OpenSea 的网站 banner 也不是攻击的载体。 Devin Finzer 表示，OpenSea 正在积极与被盗的用户合作，以找出他们与之交互的可能包含恶意签名的网站。[原文链接]

CoinVoice最新获悉：2 月 20 日，OpenSea 联合创始人兼首席执行官 Devin Finzer 针对「OpenSea 漏洞」事件发布回应表示，本次攻击一种网络钓鱼攻击，工作团队相信攻击本身与 OpenSea 网站无关。到目前为止，共有 32 位用户签署了来自攻击者的恶意交易，导致他们的一些 NFT 被盗。目前该攻击似乎并未处于活动状态，2 小时内没有看到来自攻击者帐户的任何恶意活动，且部分 NFT 已退还。 同时 Devin Finzer 提醒用户表示，目前尚不清楚是哪个网站诱使用户恶意签署邮件。当用户签署信息时，一定要仔细检查是否在浏览器中与 OpenSea 官网进行交互，请受影响的客户尽快联系 OpenSea 以协助调查。[原文链接]

CoinVoice最新获悉：2 月 20 日，据派盾官方消息，派盾称「OpenSea 漏洞事件」很可能是网络钓鱼，用户按照网络钓鱼邮件中的指示授权「迁移」，而这种授权将允许黑客窃取有价值的 NFT。 以太坊智能合约编程语言 Solidity 的开发者 foobar 表示，黑客使用 30 天前部署的一个助手合约，调用 4 年前部署的一个操作系统合约，使用有效的 atomicMatch() 数据。这可能是几个星期前的典型网络钓鱼攻击。而不是智能合约漏洞，代码是安全的。 此前报道，2 月 19 日，OpenSea 官方在社交媒体上发文表示，其智能合约升级已完成，新的智能合约已经上线，用户迁移智能合约需签署挂单迁移请求，签署此请求不需要 Gas 费，无需重新进行 NFT 审批或初始化钱包，此迁移期将持续 7 天。[原文链接]

CoinVoice最新获悉：2 月 20 日，据 The Block 新闻负责人 Frank Chaparro 转发 Cyphr.ETH 推文称，黑客使用了标准网络钓鱼电子邮件复制了几天前发生的「正版 OpenSea」电子邮件，然后让一些用户使用 WyvernExchange 签署权限。OpenSea 未出现漏洞，只是人们没有像往常一样阅读签名权限。 今日有消息称，多位用户发现 OpenSea 昨日推出的新迁移合约疑似出现 Bug，攻击者正利用该 Bug 窃取大量 NFT 并卖出套利，失窃 NFT 涵盖 BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers 等多种高价值系列。 OpenSea 官方随后作出回应，「我们正在积极调查与 OpenSea 智能合同有关的传闻。这看起来像是来自 OpenSea 网站外部的网络钓鱼攻击。不要点击 http://opensea.io 之外的任何链接。」[原文链接]

CoinVoice最新获悉：2 月 20 日，OpenSea 官方针对此前「新迁移合约疑似出现 Bug」一事作出回应并表示：「我们正在积极调查与 OpenSea 智能合同有关的传闻。这看起来像是来自 OpenSea 网站外部的网络钓鱼攻击。不要点击 http://opensea.io 之外的任何链接。」[原文链接]

CoinVoice最新获悉：2 月 19 日，Investigation Threads 主编 zachxbt 在社交平台发文表示，DeFi 协议 Composable Finance 匿名产品负责人 0xbrainjar 的真实身份是一名欺诈者 Omar Zaki，他曾被控欺诈在经营未注册的对冲基金时误导投资者，并因此被判上交 25,000 美元的民事罚款。此外，由 Zaki 参与运营的两个 DeFi 协议 Warp Finance 和 Force DAO 都曾遭到黑客攻击，导致资金损失 836.7 万美元。 此前报道，zachxbt 曾发布相关证据证实 Frog Nation 前 CFO 0xSifu 多次参与诈骗犯罪，并于近日再次举报一位名为 Crypto Messiah 的加密领域 KOL 涉嫌通过向粉丝兜售低市值山寨币以赚取数百万美元。[原文链接]

CoinVoice最新获悉：2 月 18 日，DeFi 保险协议 InsurAce 宣布与 Fantom 流动性聚合器 LiquidDriver 合作，InsurAce 将会上线 LiquidDriver 的保险产品，以避免 LiquidDriver 用户因合约攻击而产生资产损失。 LiquidDriver 是 Fantom 生态系统中第一个提供流动性即服务的流动性聚合器，旨在为其用户带来更多实用性、奖励以及长期利益。 [原文链接]

CoinVoice最新获悉：2 月 18 日，DeFi 借贷协议 Euler Finance 发布 Uniswap 预言机攻击模拟器，该模拟器现已对用户开放并代码开源，供用户模拟和量化 Uniswap V3 上流动性池发生预言机攻击的风险。 该模拟器原理是：给定某资产流动性（A/WETH）池，该工具计算将 Token 的时间加权平均价格（TWAP）移动到 x 价格的成本。模拟器通过使用 Uniswap QuoterV2 镜头和二进制搜索算法来迭代地买卖 A 或 WETH，从而找出攻击成本。[原文链接]

CoinVoice最新获悉：2 月 17 日，Cobo 安全研究团队近日盘点并解析了 1 月发生的典型区块链安全事件，对跨链桥、智能合约、钱包等多种类型的真实攻击案例和漏洞进行了技术解读，并为普通用户规避区块链中的安全风险提供了一些建议。 Cobo 区块链安全研究团队成员来自知名安全实验室，有多年网络安全与漏洞挖掘经验，曾协助谷歌 、微软处理高危漏洞，并获得谷歌、微软等厂商致谢，曾在微软 MSRC 最有价值安全研究员 Top 榜单中取得卓越的成绩。团队目前重点关注智能合约安全、DeFi 安全等方面，研究并分享前沿区块链安全技术。

CoinVoice最新获悉：2 月 16 日，针对此前 Cyber Capital 创始人兼 CIO Justin Bons 有关「Polygon 多重签名机制过于中心化和不安全」的质疑，Polygon 联合创始人 Mihailo Bjelic 近期进行了回应： Mihailo Bjelic 表示，多重签名机制的确有其局限性，但本质上是为了提升新项目的安全性，来保护用户免受黑客攻击，现在退出这一机制是不现实的。Polygon 一直将 Justin Bons 提到的「必须将智能合约管理密钥转移给 Matic 代币持有者」的建议作为目标，但这会增加出错时的反应时间。 因此，随着社区的成熟 Polygon 将逐步放弃多重签名，目前仍会很负责地使用这一机制。Polygon 最近发布了一份多重签名透明度报告，其中披露了相关签名者的详细信息以及如何改进并最终删除多重签名的计划。此外，多重签名中的其他 4 方并非由 Polygon 选择，而是他们主动加入。[原文链接]