安全概覽 👀
DeFi 被駭事件
- Gala Game
5 月 20 日,Gala 一名管理員的私鑰被竊,攻擊者鑄造了 50 億枚 GALA 代幣,並在區塊鏈上兌換成價值 2,100 萬美元的代幣。隨後,Gala 發佈的官方報告顯示,此次漏洞涉及第三方承包商,內部程序已進行修正,包括移除未經授權的用戶。經過對內部線索的調查,攻擊者的身份已確認,被盜資產已全數退還。
官方報告:Gala News
對於專案團隊而言,建立針對特權操作的必要監控系統至關重要。私鑰管理不善會帶來嚴重的風險,導致內部和外部攻擊者獲得管理員權限或存取私鑰。在此案例中,若使用 Phalcon 或許能避免此類損失。
- Sonne Finance 事件
5 月 14 日,Optimism 上的 Sonne Finance 遭到攻擊,損失超過 2,000 萬美元。根本原因是 Compound V2 中的精度損失問題。儘管 Sonne 團隊知曉該問題,並計劃在市場部署期間增加流動性以規避此問題,但攻擊者卻利用了該漏洞。時間鎖(timelock)中多個預定交易留給了任何人執行,攻擊者在未增加流動性的情況下執行了市場部署,從而完成了攻擊。
如果 Sonne 使用了 Phalcon,他們就能更早偵測到攻擊,並將損失限制在 300 萬美元,而非 2,000 萬美元。瞭解詳情
- TCH
5 月 17 日,TSC 在 BSC 網路上遭到攻擊,由於簽名重放(signature replay)問題,損失超過 1.1 萬美元。開發者應瞭解至少三種簽名延展性(Signature Malleability)類型:
由於 ECDSA 的特性,如果 (r, s, v) 是有效的,那麼 (r, secp256k1n-s, 55-v) 也是有效的,因為以太坊的 ecrecover 兩者都允許。為解決此問題,OpenZeppelin 簽名庫將 s 限制為小於 secp256k1n/2+1。(OpenZeppelin Contracts)
關於 v 值,0 和 27 的意義相同,1 和 28 亦同,其中 27 是編碼標準。某些庫在驗證前會將 0 和 1 轉換為 27 和 28,但 OpenZeppelin 目前僅支援 27 和 28。
OpenZeppelin 先前支援兩種位元組簽名,一種是 v 作為 s 之後的單獨位元組,另一種是 v 在 s 的高位元中。(Malleable Signatures)
- TonUP
TON 鏈上的專案 TonUP 宣佈其質押合約遭到駭客攻擊,並計劃分配資金回購 307,264 枚代幣以補償用戶。隨著新生態系統帶來新機會,它們也伴隨著駭客攻擊的威脅。
🫡 5 月份重大攻擊事件的交易內容、根本原因以及 PoC 皆已記錄在我們的安全事件列表中,供您查閱。
釣魚攻擊
- Pink Drainer
Pink Drainer 宣佈關閉,聲稱已賺得足夠並計劃退休。然而,退出場景可能不像他們預期的那麼簡單。
- 鯨魚地址投毒攻擊
5 月 3 日,一位鯨魚遭受了地址投毒攻擊(address poisoning attack),損失了約價值 7,000 萬美元的 1,155 枚 WBTC。幸運的是,在社群持續的努力下,攻擊者退還了資金。釣魚攻擊涉及社會工程學,即使是最資深的 DeFi 專家也可能成為目標。請務必保持警惕!
法律行動
5 月 15 日,美國司法部宣佈逮捕了兩名攻擊以太坊區塊鏈並竊取 2,500 萬美元加密貨幣的兄弟。這些攻擊者利用 Flashbot Relay 中的漏洞來攻擊 MEV 機器人。這是一次高度複雜的攻擊,我們的深度分析可參閱此處。
在此閱讀司法部的新聞稿:此處。
部落格文章
Phalcon 虛擬體驗之旅
😎 準備好與駭客進行一場生死之戰了嗎?
我們誠摯邀請您免費參加「Phalcon 虛擬體驗之旅」。
與駭客對戰,正面迎擊真實的鏈上攻擊,並利用我們的自動化攻擊攔截平台 Phalcon 拯救價值數百萬美元的資產!您準備好成為英雄了嗎?
MetaSuites 現已支援 Solana!
MetaSuites 5.0 重大升級引入了對 Solana 的支援,新增跨站點本地標籤,並增強了 DeBank、Arkham 和 Merlin Scan 的功能!點擊此處瞭解更多。
🎉🎉🎉
我們非常高興地宣佈,我們尊貴的合作夥伴 DeFiHackLabs 已獲得 GCC 頒發的 35,000 USDT 資助。這筆資金將作為其初始營運資本,支持他們在 Web3 安全領域的不懈努力,並培養更多人才。
恭喜 DeFiHackLabs 獲得這項實至名歸的肯定,期待未來能共同取得更多開創性的成就!👏
