Знову настав час щомісячної перевірки безпеки! За даними Beosin EagleEye з моніторингу ризиків безпеки, раннього попередження та моніторингу платформи блокування аудиторської компанії Beosin з безпеки блокчейнів, у травні 2023 року кількість різних інцидентів безпеки продовжувала знижуватися протягом двох місяців поспіль. **У травні було більше ніж на «22» типових інцидентів безпеки, а загальний збиток від різних інцидентів атак склав близько 19,69 мільйонів доларів США, що приблизно на 79% менше, ніж у квітні. Крім того, загальна сума шахрайської втечі досягла 45,02 мільйона доларів США, перевищивши суму збитків від атаки. **
Наймасштабнішою атакою цього місяця стала атака на Jimbos у мережі Arbitrum зі збитками близько 7,5 мільйонів доларів. Інциденти безпеки, пов’язані з апаратними гаманцями, зросли, і користувачам потрібно приділяти більше уваги. У травні випадки шахрайської втечі все ще траплялися часто, і сума, задіяна в багатьох проектах утечі, досягла понад 1 мільйона доларів США.
Загалом у DeFi сталося «10» типових інцидентів безпеки
№1 2 травня проект Level Finance у мережі BSC зазнав атаки та втратив 1,09 мільйона доларів.
№2 3 травня Never Fall у мережі BSC зазнав нападу та втратив 70 000 доларів.
№3 6 травня стейблкойн DEI, запущений DEUS, був зламаний, і хакери отримали прибуток у розмірі близько 6,3 мільйона доларів США.
№ 4 7 травня BFT у мережі BSC зазнав атаки швидкої позики та втратив 270 000 доларів США.
№ 5 10 травня SNK у мережі BSC зазнала атаки, і хакери використали механізм винагороди за запрошення SNK, щоб отримати прибуток у розмірі 190 000 доларів США.
№6 20 травня Swap-Lp у мережі BSC зазнав атаки та втратив 1 мільйон доларів.
№7 20 травня Tornado Cash зазнала атаки та втратила 1,07 мільйона доларів.
№8 24 травня токен CS в ланцюжку BSC був атакований, збиток склав близько 710 000 доларів США.
№9 24 травня проект LCT мережі BSC був атакований, збитки склали близько 118 000 доларів США.
№ 10 28 травня Jimbos з мережі Arbitrum зазнав нападу та втратив близько 7,5 мільйонів доларів. Сторона проекту заявила, що якщо зловмисник поверне 90% коштів, вона зніме відповідальність зловмисника.
Було "3" типові інциденти безпеки в безпеці гаманця/користувача
Апаратний гаманець № 1 imKey повідомив, що нещодавно було виявлено, що неофіційний інтернет-магазин продає "активовані" апаратні гаманці imKey. Ця ситуація може піддатися атаці соціальної інженерії, і існує більший ризик шахрайства.
Друга фірма безпеки стверджує, що апаратні гаманці Trezor T мають уразливості, які дозволяють зловмисникам зламати мнемонічну фразу під час фізичного доступу до апаратного гаманця.
№ 3 Наразі існує новий спосіб крадіжки монет за допомогою спільного блоку живлення для викрадення приватного ключа. Шахрайські угруповання модифікували спільний банк живлення KTV і впровадили шкідливі програми для викрадення закритого ключа в мобільний телефон.
Всього "6" типових інцидентів безпеки сталося в аспекті шахрайської втечі
№1 4 травня екологічний проект Arbitrum XIRTAM був закритий, і сторона проекту перевела 1909 ETH (приблизно 3,58 мільйона доларів США) на Binance та була заморожена.
№ 2 4 травня відбувся Rug Pull у проекті Meme coin WSB Coin із залученням коштів у розмірі 635 000 доларів США.
№3 19 травня в додатку Swaprum на Arbitrum стався Rug Pull, і розгортач отримав прибуток у 3 мільйони доларів США.
№4 24 травня команду фінансової платформи блокчейнів Fintoch запідозрили в схемі Понці, яка викрала 31,6 мільйона доларів США.
No.5 30 травня в проекті BlockGPT стався Rug Pull, який залучив активи на суму близько 256 000 доларів США.
№ 6 Багатоланцюговий постачальник послуг шахрайства під назвою Inferno Drainer викрав активи на суму близько 5,9 мільйона доларів і наразі має майже 4888 жертв.
Було "2" типові інциденти з безпекою під час нагляду за злочинами, пов'язаними з шифруванням/справами
№1 20 травня Міністерство юстиції США оголосило, що людині зі штату Невада висунуто звинувачення за нібито участь у CoinDeal. CoinDeal була інвестиційною шахрайською схемою, яка ошукала понад 10 000 жертв на понад 45 мільйонів доларів.
№ 2 У травні Міністерство юстиції США вилучило криптовалюту на суму до 112 мільйонів доларів з адрес, пов’язаних із шахрайством із вбивством свиней.
Загалом "1" типовий інцидент безпеки стався в інших областях
№ 1 Команда безпеки Beosin виявила серйозну вразливість CVE-2023-33252 у бібліотеці SnarkJS 0.6.11 і попередніх версіях, нагадуючи всім проектам zk, які використовують бібліотеку SnarkJS, оновити SnarkJS до версії 0.7.0, щоб забезпечити секс безпеки .
Додаткова інформація: Beosin знайшов уразливість CVE-2023-33252 у бібліотеці перевірки Circom, нагадуючи учасникам проекту zk звернути увагу на пов’язані ризики
З огляду на нову ситуацію в поточній сфері безпеки блокчейну, «Beosin» підсумовує тут:
Загалом у травні 2023 року кількість учасників різноманітних інцидентів безпеки блокчейну продовжувала зменшуватися. У травні загальна сума збитків від різних атак досягла 19,69 млн доларів США, що на 79% менше порівняно з квітнем. **
Цього місяця сума грошей, задіяна в шахрайстві, перевищила інцидент атаки, а також з’явилися нові способи викрадення монет, наприклад використання спільних скарбів для викрадення приватних ключів. Хакери та шахраї поступово переміщують цілі своїх атак з учасників проекту на звичайних користувачів. Рекомендується, щоб користувачі підвищували обізнаність щодо боротьби з шахрайством, добре досліджували передумови проекту та брали участь у багатьох каналах, щоб забезпечити безпеку власних активів. Крім того, більше половини проектів, які атакували цього місяця, не пройшли аудит. Рекомендується знайти професійну аудиторську компанію для проведення аудиту до того, як проект буде запущено.
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Інвентаризація інцидентів безпеки в травні: загальна сума збитків склала близько 19,69 млн доларів США, що на 79% менше, ніж у квітні
Автор: Beosin
Знову настав час щомісячної перевірки безпеки! За даними Beosin EagleEye з моніторингу ризиків безпеки, раннього попередження та моніторингу платформи блокування аудиторської компанії Beosin з безпеки блокчейнів, у травні 2023 року кількість різних інцидентів безпеки продовжувала знижуватися протягом двох місяців поспіль. **У травні було більше ніж на «22» типових інцидентів безпеки, а загальний збиток від різних інцидентів атак склав близько 19,69 мільйонів доларів США, що приблизно на 79% менше, ніж у квітні. Крім того, загальна сума шахрайської втечі досягла 45,02 мільйона доларів США, перевищивши суму збитків від атаки. **
Наймасштабнішою атакою цього місяця стала атака на Jimbos у мережі Arbitrum зі збитками близько 7,5 мільйонів доларів. Інциденти безпеки, пов’язані з апаратними гаманцями, зросли, і користувачам потрібно приділяти більше уваги. У травні випадки шахрайської втечі все ще траплялися часто, і сума, задіяна в багатьох проектах утечі, досягла понад 1 мільйона доларів США.
Загалом у DeFi сталося «10» типових інцидентів безпеки
№1 2 травня проект Level Finance у мережі BSC зазнав атаки та втратив 1,09 мільйона доларів.
№2 3 травня Never Fall у мережі BSC зазнав нападу та втратив 70 000 доларів.
№3 6 травня стейблкойн DEI, запущений DEUS, був зламаний, і хакери отримали прибуток у розмірі близько 6,3 мільйона доларів США.
№ 4 7 травня BFT у мережі BSC зазнав атаки швидкої позики та втратив 270 000 доларів США.
№ 5 10 травня SNK у мережі BSC зазнала атаки, і хакери використали механізм винагороди за запрошення SNK, щоб отримати прибуток у розмірі 190 000 доларів США.
№6 20 травня Swap-Lp у мережі BSC зазнав атаки та втратив 1 мільйон доларів.
№7 20 травня Tornado Cash зазнала атаки та втратила 1,07 мільйона доларів.
№8 24 травня токен CS в ланцюжку BSC був атакований, збиток склав близько 710 000 доларів США.
№9 24 травня проект LCT мережі BSC був атакований, збитки склали близько 118 000 доларів США.
№ 10 28 травня Jimbos з мережі Arbitrum зазнав нападу та втратив близько 7,5 мільйонів доларів. Сторона проекту заявила, що якщо зловмисник поверне 90% коштів, вона зніме відповідальність зловмисника.
Було "3" типові інциденти безпеки в безпеці гаманця/користувача
Апаратний гаманець № 1 imKey повідомив, що нещодавно було виявлено, що неофіційний інтернет-магазин продає "активовані" апаратні гаманці imKey. Ця ситуація може піддатися атаці соціальної інженерії, і існує більший ризик шахрайства.
Друга фірма безпеки стверджує, що апаратні гаманці Trezor T мають уразливості, які дозволяють зловмисникам зламати мнемонічну фразу під час фізичного доступу до апаратного гаманця.
№ 3 Наразі існує новий спосіб крадіжки монет за допомогою спільного блоку живлення для викрадення приватного ключа. Шахрайські угруповання модифікували спільний банк живлення KTV і впровадили шкідливі програми для викрадення закритого ключа в мобільний телефон.
Всього "6" типових інцидентів безпеки сталося в аспекті шахрайської втечі
№1 4 травня екологічний проект Arbitrum XIRTAM був закритий, і сторона проекту перевела 1909 ETH (приблизно 3,58 мільйона доларів США) на Binance та була заморожена.
№ 2 4 травня відбувся Rug Pull у проекті Meme coin WSB Coin із залученням коштів у розмірі 635 000 доларів США.
№3 19 травня в додатку Swaprum на Arbitrum стався Rug Pull, і розгортач отримав прибуток у 3 мільйони доларів США.
№4 24 травня команду фінансової платформи блокчейнів Fintoch запідозрили в схемі Понці, яка викрала 31,6 мільйона доларів США.
No.5 30 травня в проекті BlockGPT стався Rug Pull, який залучив активи на суму близько 256 000 доларів США.
№ 6 Багатоланцюговий постачальник послуг шахрайства під назвою Inferno Drainer викрав активи на суму близько 5,9 мільйона доларів і наразі має майже 4888 жертв.
Було "2" типові інциденти з безпекою під час нагляду за злочинами, пов'язаними з шифруванням/справами
№1 20 травня Міністерство юстиції США оголосило, що людині зі штату Невада висунуто звинувачення за нібито участь у CoinDeal. CoinDeal була інвестиційною шахрайською схемою, яка ошукала понад 10 000 жертв на понад 45 мільйонів доларів.
№ 2 У травні Міністерство юстиції США вилучило криптовалюту на суму до 112 мільйонів доларів з адрес, пов’язаних із шахрайством із вбивством свиней.
Загалом "1" типовий інцидент безпеки стався в інших областях
№ 1 Команда безпеки Beosin виявила серйозну вразливість CVE-2023-33252 у бібліотеці SnarkJS 0.6.11 і попередніх версіях, нагадуючи всім проектам zk, які використовують бібліотеку SnarkJS, оновити SnarkJS до версії 0.7.0, щоб забезпечити секс безпеки .
Додаткова інформація: Beosin знайшов уразливість CVE-2023-33252 у бібліотеці перевірки Circom, нагадуючи учасникам проекту zk звернути увагу на пов’язані ризики
З огляду на нову ситуацію в поточній сфері безпеки блокчейну, «Beosin» підсумовує тут:
Загалом у травні 2023 року кількість учасників різноманітних інцидентів безпеки блокчейну продовжувала зменшуватися. У травні загальна сума збитків від різних атак досягла 19,69 млн доларів США, що на 79% менше порівняно з квітнем. **
Цього місяця сума грошей, задіяна в шахрайстві, перевищила інцидент атаки, а також з’явилися нові способи викрадення монет, наприклад використання спільних скарбів для викрадення приватних ключів. Хакери та шахраї поступово переміщують цілі своїх атак з учасників проекту на звичайних користувачів. Рекомендується, щоб користувачі підвищували обізнаність щодо боротьби з шахрайством, добре досліджували передумови проекту та брали участь у багатьох каналах, щоб забезпечити безпеку власних активів. Крім того, більше половини проектів, які атакували цього місяця, не пройшли аудит. Рекомендується знайти професійну аудиторську компанію для проведення аудиту до того, як проект буде запущено.