又到了每月安全盘点时刻!据区块链安全审计公司Beosin Alert监测显示,2024年4月,各类安全事件损失金额较3月持续下降。2024年4月发生较典型安全事件超『23』起,因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达1.01亿美元,较3月下降约36%。其中攻击事件约5256万美元,下降约55%;钓鱼诈骗事件约1140万美元,下降约69%;Rug Pull事件约3705万美元,增长约624%。
本月最大的安全事件为Hedgey Finance因合约漏洞遭受攻击,损失约4470万美元,该事件占到了当月黑客攻击总损失的85%。本月发生一起涉及金额超过千万美元的Rug Pull事件:去中心化投注平台ZKasino转移用户资产约3300万美元。本月加密犯罪案件数量有所增长,涉及欺诈、传销、洗钱等多种类型。
政策方面,4月30日,香港交易结算所有限公司(香港交易所)表示,欢迎亚洲首批虚拟资产现货ETF 上市,增加香港市场的产品种类及为投资者提供更丰富的选择,巩固香港作为亚洲领先ETF 市场的地位。
黑客攻击方面
共发生『11』起典型安全事件
No.1 4月1日,DeFi协议OpenLeverage因合约漏洞遭到攻击,损失约23万美元。
No.2 4月1日,BNB Chain链上ATM代币因合约漏洞遭到攻击,损失约18万美元。
No.3 4月2日,去中心化交易所FixedFloat再次遭到攻击,损失约280万美元。FixedFloat称黑客利用了其第三方服务中的漏洞。
No.4 4月12日,BASE生态项目SumerMoney因合约漏洞遭到攻击,损失约35万美元。
No.5 4月12日,Stacks链上Zest Protocol项目遭到价格操纵攻击,损失约100万美元。
No.6 4月15日,BASE生态RWA项目Grand Base因部署者私钥泄露损失约200万美元。
No.7 4月19日,Hedgey Finance项目在Ethereum和Arbitrum两条链上因合约漏洞遭受攻击,损失达4470万美元。
No.8 4月24日,BNB Chain链上YIEDL项目因合约漏洞遭到攻击,损失约30万美元。
No.9 4月24日,Saita Chain的跨链桥项目Xbridge因合约漏洞遭到攻击,损失至少20万美元。
No.10 4月25日,BNB Chain链上NGFS代币因合约漏洞遭到攻击,损失约19万美元。
No.11 4月26日,跨链借贷协议Pike Finance遭到攻击,损失约30万美元。黑客通过伪造的CCTP消息耗尽了以太坊、Arbitrum和Optimism链上的USDC。
钓鱼诈骗/Rug Pull方面
共发生『6』起典型安全事件
No.1 4月2日,Solana链上Solareum发生Rug pull,部署者获利52万美元。
No.2 4月4日,Solana链上CondomSOL发生Rug pull,部署者获利92万美元。
No.3 4月11日,某0x5ea8开头地址因钓鱼诈骗在Base链上损失约84万美元。
No.4 4月11日,某0x05f4开头地址因钓鱼诈骗在Base链上损失约120万美元。
No.5 4月19日,某0x5789开头地址因钓鱼诈骗损失约77万美元。
No.6 4月20日,去中心化投注平台ZKasino发生Rug pull,用户无法提款,且项目方将3300万美元用户资金存入了质押协议Lido。
加密犯罪方面
共发生『6』起典型安全事件
No.1 4月6日消息,北京警方破获了涉虚拟货币的连环洗钱案件,涉案金额超过20亿人民币。
No.2 4月12日消息,美国首次对攻击智能合约的黑客定罪。SHAKEEB AHMED被判处三年监禁,罪名是攻击Nirvana Finance和Crema Finance并窃取价值超过1200万美元的加密货币。
No.3 4月16日消息,江苏法院对王某组织传销活动案进行宣判,王某因涉嫌通过名为moom的虚拟币平台进行网络传销被判刑,涉及金额超1亿人民币。
No.4 4月20日消息,印度男子在美国认罪,因其创建伪造的Coinbase网站并窃取超过950万美元加密货币。
No.5 4月24日,加密混币服务Samourai Wallet的联合创始人被捕,涉嫌从丝绸之路和其他非法市场洗钱1亿美元。
No.6 4月27日消息,台湾地区加密交易所ACE Exchange创始人等32人因涉嫌欺诈和洗钱被起诉,涉及金额估计达8亿新台币(2,456万美元)。
监管、合规、政策方面
No.1 4月30日,6支香港首批发行的虚拟资产现货ETF正式在香港交易所敲钟上市,并开放交易,香港交易结算所有限公司(香港交易所)欢迎亚洲首批虚拟资产现货ETF上市,增加香港市场的产品种类及为投资者提供更丰富的选择,巩固香港作为亚洲领先ETF市场的地位。
No.2 上周,日本央行发布了关于其央行数字货币工作的中期报告。其透露,本月推出了CBDC API沙箱,日本央行之前曾对数字日元进行过两次概念验证(PoC),最近一次是在一年前结束的。日本央行尚未决定推出CBDC。鉴于日本消费者对这一概念的认识极低,推广可能会很困难。日本央行还参与了Agora项目,这是国际清算银行使用代币化进行跨境支付的项目。与此同时,第一个日本代币化存款解决方案DCJPY预计将在未来几个月推出。
No.3 4月22日,香港证券及期货专业总会在官方网站发布向香港财库局的致函《建议成立独立性的证券业、期货业、资产管理业及虚拟资产业发展自律组织》,其中指出以香港的情况而言,本会建议证监会仍然保留对监管市场行为的权力(例如:禁止内幕交易、诈欺、与市场操纵交易等),惟将发牌权力分拆到单纯由证券业、期货业、资产管理业及虚拟资产业组成(及泛指现时由香港证监会定义的受规管活动持牌中介)组成的自律机构。
No.4 近期,泰国当局已决定封锁“未经授权”的加密货币平台,以提高解决网络犯罪问题的执法效率。在技术犯罪预防和抑制委员会召开会议后,泰国证券交易委员会或 SEC 被命令向数字经济和社会部提交有关未经授权的数字资产服务提供商的信息,以阻止对这些平台的访问。
No.5 4月17日,英国议会成员一致呼吁政府投资培养技能,以满足加密货币、区块链和人工智能(AI)行业的就业需求。周二主持该主题辩论的国会议员丽莎·卡梅伦敦促政府确保从教育的早期阶段甚至在工作场所教授数字技能。“尽管英国完全有能力利用数字经济增长带来的机遇,但仍需要在教育、培训和技能方面进行大量准备和投资,以充分利用这些机会并确保英国拥有必要的人才。”
鉴于当前区块链安全领域的新形势,『Beosin』在此总结:
从总体上看,2024年4月各类区块链安全事件损失金额连续两月持续下降。本月的攻击事件中,依旧有88%的损失金额来自合约漏洞利用,涉及业务逻辑漏洞、重入漏洞、输入验证漏洞等多种问题,建议项目方在项目上线前寻找专业的安全公司进行审计。本月发生多起涉及金额较大的Rug pull事件,建议用户做好项目背景调查,例如ZKasino在发生Rug pull之前就有多次来自安全社区的警告,揭露创始人团队的历史欺骗和不道德行为。