前言

從 Defi 安全形度來看 9 月安全事件相較於較 8 月份已有所下降，但是從整體安全形度來看依然不容樂觀，駭客攻擊涉及到的損失金額巨大。

知道創宇區塊鏈安全實驗室 總結了 9 月發生的各類安全事件，並就攻擊手法和暴露出的問題進行了梳理。

9 月安全事件盤點

以下是 9 月發生的各領域的安全事件：

9 月 4 日

NFT 賽馬專案 DeRac 針對 DAO 公共買家在未來解鎖領取代幣的合約 DAO Maker分發系統被攻擊。

其漏洞原理是：Vesting 合約 未進行 init 未初始化保護，從而讓駭客初始化了 init 的關鍵引數，也變更了 owner，導致駭客透過緊急提款函式提取了合約資金，損失約 400 萬美元。

9 月

NFT 市場 OpenSea 出現漏洞導致 30 筆交易受到影響，至少 42 個 NFT 被銷燬， 損失約 9.7 萬美元。

9 月 12 日

Avalanche 鏈上 Zabu Finance 由於其 defi 協議與代幣協議之間不相容被駭客利用，透過攻擊獲取 45 億 ZABU 代幣，損失約 60 萬美元。

9 月 15 日

去中心化交易所 NowSwap 遭到駭客攻擊，由於沒有修改 swap 函式的引數導致閃電貸的恆定乘積校驗邏輯失效，攻擊者返還部分閃電貸金額即被認為是完全歸還，從而實現了攻擊，損失金額超 100 萬美元。

9 月 17 日

9 月 17 日，SushiSwap 平臺 MISO 上的 DONA 代幣拍賣遭到攻擊，駭客透過向 MISO 前端插入了惡意程式碼，將拍賣錢包地址改為了自己的錢包地址獲利，損失超 300 萬美元。

9 月 20 日

跨鏈協議 pNetwork 因程式碼漏洞遭攻擊，損失約 1308 萬美元。

9 月 21 日

借貸協議 Vee.Finance，超 3500 萬美元資產被盜，據官方調查，極可能是小數點未精確以及許可權校驗問題導致預言機價格被操縱。

9 月

OpenZeppelin 的 TimelockController 合約修復了一個可重入漏洞，這是 OpenZeppelin 在其開源智慧合約庫中唯一存在的嚴重漏洞。

9 月 30 日

去中心化借貸協議 Compound 出現漏洞錯誤地允許一些使用者索取額外的 COMP 代幣， 該漏洞損失約 28 萬枚 COMP 代幣。

總結

各鏈上專案問題依然十分嚴峻，智慧合約層面的漏洞導致的損失一般都十分巨大，相較於新型漏洞，大多數漏洞都屬於可追溯漏洞即已經出現過的漏洞，希望各方在開發專案或者審計專案時多做考慮。

關於 OpenZeppelin 出現的漏洞則再一次提醒我們，沒有絕對的權威，任何專案都需要多方驗證保證其安全性。