Cointime Security Weekly는 사용자가 보안 지식을 배울 수 있도록 여러 보안 기관에서 발행한 보안 사고 대상 프로젝트의 보안 알림, 보안 사고 공개 및 공지 사항을 다음과 같이 정리합니다. 이번주 내용은 다음과 같이 구성되어 있습니다.

보안 사고

필리핀 거래소 Coins.ph가 공격을 받아 1,200만 XRP 이상을 잃었습니다.

이 문제에 정통한 소식통에 따르면 필리핀에 본사를 둔 암호화폐 거래소인 Coins.ph가 화요일 공격을 받아 1,200만개 이상의 XRP 토큰(약 600만 달러)이 손실되었다고 합니다.

HopeLend가 해킹되어 526 ETH를 잃었습니다.

전 트위터 사용자 Spreek에 따르면 Hope Lend는 해킹을 당해 526 ETH를 잃어버린 것으로 의심됩니다. 해커가 공격을 시작한 후 선두주자가 거래를 선점했고, 두 사람은 수익금을 균등하게 공유하고 263ETH의 뇌물을 지불했습니다.

일부 팬텀 재단 지갑이 공격을 받아 미화 657,000달러의 손실이 확인되었습니다.

CertiK 모니터링에 따르면 팬텀 재단의 이더리움과 팬텀의 일부 지갑이 공격을 받았으며 현재 손실액은 657,000달러인 것으로 확인되었습니다.

Galxe: 공격의 영향을 받은 사용자에게 추가 10% 보상을 포함하여 460,000 USDT 이상이 배포되었습니다.

Galxe는 Polygon 네트워크에 총 466,296.74 USDT를 성공적으로 배포했으며, 여기에는 커뮤니티에 대한 약속으로 추가 10%도 포함되어 있다고 밝혔습니다. 이전 뉴스에 따르면 Galxe가 공격을 받은 후 사용자는 손실을 전액 보상하고 팀은 추가로 10%의 보상도 제공할 것이라고 밝혔습니다.

RocketSwap 공격자는 89ETH를 Tornado Cash로 이체합니다.

MistTrack은 소셜 미디어 X에 RocketSwap 공격자가 자금을 Tornado Cash로 이체하고 있다고 게시했습니다. 이체 내역은 다음과 같습니다: 1.0x73c...b8341은 51ETH를 Tornado Cash로 이체하고, 2.0x8d3...277a4는 38ETH를 Tornado Cash로 이체합니다. 이전에 보고된 바와 같이 Base 생태학적 프로젝트인 RocketSwap은 취약점의 공격을 받았습니다. 공격자는 훔친 자산을 이더리움에 연결하여 471 ETH(약 $868,000)의 손실을 입혔습니다.

안전 알림

friend.tech 애플리케이션은 서비스 거부 공격으로 인해 성능 문제를 겪었으며 이제 정상 작동으로 돌아왔습니다.

friend.tech는 오늘 채팅 서버에 대한 서비스 거부 공격으로 인해 앱에 성능 문제가 발생했다고 게시했습니다. 현재 애플리케이션은 정상 작동 상태로 돌아왔습니다.

PeckShield: EraLend 공격자가 281 ETH를 새 주소로 전송했습니다.

PeckShield 모니터링에 따르면 EraLend로 표시된 공격자의 주소는 281 ETH를 새 주소 0xf888...ac02로 전송했습니다.

브람 코헨: 이름 앞에 밑줄이 있는, 나를 사칭하는 가짜 계정이 있습니다

암호화폐 스타트업 치아 네트워크(Chia Network)의 신임 CEO 브람 코헨(Bram Cohen)은 현재 이름 앞에 밑줄이 있는 나를 사칭하는 가짜 계정이 존재하고 있으며, 인증 수수료를 지불했음에도 불구하고, 웹사이트에서는 이를 제거하지 않았습니다.

블록스트림 문제 경고: 공식 릴리스인 것처럼 가장하는 피싱 이메일을 조심하세요

블록스트림 문제 경고: 공식 릴리스인 것처럼 가장하는 피싱 이메일을 조심하세요

비트코인 인프라 회사 Blockstream은 다음과 같은 알림을 발행했습니다. Blockstream은 절대로 이메일을 통해 개인 정보를 요청하지 않습니다. - 온라인에 시드 문구를 입력하거나 Blockstream 지원팀 소속이라고 주장하는 누구와도 공유하지 마십시오. - 사용자는 BlockstreamGreen 지갑 앱이나 전용 펌웨어 웹사이트를 통해서만 Jade 하드웨어 지갑을 업데이트해야 합니다.

슬로우 미스트 코사인 : 라이트닝 네트워크의 교체주기 공격은 MEV 샌드위치 공격과 유사하므로 잡힐 위험이 있으므로 주의가 필요합니다.

10월 22일 뉴스에 따르면, SlowMist 창립자 Yu Xian은 라이트닝 네트워크에 대체 루프 공격이 등장했다고 소셜 미디어에 게시했는데, 이는 MEV의 샌드위치 공격과 다소 유사합니다. .

CertiK: MicDao 프로젝트에 플래시 대출 취약점이 있으며, 공격자는 US$12,263의 수익을 올렸습니다.

CertiK Alert가 모니터링한 데이터에 따르면 MicDao 프로젝트에서 플래시 대출 취약점이 발견되었으며 계약은 BSC 0xf6876f6AB2637774804b85aECC17b434a2B57168입니다. 공격자는 $12,263의 이익을 얻었습니다.

슬로우 미스트: 팬텀 재단이 피싱 공격을 받아 재단이나 직원이 도난당했습니다.

SlowMist 최고 정보 보안 책임자 23pds는 "어제 팬텀 재단에서 도난 신고를 했습니다. 온체인 전송 방법과 과거 긴급 상황을 분석한 결과 개인 키가 도난당한 것으로 보입니다. 팬텀 재단의 개인 키가 도난당한 것으로 보입니다. 아마도 팬텀 재단의 개인 키가 도난당한 것으로 보입니다. 피싱 및 소셜 엔지니어링 공격으로 악성 트로이 목마 파일을 실행하여 일부 지갑 개인 키를 도난당했습니다." 이전에 보고된 바에 따르면 일부 팬텀 재단 지갑이 공격을 받았고 해커들은 Chrome 제로데이 취약점을 악용하여 이익을 얻었습니다.

Gitcoin Passport는 Discourse 포럼에 Sybil 공격 보호 및 보안을 제공합니다.

Gitcoin Passport는 원래 트위터에서 Discourse 포럼에 보안을 제공한다고 발표했습니다. Discourse용 새 플러그인은 Sybil 공격과 봇으로부터 보호하여 온라인 커뮤니티의 무결성과 신뢰성을 유지합니다. 포럼 관리자는 Stamps 디지털 인증서에 누적된 Passport 점수를 기반으로 신뢰 수준을 설정하여 포럼 기능에 대한 계층화된 액세스를 허용할 수 있습니다.

발표

BlockSec: WiseLending이 공격을 받아 자금 풀이 소진되었습니다

스마트 계약 감사 플랫폼 BlockSec은 다음과 같은 문서를 발행했습니다.

Hope.money: 해커는 이 공격으로 이익을 얻지 않았으며 프로토콜은 독립적으로 존재합니다.

분산형 스테이블코인 프로젝트 Hope.money는 HopeLend 프로토콜이 어제 해커의 공격을 받았지만 해커는 공격으로 이익을 얻지 못했다고 트윗했습니다. 공격으로 인해 약 528 ETH의 손실이 발생했으며, 그 중 263.91 ETH는 선두 거래자가 검증자에게 뇌물을 줬습니다.(검증자는 Lido가 관리했습니다.) 취약점을 악용한 선두 거래자는 최종적으로 264.08의 이익을 얻었습니다. ETH. 팀은 현재 관련 자산을 복구하기 위해 당사자들과 적극적으로 접촉하고 있습니다. 현재 Hope.money가 배포하는 다양한 프로토콜은 독립적이며 현재 플랫폼에 존재하는 다양한 다른 제품 및 프로토콜에 영향을 미치지 않습니다.

소셜 미디어 앱 스타즈 아레나(Stars Arena)는 공격 후 손실된 자금의 90%를 성공적으로 복구했습니다.

소셜 미디어 앱 스타즈 아레나(Stars Arena)는 4일간의 온체인 협상 끝에 손실된 자금의 약 90%를 복구했습니다. X에 대한 팀의 발표에 따르면 공격자는 자금의 10%가 조금 넘는 금액을 "화이트 햇" 포상금으로 보유할 수 있습니다.

개발자가 "대체 루프 공격"이라는 새로운 비트코인 ​​라이트닝 네트워크 취약점을 공개했습니다.

Mononaut라는 개발자가 10월 21일 X의 비트코인 ​​라이트닝 네트워크 "대체 루프 공격"에서 새로운 취약점을 공유했고, 이로 인해 유명한 보안 연구원이자 개발자인 Antoine Riard가 라이트닝 네트워크 개발 팀에서 사임했습니다. 이 공격은 라이트닝 네트워크 거래 프로세스의 특정 메커니즘을 악용하여 채널에 참여하는 사용자에게 잠재적인 재정적 손실을 초래합니다. 공격은 다단계 프로세스로 전개됩니다.

Mononaut라는 개발자가 10월 21일 X의 비트코인 ​​라이트닝 네트워크 "대체 루프 공격"에서 새로운 취약점을 공유했고, 이로 인해 유명한 보안 연구원이자 개발자인 Antoine Riard가 라이트닝 네트워크 개발 팀에서 사임했습니다. 이 공격은 라이트닝 네트워크 거래 프로세스의 특정 메커니즘을 악용하여 채널에 참여하는 사용자에게 잠재적인 재정적 손실을 초래합니다. 공격은 다단계 프로세스로 전개됩니다.

MetaTrust: 벨루가 프로토콜 취약점은 어제 공격받은 스테이블코인 거래 프로젝트의 오리너구리 취약점과 동일합니다

MetaTrust Alert 모니터링에 따르면 Arbitrum 체인의 스테이블 코인 거래 프로젝트인 Beluga Protocol이 복사 붙여넣기 공격을 받아 166,000달러 상당의 108$ETH가 손실되었습니다. 벨루가(Beluga)의 취약점은 어제 AVAX 체인에서 공격을 받은 스테이블코인 거래 프로젝트인 오리너구리(Platypus)와 동일하며, 둘 다 현금 조작과 신뢰성 조작에 의한 가격 조작 공격이다. 두 프로젝트의 코드는 유사합니다.