一、基本信息
2023年2月安全事件共造成约3796万美元损失,相较于上个月,安全事件数量与损失金额都有显著上升,其中PlatypusFinance闪电贷攻击为单次利用损失之最高达850万美元。本月RugPull数量基本与上月持平,损失金额占比显著降低,但社媒等事件依然高发,Twitter项目方账户伪造与官方Discord被攻击发布钓鱼链接层出不穷。
1.1REKT盘点
No.1
2月2日,非托管借贷平台BonqDAO和加密基础设施平台AllianceBlock因BonqDAO的智能合约漏洞而被黑客攻击,损失价值约1.2亿美元的代币,攻击者在抛售部分攻击得到的代币后实际获利约200万美元。黑客在抵押10个TRB代币后拥有了调用Bonq智能合约中预言机“updatePrice”功能的权限,接着更新了WALBT抵押品Tellor的喂价。攻击者将WALBT的价格设置为一个极高的值,这使得他可以在更新价格后在同一笔交易中借入几乎不需要抵押品的资产。然后攻击者几乎零抵押从Bonq铸造资产,并将其兑换成其他资产。
攻击交易:https://www.oklink.com/zh-cn/polygon/tx/0x31957ecc43774d19f54d9968e95c69c882468b46860f921668f2c55fadd51b19
BonqDAO合约地址:https://www.oklink.com/zh-cn/polygon/address/0x4248fd3e2c055a02117eb13de4276170003ca295
攻击合约:https://www.oklink.com/zh-cn/polygon/address/0xed596991ac5f1aa1858da66c67f7cfa76e54b5f1攻击者地址:https://www.oklink.com/zh-cn/polygon/address/0xcacf2d28b2a5309e099f0c6e8c60ec3ddf656642
No.2
2月3日,OrionProtocol遭受重入攻击,在ETH和BSC链上损失超300万美元。此次漏洞原因主要是swapThroughOrionPool函数允许用户提供交换token的路径,而黑客通过构造包含钩子的恶意token,劫持了交换路径,将调用逻辑转移到depositAsset函数,从而0成本增加余额。
BSC攻击交易:https://www.oklink.com/zh-cn/bsc/tx/0xfb153c572e304093023b4f9694ef39135b6ed5b2515453173e81ec02df2e2104
ETH攻击交易:https://www.oklink.com/zh-cn/eth/tx/0xa6f63fcb6bec8818864d96a5b1bb19e8bd85ee37b2cc916412e720988440b2aa
BSC攻击者地址:https://www.oklink.com/zh-cn/bsc/address/0x837962b686fd5a407fb4e5f92e8be86a230484bd
ETH攻击者地址https://www.oklink.com/zh-cn/eth/address/0x837962b686fd5a407fb4e5f92e8be86a230484bd
欧科云链研究院:基于区块链的“价值互链网”将是元宇宙经济系统的基本形态:11月16日,欧科云链“星途计划”系列沙龙第三期活动顺利举行,欧科云链研究院高级研究员孙宇林以“元宇宙版《国富论》——经济系统的构建与安全”为题作主题分享。
在分享中,孙宇林基于长期行业观察,勾勒出元宇宙经济系统的基本形态。他指出,对应于现实世界经济系统的要素,诸如商品体系、金融体系和商业组织,在元宇宙世界,NFT可能是商品形态的数字化基础的资产形态,而DeFi将与传统金融模式共同为元宇宙内的各类资产提供充沛的流动性;对应于现实世界的商业组织,DAO将作为数字世界中一种新的组织模式而广泛推广开来。
孙宇林表示,区块链技术的出现,为元宇宙经济系统内价值的生成和流转创造了条件,将释放元宇宙的活力。作为中国区块链大数据产业的先锋企业,欧科云链将拥抱时代发展使命,紧跟元宇宙的全球发展步伐,加强科技创新与研发力量,坚持创新驱动发展,为元宇宙经济系统打造“科技红绿灯”,做好中国元宇宙产业发展高速路上的“安全清道夫”。[2021/11/16 21:55:04]
BSC攻击合约地址:https://www.oklink.com/zh-cn/bsc/address/0x84452042cb7be650be4eb641025ac3c8a0079b67
ETH攻击合约地址:https://www.oklink.com/zh-cn/eth/address/0x5061f7e6dfc1a867d945d0ec39ea2a33f772380a
No.3
2月4日,Arbitrum上的收益自动化协议SperaxUSD遭受攻击,损失约30万美元。造成黑客攻击的根本原因在合约存在将帐户从rebasing-based迁移到non-rebasing时,过早的修改账户类型导致提前使用non-rebasing机制计算余额。
攻击交易:
https://www.oklink.com/zh-cn/arbitrum/tx/0xe74641b4b7e9c9eb7ab46082f322efbc510b8d39af609d934f41c41d7057fe49
https://www.oklink.com/zh-cn/arbitrum/tx/0xfaf84cabc3e1b0cf1ff1738dace1b2810f42d98baeea17b146ae032f0bdf82d5
攻击者:
https://www.oklink.com/zh-cn/arbitrum/address/0x5c978dF5F8AF72298fe1c2C8C2C05476a10F2539
https://www.oklink.com/zh-cn/arbitrum/address/0x4AfcD19bB978Eaf4F993814298504eD285df1181
No.4
2月7日,BSC链上的TWT项目遭受攻击,黑客获利13.73万美元。导致本次攻击的原因是claimReward()函数存在缺陷,黑客转移代币到奖励合约就能获得超额奖励。
合约地址:
https://www.oklink.com/zh-cn/eth/address/0xd4df22556e07148e591b4c7b4f555a17188cf5cf
No.5
2月7日,ETH链上的CoWSwap项目遭受攻击,黑客获利18.1万美元。导致本次攻击的起因是CoWDAO引入了一种白名单机制来降低solver竞争带来的CoW结算合约资金风险,而白名单中的BarterSolver对一个存在任意调用的合约进行了授权,所用人都可以通过这个授权来进行代币转移。
欧科云链携手临港组建区块链技术安全服务站:9月24日,“创新&引领2021长三角经济数字化转型发展论坛“在上海G60科创云廊召开。上海临港控股股份有限公司、上海质量管理科学研究院和欧科云链集团签署了战略合作协议。未来,三方将重点在推动区块链应用示范产业集聚、推进产学研用协同创新,区块链相关标准体系建设、人才培育等方面深度合作。同时,会上还举行了临港区块链技术安全服务站揭牌仪式。[2021/9/24 17:03:43]
合约地址:
https://www.oklink.com/zh-cn/eth/address/0x9008d19f58aabd9ed0d60971565aa8510560ab41
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0x61a5196468b276bcedc3aab2f2fe255c2d54ca1c655523f4b25c99b1a224e715
No.6
2月8日,BSC链HZUSD项目遭受攻击,损失约7万美元。漏洞核心为提款函数缺乏权限限制。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xcb9d192f6b846d9adcefa56382f6cf60b2e2b0fb
No.7
2月10日,去中心化金融协议dforce遭受只读重入攻击,损失约365万美元。漏洞原因在于获取价格函数get_virtual_price获取的是代币比值,而remove_liquidity函数中的raw_call函数可以实现对get_virtual_price的外部调用,导致攻击者通过flashloan操纵价格。
optimistic攻击交易:
https://www.oklink.com/zh-cn/optimism/tx/0x6c19762186c9f32c81eb2a79420fc7ad4485aa916cab37ec278b216757bfba0d
arbitrum攻击交易:
https://www.oklink.com/zh-cn/arbitrum/tx/0x5db5c2400ab56db697b3cc9aa02a05deab658e1438ce2f8692ca009cc45171dd
黑客地址:
ETH:https://www.oklink.com/zh-cn/eth/address/0xe0d551017c0111ac11108641771897aa33b2817c
Optimistic:https://www.oklink.com/zh-cn/optimism/address/0xe0d551017c0111ac11108641771897aa33b2817c
Arbitrum:https://www.oklink.com/zh-cn/arbitrum/address/0xe0d551017c0111ac11108641771897aa33b2817c
Arbitrum被攻击合约:
https://www.oklink.com/zh-cn/arbitrum/address/0x6eb2dc694eb516b16dc9fbc678c60052bbdd7d80
Optimistic被攻击合约:
https://www.oklink.com/zh-cn/optimism/address/0xb90b9b1f91a01ea22a182cd84c1e22222e39b415
欧科云链获评“最佳安全服务机构”:11月24日,区块链产业集团欧科云链凭借行业领先的OKLink区块链浏览器和今年9月上线区块链安全系统“链上天眼”优异表现,斩获“2020年度最佳安全服务机构”称号。据悉,该奖项由专业评审团多轮、多维度评审而来,由欧科云链与区块链行业知名安全企业慢雾科技、北京链安共同摘得。?
今年9月1日,欧科云链OKLink正式上线“链上天眼”功能,用户通过“链上天眼”可以更轻松快捷地获取地址和交易的来龙去脉和资金流转情况。同时,依托OKLink浏览器丰富的地址标签数据,“链上天眼”功能对流入交易所的资金进行重点提示,方便用户进行追踪。“链上天眼”是目前全网首个向所有用户免费开放的链上数据监测工具,操作简单,交易行为可视化,可查询维度深度更广。[2020/11/24 21:56:52]
No.8
2月16日,Avalanche链上的PlatypusFinance在其稳定币USP上遭受闪电贷攻击,损失了850万美元。漏洞核心是提取抵押品的检查机制不完善,emergencyWithdraw()函数只检查用户的头寸目前是否有偿付能力,但忽略应该首先检查任何借入资金的影响。这使得黑客可以提取所提供的抵押品的同时保留借来的USP。
No.9
2月17日,去中心化交易聚合器Dexible遭受攻击,在以太坊和Arbitrum上总共损失了200万美元。漏洞核心在于Dexiblev2合约允许用户通过selfSwap功能定义自己的交易路由。然而,该功能并没有通过使用链上许可列表来检查路由器地址是否真的是一个DEX合约。路由器地址没有以任何方式在链上得到验证,意味着黑客可以直接调用代币合约,转移任何在Dexible合约上有过授权的账户的代币。
攻击者地址:
ETH:https://www.oklink.com/zh-cn/eth/address/0x684083f312ac50f538cc4b634d85a2feafaab77a
BSC:https://www.oklink.com/zh-cn/bsc/address/0x684083f312ac50f538cc4b634d85a2feafaab77a
Arbitrum:https://www.oklink.com/zh-cn/arbitrum/address/0x684083f312ac50f538cc4b634d85a2feafaab77a
攻击交易示例:
https://www.oklink.com/zh-cn/eth/tx/0x138daa4cbeaa3db42eefcec26e234fc2c89a4aa17d6b1870fc460b2856fd11a6
No.10
2月24日,ShataCapital的EFVault被攻击,损失约510万美元,问题原因在于升级出现错误。
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0x1fe5a53405d00ce2f3e15b214c7486c69cbc5bf165cf9596e86f797f62e81914
https://www.oklink.com/zh-cn/eth/tx/0x31565843d565ecab7ab65965d180e45a99d4718fa192c2f2221410f65ea03743
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x8b5a8333ec272c9bca1e43f4d009e9b2fad5efc9
No.11
港股收盘:欧科云链收平,火币科技收涨0.71%:今日港股收盘,恒生指数收盘报25230.67点,收跌0.05%;欧科集团旗下欧科云链(01499.HK)报0.199港元,收平;火币科技(01611.HK)报4.280港元,收涨0.71%。[2020/8/13]
2月27日,BSC链上的SwapXOfficial项目遭受攻击损失100万美元,黑客获利约31.3万美元。漏洞核心在于购买函数存在权限控制缺陷,黑客在购买代币后,"强制"代币其它授权此合约的用户进行够购买拉升价格,最后抛售。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0xb05164989d3ccefd68e81791841c20723e6cfcaf980e9bcbd506d8551173eedb
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x2c1f05e120710de792061031cfb05847ce53fc56
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0xc4bea60f5644b20ebb4576e34d84854f9588a7e2
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x0ccee62efec983f3ec4bad3247153009fb483551
1.2RugPull盘点
No.1
2月5日,polygon链YAYO项目疑似RugPull,攻击者移除了8万美元的流动性,YAYO币价下跌超过81%。
合约地址:
https://www.oklink.com/zh-cn/polygon/token/0x078f358208685046a11c85e8ad32895ded33a249
No.2
2月5日,BSC链DOXED(DOX)疑似RugPull,攻击者移除了3万美元的流动性,YAYO币价下跌超过99%。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xeda3eb7a5494443beb800cd4cc70388228cee84e
No.3
2月6日,BSC链SUI项目疑似RugPull,涉及金额超过10万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x29bb058cc9f11ec778a6691a4ea4c54186837112
No.4
2月6日,BSC链DCT项目发生RugPull,攻击者移除了2.7万美元的流动性,并将手中的DCT兑换为了9700USDT。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x48a0b5f2d0f36598f470334f4fe21900bf2bf71b
No.5
2月6日,BSC链ZODC项目发生RugPull,部署者移除流动性,获利3万美元。
合约地址:
港股收盘:欧科云链收跌0.43% 火币科技收涨0.31%:金色财经报道,今日港股收盘,恒生指数收盘下跌174.85点,跌幅0.74%,报23352.34点,欧科集团旗下欧科云链(01499.HK)报0.229点,收跌0.43%;火币科技(01611.HK)报3.25点,收涨0.31%,雄岸科技(01647.HK)报0.216点,收跌3.57%。[2020/3/26]
https://www.oklink.com/zh-cn/bsc/address/0x436f510a72f7972996b07dc2edeafa26308539e7
No.6
2月9日,BSC链Aki项目疑似发生RugPull,流动性被部署者移除,金额约3.4万美元。合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x4b6cb2bf1f0b594d0211c4df2b0dd1aa4c7a1892
No.7
2月9日,BSC链ROT项目疑似发生Rugpull,移除流动性金额为11.6万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xc631a358c9ef5da18144a185b7122735d4c04be9
No.8
2月9日,BSC链OBB项目发生RugPull,OBB币价下跌超过98%,攻击者获利15.6万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xd23b64dbd334d12c38f09cc9eb23350aa1034c30
No.9
2月10日,BSC链MOON项目发生RugPull,MOON币价下跌超过99%,攻击者活力4.2万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x5a6b8dad072bb9257dcd6b3125126c0637aa2f0a
No.10
2月11日,BSC链MHT项目发生RugPull,币价下跌超过50%。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x5cb2c3ed882e37da610f9ef5b0fa25514d7bc85b
No.11
2月11日,BSC链BAT项目发生RugPull,币价下跌超过88%。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x8d9b0d8cbb313969059a029322a3911059087899
No.12
2月13日,BSC链SwtAi项目发生RugPull,币价下跌超过88%。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x8741021bd9f7124e5fcb638c1b3c181260a99022
No.13
2月19日,BSC链SATTKING(SattKing)项目发生RugPull,以约5.2万美元的价格出售,币价下跌超过99%。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x26822d43f34224707e267e6496a3f22cf8478bdd
No.14
2月19日,BSC链TG项目发生RugPull,币价下跌超过95%。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x73d4f19933ad86cc004bf5de696b1f1e64ec6377
No.15
2月22日,BSC链SNW项目发生RugPull,攻击者获利16.1万美元,币价下跌97%。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x8aa19e10d52817cacba5ee066eff38330c900223
No.16
2月22日,BSC链DYNA项目发生RugPull,攻击者获利2.2万美元,币价下跌93%。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x5c0d0111ffc638802c9efccf55934d5c63ab3f79
No.17
2月28日,BSC链JNB项目发生RugPull,攻击者获10.6万美元,币价下跌98%。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x9119e3f30c18b9e6b16ab6589534391e5e4a5653
1.3社媒与钓鱼盘点
No.1
2月1日,Rektdogs项目Discord服务器遭攻击,攻击者发布钓鱼消息。
No.2
2月1日,Squishiverse项目Discord遭攻击,攻击者发布钓鱼消息。
No.3
2月1日,realmhunterio项目Discord服务器遭攻击,攻击者发布虚假消息。
No.4
2月1日,oogyNFT项目Discord服务器遭受攻击,攻击者发布虚假消息。
No.5
2月1日,SoDeadNFT项目Discord服务器遭受攻击,攻击者发布虚假消息。
No.6
2月1日,Candies_NFT项目Discord服务器遭受攻击,攻击者发布虚假消息。
No.7
2月2日,TheSquaresNFTs项目Discord服务器遭受攻击,攻击者发布虚假消息。
No.8
2月2日,SuperordinaryF项目的Twitter遭受盗用,攻击者发布虚假消息。
No.9
2月3日,OogaVerse项目的Twitter和Discord服务器遭受盗用,攻击者发布虚假消息。
No.10
2月4日,gemxyz项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.11
2月5日,loudpunxnft项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.12
2月6日,3mojiHQ项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.13
2月7日,ChimpersNFT项目的Twitter遭受盗用,攻击者发布虚假消息。
No.14
2月7日,假冒推特账户subberxyz发布虚假消息。
No.15
2月7日,EXONIKS_NFTs项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.16
2月7日,ScarecrowwNft项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.17
2月8日,DrunkenApeSC项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.18
2月8日,TheWanderverse_项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.19
2月10日,weaboveofficial项目的Twitter账户遭受盗用,攻击者发布虚假消息。
No.20
2月11日,FusionXnft项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.21
2月14日,Yosei_NFT项目的Discord服务器发布虚假消息。
No.22
2月14日,虚假账户LidoFinance发布钓鱼消息。
No.23
2月15日,PRJTzumi项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.24
2月15日,ssv_network项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.25
2月15日,Undeadscom项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.26
2月16日,arts_dao项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.27
2月18日,OkCat_NFT项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.28
2月18日,虚假账户RealFlokiInu发布钓鱼消息。
No.29
2月19日,虚假账户compusophy发布钓鱼消息。
No.30
2月20日,虚假账户API3DAO发布钓鱼消息。
No.31
2月20日,gitcoin项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.32
2月21日,虚假账户garbagefriends发布钓鱼消息。
No.33
2月21日,虚假账户CyberBotsNFT发布钓鱼消息。
No.34
2月21日,fwenclub项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.35
2月22日,fRiENDSiES_Ai项目被确认为局。
No.36
2月22日,DaosaurNFT项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.37
2月22日,虚假账户STFX_IO发布钓鱼消息。
No.38
2月22日,虚假账户blur_io发布钓鱼消息。
No.39
2月23日,Level__Finance项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.40
2月24日,CryptoRubic项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.41
2月24日,虚假账户arbitrum发布钓鱼消息。
No.42
2月25日,MurAll_art项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.43
2月25日,虚假账户lBlur_io发布钓鱼消息。
No.44
2月25日,EldritchOrdr项目的Discord服务器遭受盗用,攻击者发布虚假消息。
No.45
2月28日,虚假账户BuildOn_Base发布钓鱼消息。
No.46
2月28日,gangstaguysnft项目的Discord服务器遭受盗用,攻击者发布虚假消息。
1.4其他
No.1
2月7日,BSC链LianGoProtocol项目私钥泄漏,币价下跌超过97%,金额损失超过160万美元。合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x62e8e3036964e9cfa21e970e8257b27f487175d8
No.2
2月12日,BSC链MMT项目私钥泄漏,币价下跌超过79%,金额损失超过6.2万美元。合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xc91f7096ff24b8caee44f7c0c94b00b70cec682a
No.3
2月21日,hope_fin项目内部员工利用权限修改合约内容,取用户约200万资产。
No.4
2月28日,Myalgo钱包攻击事件或导致ALgorand上逾920万美元资产被盗。
二、安全总结
2023年2月多次出现达到甚至超过百万美元的黑客攻击提醒着项目方,项目安全不容疏忽,不止在项目上线前需要进项目审计,在项目正式运行后还需要漏洞赏金或者持续审计。特别是本月两次出现重入漏洞攻击,这在审计活动中发现概率较高,如果进行审计或存在漏洞赏金,有望在被攻击前发现问题。本月社媒钓鱼项目多发,数个项目官方discord被攻击发布钓鱼链接,用户参与相关项目时,需要时刻保持警惕,请不要随意点击可疑链接,以防止资产损失。
标签:INKLINKCOMWWWlink币发行量是多少LINK币官网Internet Computer(Dfinity)WWW币
据官方消息,去中心化超抵押稳定币USDD现已正式登陆FaTPay。 USDD作为全球首个去中心化超抵押稳定币,自2022年5月5日正式上线以来发展迅猛.
1900/1/1 0:00:00BitfinexAlpha|在加密货币市场的波动中,更多加息正在到来在理想情况下,通胀的情况是“软着陆”。随着通胀放缓,经济有弹性且不断增长.
1900/1/1 0:00:00各位朋友,欢迎来到SignalPlus每日晨报。SignalPlus晨报每天为各位更新宏观市场信息,并分享我们对宏观趋势的观察和看法。欢迎追踪订阅,与我们一起关注最新的市场动态.
1900/1/1 0:00:00在经过多年的测试和开发后,“大合并”使以太坊成功地从工作量证明转向了更高效的共识机制——权益证明.
1900/1/1 0:00:00Sui开发公司MystenLabs日前宣布,从5月15日起,其11个游戏合作伙伴的游戏将在Sui区块链陆续上线.
1900/1/1 0:00:00简介SeiNetwork是未来的DeFi枢纽。它是一个layer-1区块链,Cosmos生态系统中的一个DeFi特定的订单簿协议,可利用各种功能来提高可扩展性,旨在成为未来金融系统的基础.
1900/1/1 0:00:00