一、基本信息
在头部中心化交易所FTX发生挤兑崩盘,FTX相关资产也遭遇疑似黑客攻击大背景下,2022年11月安全攻击事件共造成约5.2亿美元损失。本月智能合约漏洞方面发生的攻击次数与前两个月相比有所减少,且大部分攻击造成的资产损失金额较低;RugPull相关安全事件发生依旧比较多,甚至有两个项目分别造成上千万美金级别损失;另外,Deribit热钱包和FenbushiCapital创始合伙人钱包安全问题也造成了合计约7000万美金的损失。
1.1REKT盘点
No.1
11月2日,借贷协议Solend遭预言机攻击,攻击者操纵USDH价格,从HubbleStable,Coin98和Kamino借贷池借出超额资产,从而产生126万美元坏账。Solend的USDH价格预言机只有一个数据源,来自Saber协议的USDH-USDC-LP,但是该交易池TVL仅有约$900k,攻击者使用LoopSwap接口,抬高了USDH价格。
攻击者地址:
https://www.oklink.com/zh-cn/sol/account/61wJT43nWMUpDR92wC7pmo6xoJRh2s4kCYRBq4d5XQHZ
相关链接:
https://twitter.com/solendprotocol/status/1587671511137398784
https://twitter.com/0xSymphony/status/1587937449077940224
https://cryptobriefing.com/why-do-solana-defi-protocols-keep-getting-exploited/
No.2
11月2日,NEAR网络SkywardFinance协议国库损失价值约300万美元的110万个NEAR代币。攻击者从RefFinance购买大量SKYWARD代币,然后从SkywardFinance国库协议进行redeem,获得了比SKYWARD价值多很多的NEAR代币。分析发现skyward.near合约的redeem_skyward函数没有正确校验token_account_ids参数,导致攻击者传入相同的token_account_id,并多次领取了WNear奖励。
攻击交易:
https://explorer.near.org/transactions/92Gq7zehKPwSSnpoZ7LGGtSmgmBb4wP2XNDVJqUZRGqz
相关链接:
https://mobile.twitter.com/sanket_naikwadi/status/1587854474587930624
https://twitter.com/BlockSecTeam/status/1587998109648683010
https://www.odaily.news/newsflash/303711
No.3
11月3日,BSC链上的gala.games项目由于pNetwork项目的bridge配置错误导致pTokens代币增发,累计增发55,628,400,000枚pTokens,攻击者已经把部分pTokens兑换成12,976个BNB,攻击者累计获利约434万美元。
攻击地址:
https://www.oklink.com/zh-cn/bsc/address/0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1
第一笔攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e
欧科云链:链上天眼已监控BXH相关地址集:10月30日消息,去中心化交易协议 BXH 今日通过 Twitter 发表声明,宣称在币安智能链(BSC)上遭到攻击。BXH官方出于谨慎考虑,已暂停了在Heco,OEC相关存取款服务。天眼团队正在密切关注BXH在Heco&OEC合约部署情况,并将发出预警提示,链上天眼团队根据BSC链上数据已知黑客通过跨链操作将 4000ETH 和 300BTC 转移到了以太坊和比特币链上。天眼团队目前监控了黑客在 BSC 和以太坊上的地址: 0x48c94305bddfd80c6f4076963866d968cac27d79,以及比特币地址 1JwQxqfcHJn3nRgjFv3ZJD2MqUywbKu9oU。
链上天眼团队将持续关注黑客地址动态,并预警交易所和钱包注意加强地址监控,避免相关恶意资金流入平台,并建议用户注意链上资金安全,可通过授权管理工具,检查授权状态,保护自己的链上资金安全。以下是本次事件部分已被监控地址:[2021/10/30 6:21:57]
第二笔攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d
相关链接:
https://www.odaily.news/newsflash/303816
No.4
11月5日,MooCakeCTX合约被闪电贷攻击,攻击者获利14万美元。该合约在用户质押前未结算奖励进行复投,这会导致用户在质押后就马上能获取以前的质押分红。攻击者在同一个区块内使用闪电贷借出50000个cake代币后,连续两次进行质押,然后再提取质押的cake代币,归还后获利。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x03d363462519029cf9a544d44046cad0c7e64c5fb1f2adf5dd5438a9a0d2ec8e
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x35700c4a7bd65048f01d6675f09d15771c0facd5
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x71ac864f9388ebd8e55a3cdbc501d79c3810467c
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x489afbaed0ea796712c9a6d366c16ca3876d8184
相关链接:
https://twitter.com/BeosinAlert/status/1589501207181393920
https://twitter.com/CertiKAlert/status/1589428153591615488
No.5
11月9日,ETH链项目brahTOPG被攻击,攻击者获利约9万美元。攻击者构造恶意token,并在该token的approve函数中,将FRAX代币转入被攻击合约,使得合约能成功执行,但是在zapCall.swapTarget.call(zapCall.callData)调用时,由于参数zapCall为攻击者传入参数,使其能够发起USDC.transferFrom,转移授权用户的USDC,从而完成攻击。
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0xeaef2831d4d6bca04e4e9035613be637ae3b0034977673c1c2f10903926f29c0
欧科云链胡超:Coinbase上市是数字资产进入主流资本市场的标志:针对Coinbase在纳斯达克交易所挂牌,欧科云链集团副总裁胡超表示,近半年来,华尔街传统资本巨头和新兴科技巨头纷纷斥巨资战略投资比特币,甚至有消息说个别国家也将比特币纳入战略储备资产的篮子,低调却大规模地布局比特币及矿机产业,可以看到以比特币为代表的区块链数字资产已经进入了主流资产配置的行列,而此次Coinbase的成功上市,无疑将成为这条路上新的重要标志性事件。
?胡超进一步介绍,随着近十年来比特币等区块链数字资产在全球范围逐渐凝聚越来越多的共识,特别是比特币的价格经历数轮牛熊转换后屡创新高,近日更是以6.4万美元的单价再次刷新了历史记录,这在当前全球经济艰难复苏、许多国家主权货币大幅放水的大背景下,比特币等区块链数字资产的避险属性和战略储备价值也更被越来越多的机构认可。[2021/4/14 20:19:07]
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0x6fa00a7324dc293ea8ecf56fe3143104494c4213
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x60032a41726241499b0c626c836c9099cb895c05
被攻击合约:
https://www.oklink.com/zh-cn/eth/address/0xd248b30a3207a766d318c7a87f5cf334a439446d
相关链接:
https://twitter.com/SlowMist_Team/status/1590685173477101570
https://mp.weixin.qq.com/s/YqO38TAXBQzXZunmZk6naQ
No.6
11月11日,ETH链项目DFXFinance遭到攻击,损失近400万美元。DFX中闪电贷合约对于归还闪电贷的计算方式只与池子中的资金余额有关,Flash方法调用未做同合约同方法和同合约不同方法的重入限制,攻击者通过将资金借出之后通过添加流动性又将资金转入了池子中,因此计算的需要归还的闪电贷资金减少,攻击者之后可以通过归还流动性代币将资金取出。
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0x390def749b71f516d8bf4329a4cb07bb3568a3627c25e607556621182a17f1f9
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0x14c19962e4a899f29b3dd9ff52ebfb5e4cb9a067
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x6cfa86a352339e766ff1ca119c8c40824f41f22d
被攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x46161158b1947d9149e066d6d31af1283b2d377c
相关链接:
https://mp.weixin.qq.com/s/jviwgpwwUpn9AQ36CFEzuQ
https://mp.weixin.qq.com/s/4nLDcPsPRsZGB1c_SH1_qg
No.7
11月16日,BNBChain上的SheepFarm被黑客攻击,黑客获利约7.2万美元。SheepFarm合约的register函数会检查注册用户的timestamp数值为0,确保为新用户。但是用户注册后,该timestamp数值并未更新,攻击者可以重复调用register接口。每次register调用,都会有GEM_BONUS分配给黑客,黑客最后兑换为BNB获利。
港股区块链板块持续走强,欧科云链现涨10%,火币科技现涨超8%:行情显示,港股区块链板块持续走强,欧科云链现涨10%,此前一度涨超12%,火币科技现涨超8%。[2021/4/7 19:54:19]
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x9c3c513d54d59451ea7b07539aee9132f402d7e8f5bc025d609a16e559ee6ddf
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x2131c67ed7b6aa01b7aa308c71991ef5baedd049
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0xf2db8665d82e1a23895ed78b213d36d62eec6bbc
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x4726010da871f4b57b5031e3ea48bde961f122aa
相关链接:
https://twitter.com/BlockSecTeam/status/1592734292727455744
No.8
11月21日,BSC链上合约sDAO被攻击,黑客获利1.4万BUSD。黑客从DODO闪电贷500BUSD,部分兑换成sDAO代币后添加流动性,然后通过withdrawTeam接口将sDAO合约全部的LPtoken取出。由于getReward接口计算是依赖sDAO合约内LPtoken的余额,黑客通过tranfer从攻击合约转给sDAO合约0.013个LPtoken,控制该数值为一个很小数值,然后通过getReward接口从sDAO获得约370万个sDAO,卖出获利1.4万BUSD。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0xb3ac111d294ea9dedfd99349304a9606df0b572d05da8cedf47ba169d10791ed
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0xa1b6d1f23931911ecd1920df49ee7a79cf7b8983
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x2b9eff2f254662e0f16b9adc249aaa509b1c58d4
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x6666625ab26131b490e7015333f97306f05bf816
相关链接:
20221121-sDAO攻击事件分析
No.9
11月23日,ETH链上的NumbersProtocol代币项目遭到攻击,攻击者获利约1.4万美元。攻击者创建了一个恶意的anyToken代币,该恶意代币合约的底层代币指向NUM代币地址;接着调用Multichain跨链桥的Router合约的anySwapOutUnderlyingWithPermit函数,该函数的功能是传入anyToken并调用底层代币的permit函数进行签名批准,之后兑换出拥有授权的用户的底层代币给指定地址。由于NUM代币中没有permit函数且拥有回调功能,所以即使攻击者传入假签名也能正常返回使得交易不会失败,导致受害者地址的NUM代币最终可以被转出到指定的攻击合约中;接着攻击者将获利的NUM代币通过Uniswap换成USDC再换成ETH获利。
港股收盘:火币科技收涨13.47%,欧科云链收跌2.84%:今日港股收盘,恒生指数收盘报24458.129点,跌幅0.56%。欧科集团旗下欧科云链(01499.HK)报0.205港元,收跌2.84%;火币科技(01611.HK)报4.38港元,收涨13.47%。[2020/8/3]
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0x8a8145ab28b5d2a2e61d74c02c12350731f479b3175893de2014124f998bff32
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0xb792faf099991f96c5dfef037ae9f248186d9b30
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x00000000000747d525e898424e8774f7eb317d00
被攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x765277eebeca2e31912c9946eae1021199b39c61
相关链接:
https://www.odaily.news/newsflash/305776
No.10
11月29日,BSC链SEAMAN合约遭受漏洞攻击,黑客获利约8000BUSD。SEAMAN合约在transfer函数时中将SEAMAN代币兑代币GVC,攻击者可以利用该函数影响代币的价格。攻击者首先将50万BUSD兑换为GVC代币,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,从而消耗BUSD-GVC交易对中GVC的数量,抬高该交易对中GVC的价格。最后攻击者卖出之前兑换的GVC兑换了50.7万的BUSD获利。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x6f1af27d08b10caa7e96ec3d580bf39e29fd5ece00abda7d8955715403bf34a8
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x4b1f47be1f678076f447585beba025e3a046a9fa
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x0e647d34c4caf61d9e377a059a01b5c85ab1d82a
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x6bc9b4976ba6f8c9574326375204ee469993d038
相关链接:
https://www.odaily.news/newsflash/306290
No.11
11月30日,BSC链MBC和ZZSH合约遭受漏洞攻击,黑客获利约5600BUSD。MBC合约与ZZSH合约代码实现相同,黑客利用闪电贷借出BUSD后,首先购买MBC和ZZSH代币,然后利用swapAndLiquifyStepv1函数添加流动性,该函数将token合约内资产添加到pair合约,黑客最后将之前购买的MBC和ZZSH代币售出获利。漏洞核心在于swapAndLiquifyStepv1没有权限控制,导致黑客可以通过swap将代币价格推高后,再利用该函数将代币合约内资产添加流动性,再将代币卖出获利。
攻击交易:
欧科云链OKLink姜孜龙:稳定币出圈的一个关键在于其价值尺度:7月5日,由杭州市余杭区政府指导,杭州未来科技城管委会、巴比特主办的“2020杭州区块链国际周”正式开幕。在下午举行的题为“哪种稳定币会成为真正的破圈之王?”的圆桌论坛中,欧科云链OKLink商务负责人姜孜龙表示,现阶段稳定币具有价值尺度和流通手段的职能,稳定币出圈的一个关键在于其价值尺度。在一些货币体系不稳定的地区,已经有很多用户开始使用稳定币来作为衡量商品/服务价格的重要手段。
他还指出,就流通手段的方向而言,Fintech(金融科技)的一个重要特点是利用科技简化传统业务的成本和流程,比如现在很多机构利用稳定币进行跨境支付。随着世界经济呈现出逆全球化的趋势,未来在世界各国会有越来越多跨境支付的需求。稳定币的一级兑付、二级定价等特点,使其流转变得更便捷,这一点有在JP Morgan Coin的应用中体现。[2020/7/5]
https://www.oklink.com/zh-cn/bsc/tx/0xdc53a6b5bf8e2962cf0e0eada6451f10956f4c0845a3ce134ddb050365f15c86
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x9cc3270de4a3948449c1a73eabff5d0275f60785
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x0b13d2b0d8571c3e8689158f6db1eedf6e9602d3
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x4e87880a72f6896e7e0a635a5838ffc89b13bd17
https://www.oklink.com/zh-cn/bsc/address/0xee04a3f9795897fd74b7f04bb299ba25521606e6
相关链接:
20221129-MBC/ZZSH攻击案例
1.2RugPull盘点
No.1
11月1日,BSC链项目FITE项目疑似RugPull,攻击者转移1900枚BNB,获利约62.2万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xe4182e57eeb29fbc2b3469e45c9e385cea8995ab
相关链接:
https://twitter.com/PeckShieldAlert/status/1587368026571436032
No.2
11月3日,MetFX项目疑似发生Rugpull,部署者获利约13万美元。
相关链接:https://twitter.com/PeckShieldAlert/status/1588037702599200768
No.3
11月8日,BSC链项目DefiWzToken(DEFIWZ)发生RugPull,攻击者获利约20.8万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x418db510b4f1cf33565c459cfb6d838bbbbff8f9
相关链接:
https://twitter.com/CertiKAlert/status/1589722752277045248
No.4
11月8日,BSC链项目DeFiSafe(dSafe)发生RugPull,攻击者获利约12.7万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x761776f726168c9df6dc63d5864880801e21f403
相关链接:
https://twitter.com/CertiKAlert/status/1589650367507271680
No.5
11月8日,BSC链项目SSIDToken(SSID)发生RugPull,攻击者获利约15.8万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xC3241e111CCd9CF6c5a11dADE9498070082F2ed3
相关链接:
https://twitter.com/CertiKAlert/status/1589708844829405184
No.5
11月11日,ETH链项目DefiForge(FORGE)发生RugPull,攻击者获利约6.5万美元。\n合约地址:
https://www.oklink.com/zh-cn/eth/address/0x5198625a8abf34a0d2a1f262861ff3b3079302bf
相关链接:
https://twitter.com/CertiKAlert/status/1591611068786257920
No.7
11月13日,BNBChain项目DeFiAI项目发生Rugpull,合约部署者获利约4000万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x6548a320d3736920cad8a2cfbfefdb14db6376ea
相关链接:
https://twitter.com/DeFiAiOfficial/status/1591783217040064513
No.8
11月15日,BNBChain项目Ranger发生RugPull,攻击者获利约8万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xc9efd09c8170e5ce43219967a0564a9b610e5ea2
相关链接:
https://twitter.com/CertiKAlert/status/1592402249523023878
No.9
11月16日,BNBChain项目FLARE发生RugPull,攻击者获利约1800万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x192e9321b6244d204d4301afa507eb29ca84d9ef
相关链接:
https://mp.weixin.qq.com/s/Ynhc_9TWUY2iGWZWrfzThA
https://twitter.com/lunaray_sec/status/1592790172206526464
No.10
11月17日,BNBChain项目BoxerInuFinance发生RugPull,攻击者获利约14万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x6867d4a17f3ff5602024b7c2a33df2fd9aeafcfe
相关链接:
https://twitter.com/CertiKAlert/status/1592947070411100160
No.11
11月17日,BNBChain项目META项目发生RugPull,合约部署者获利约6万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x40Be57E8910dA65f5B98746C730E26941aB3824A
相关链接:
https://twitter.com/CertiKAlert/status/1592929004255862786
No.12
11月29日,BNBChain项目TrustBridge(TWG)发生RugPull,合约部署者获利约7万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x737F5942D70f8F433d65823535e7Ae1DE1950d8e
相关链接:
https://twitter.com/CertiKAlert/status/1594409841396678659
No.13
11月28日,BNBChain项目IOTN发生RugPull,合约部署者卖出4.3亿IOTN代币。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xabe6efdefa75c18bd0f6b65abddcd8dda3992caf
相关链接:
https://twitter.com/CertiKAlert/status/1597031934789652482
No.14
11月29日,BNBChain项目BTC-POR发生RugPull,合约部署者获利约7万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x7e20fec0e64e81e4b9812bd4886cd1fd3ad4df45
相关链接:
https://twitter.com/CertiKAlert/status/1597381475481128961
1.3社媒与钓鱼盘点
No.1
11月1日,Generativemasks项目Discord服务器遭攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1587219096399233027
No.2
11月1日,KUMALEON项目Discord遭攻击,111枚NFT被盗,包括BAYC#5313,ENS,ALIENFRENS和ArtBlocks。
相关链接:https://twitter.com/PeckShieldAlert/status/1587271475475939328
No.3
11月12日,PlayAFAR项目Discord服务器遭攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1591099470036570113
No.4
11月19日,MitsubishiNFT项目Discord服务器遭受攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1593758516602318854
No.5
11月23日,SensiLabs项目Discord服务器遭受攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1595215783654658048
No.6
11月28日,Shamanzs项目Discord服务器遭受攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1597076228749533185
1.4其他
No.1
11月2日,Deribit热钱包被盗2800万美元,损失将由公司储备金弥补。
相关链接:https://twitter.com/DeribitExchange/status/1587701883778523136
No.2
11月2日,Rubic项目管理员地址私钥疑被泄露,攻击者已出售约3400万RBC/BRBC。
相关链接:https://twitter.com/CryptoRubic/status/1587801263781171203
No.3
11月12日,FTX疑似遭遇攻击,大量资产开始持续发送到0x59A开头地址。
相关链接:https://twitter.com/CertiKAlert/status/1591265704568709122
No.4
11月23日:FenbushiCapital创始合伙人价值4200万美元个人资产被盗,FBI已介入调查。
相关链接:https://twitter.com/boshen1011/status/1595239850596306944
二、安全总结
2022年11月智能合约相关漏洞涉及价格操纵、奖励机制、注入攻击等类型,均为常见攻击手法,如项目上线前,经专业智能合约审计机构进行审计,可避免相关漏洞攻击发生。另外,本月RugPull类项目依旧层出不穷,用户参与相关项目时,需要保持警惕,多方验证项目质量,远离可疑项目。最后,应增强钱包私钥安全意识,避免私钥泄露造成资产损失。
北京时间2023年2月6日晚,由Numen和SuperWeb3共同主办的第四届“OnlineDemoDay”在ZOOM成功举行.
1900/1/1 0:00:00精明的资金管理是加密货币生存的秘诀。最经久不衰的公司——那些经历过多个市场周期的公司——都有一个共同的特点:他们谨慎地管理自己的资金,在牛市的狂热中结束融资轮次并出售资产,然后在冬天到来之前将法.
1900/1/1 0:00:00无私钥、无助记词,Web3钱包的最佳方案在哪里?新一轮行业洗牌中,钱包端越来越受到关注:倘若要使NFT、GameFi、SocialFi等Web3概念掀起更大的浪潮,加密钱包是新一轮革命的基础.
1900/1/1 0:00:00BitfinexAlpha|市场因通胀缓解而反弹,但要提防虚假的市场繁荣在过去一年共加息425个基点之后,我们终于看到了一点缓解.
1900/1/1 0:00:00AptosAptosLabs官方成立的实验室,推出了Petra和收购了Aptosnames,子项目发币自治的概率不大,但安全性远高于其它项目.
1900/1/1 0:00:00在区块链的世界中,不同的Token采取的是不同的挖矿机制。比特币采取POW的挖矿模式,矿工投入电力、GPU换取BTC;Filecoin挖矿则是采用POC挖矿模式,矿工提供存储空间和数据检索激励来.
1900/1/1 0:00:00