有黑客用一千万“撬动”Solana 生态上亿资金,也有黑客铤而走险,薅起了交易所的羊毛,同时也有一些Web3项目遭遇私钥泄露、闪电贷攻击。
Beosin EagleEye Web3安全预警与监控平台监测显示,截止发稿时,本周共发生8起攻击类相关的安全事件,累计受影响金额约1.2亿美元,和Beosin安全团队一起来盘点一下吧。
10月9日
1. XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍
10月9日,XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍。本次攻击是攻击者通过调用DaoModule合约的executeProposalWithIndex()函数执行了攻击者的恶意提案,使得意外铸造了100,000,000,000,000个RNBW,并将ownership权限转移给攻击者。最后黑客将其兑换为xRNBW。
Curve、Metronome和Alchemix向黑客提供10%的赏金以敦促其归还加密货币:金色财经报道,Curve Finance和本周受重入攻击影响的其他项目计划向黑客提供10%的赏金,以换取其归还剩余的加密货币。7月30日的漏洞导致约7000万美元的加密货币被盗,这将使赏金接近700万美元。Curve、Metronome和Alchemix 在发送给黑客以太坊地址的链上消息中写道:“我们不会进一步追查此事,也不会有执法问题等风险”。
发送给黑客的声明补充称:“如果您选择不参加自愿归还并在8月6日08:00 UTC之前完成该流程,我们将向公众扩大赏金范围,并向能够通过以下方式识别您身份的人提供全额 10% 的奖励:导致你在法庭上被定罪。我们将在法律允许的范围内从各个角度追捕你”。
金色财经曾报道,此次攻击是由于Vyper编程语言版本中的严重漏洞造成的。使用Vyper 0.2.15、0.2.16 和 0.3.0 的多个资金池成为重入攻击的目标,影响了 Curve Finance 上的四个流动资金池。[2023/8/4 16:17:46]
2. Jumpnfinance项目发生Rugpull,涉及金额约115万美元
Lookonchain:BitKeep黑客将3600枚BNB交易为DAI,并部分转入币安:12月26日消息,据Lookonchain监测数据显示,BitKeep黑客共盗取6,127,253枚BUSD、4,536枚BNB、216,011枚DAI,总价值超740万美元。该黑客已将3600枚BNB交易为805,024枚DAI,并向币安转入10万枚DAI。[2022/12/26 22:09:04]
Jumpnfinance项目Rugpull。攻击者调用0xe156合约的0x6b1d9018()函数,提取了该合约中的用户资产,存放在攻击者地址上。目前被盗资金中2100 BNB ($581,700)已转入Tornado.Cash,剩余部分2058 BNB($571,128)还存放在攻击者地址。
数据:FTX黑客仍在以太坊上持有约2.8亿美元加密资产:11月15日消息,加密情报平台Arkham Intelligence数据显示,截止目前为止FTX黑客相关钱包仍在以太坊上持有约2.82亿美元加密资产,包括持有2.14亿美元的ETH、4800万美元的DAI,此外其他网络还有4400万美元的BNB、400万美元的USDT(Avalanche)和380万美元MATIC。
该攻击者尝试使用不同的DEX聚合器,包括1inch、Cowswap和DODO exchange,为了防止滑点,被迫批量出售PAXG、LINK和MATIC。此前报道,11月12日,FTX被攻击,攻击黑客已窃取价值1.89亿美元的ETH和DAI。[2022/11/15 13:05:31]
1. QANplatform跨链桥遭受黑客攻击,疑似项目方私钥泄露,涉及金额约189万美元
本次事件交易的发起地址是一个疑似项目方的地址,攻击者通过该地址调用跨链桥合约中的bridgeWithdraw函数提取QANX代币,然后把QANX代币兑换为相应平台币,目前被盗资金依然存放在攻击者地址上。
flash.sx闪电贷智能合约遭攻击,项目方发起提案更改黑客EOS账号权限以转回资产:官方消息,EOS Nation旗下闪电贷被黑客攻击后,项目方发起提案直接更改了黑客EOS账号权限转回资产。据悉,项目方发起的提案,把黑客地址权限改成了BP,BP通过后执行。此前消息,flash.sx闪电贷智能合约遭攻击,120万EOS和46.2万USDT被盗。[2021/5/15 22:05:44]
2. Rabby项目遭受黑客攻击,请用户取消对相应合约的授权
本次事件是因为RabbyRouter的_swap函数存在外部调用漏洞,导致任何人都可以通过调用该函数,将授权到该合约用户的资金转走。目前攻击者已在Ethereum,BSC链,polygon,avax,Fantom,optimistic,Arbitrum发起攻击,请用户取消对相应合约的授权。
3. TempleDAO项目遭受黑客攻击,涉及金额约236万美元
本次事件是因为StaxLPStaking合约中的migrateStake函数缺少权限校验,导致任何人都可以通过调用该函数提取合约中的StaxLP。攻击者攻击成功后,把获得的全部StaxLP代币兑换为了ETH。
1. Journey of awakening (ATK)项目遭受闪电贷攻击
本次事件攻击者通过闪电贷攻击的方式攻击了ATK项目的策略合约,从合约中获取了大量的ATK代币,之后攻击者把获得的全部ATK代币兑换为约12万美元的BSC-USD。
2. Solana 生态去中心化交易平台 Mango遭遇黑客攻击,影响高达 1.16 亿美元。
黑客使用了两个账户,一共1000万USDT起始资金。
第一步,攻击者向Mango市场存入了500万USDC。
第二步,攻击者在MNGO-ERP市场创建了一个4.83亿的PlacePerpOrder2头寸。
第三步,MNGO的价格被操纵,从0.0382美元到0.91美元,通过使用一个单独的账户(账户2)对其头寸进行对手交易。
账户2现在有4.83亿*(0.91-0.03298美元)=4.23亿美元,这使得攻击者可以借出1.16亿美元的资金。
1. FTX交易所遭到gas窃取攻击
FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。本次事件攻击者通过FTX热钱包多次少量的提取以太坊,FTX热钱包地址会向攻击合约地址多次转入小额的资金,随后会调用到攻击合约的fallback()函数,通过该函数攻击者向Xen合约发起铸币请求。而Xen合约仅需传入一个时间期限,便可支持无成本铸币,只需支付交易Gas费,但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址,达到攻击的目的。
Beosin
企业专栏
阅读更多
白话区块链
金色财经Maxwell
NFT中文社区
CoinDesk中文
达瓴智库
去中心化金融社区
金色荐读
肖飒lawyer
CT中文
ETH中文
ForesightNews
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。