一、基本信息
在頭部中心化交易所FTX發生擠兌崩盤,FTX相關資產也遭遇疑似黑客攻擊大背景下,2022年11月安全攻擊事件共造成約5.2億美元損失。本月智能合約漏洞方面發生的攻擊次數與前兩個月相比有所減少,且大部分攻擊造成的資產損失金額較低;RugPull相關安全事件發生依舊比較多,甚至有兩個項目分別造成上千萬美金級別損失;另外,Deribit熱錢包和FenbushiCapital創始合伙人錢包安全問題也造成了合計約7000萬美金的損失。
1.1REKT盤點
No.1
11月2日,借貸協議Solend遭預言機攻擊,攻擊者操縱USDH價格,從HubbleStable,Coin98和Kamino借貸池借出超額資產,從而產生126萬美元壞賬。Solend的USDH價格預言機只有一個數據源,來自Saber協議的USDH-USDC-LP,但是該交易池TVL僅有約$900k,攻擊者使用LoopSwap接口,抬高了USDH價格。
攻擊者地址:
https://www.oklink.com/zh-cn/sol/account/61wJT43nWMUpDR92wC7pmo6xoJRh2s4kCYRBq4d5XQHZ
相關鏈接:
https://twitter.com/solendprotocol/status/1587671511137398784
https://twitter.com/0xSymphony/status/1587937449077940224
https://cryptobriefing.com/why-do-solana-defi-protocols-keep-getting-exploited/
No.2
11月2日,NEAR網絡SkywardFinance協議國庫損失價值約300萬美元的110萬個NEAR代幣。攻擊者從RefFinance購買大量SKYWARD代幣,然后從SkywardFinance國庫協議進行redeem,獲得了比SKYWARD價值多很多的NEAR代幣。分析發現skyward.near合約的redeem_skyward函數沒有正確校驗token_account_ids參數,導致攻擊者傳入相同的token_account_id,并多次領取了WNear獎勵。
攻擊交易:
https://explorer.near.org/transactions/92Gq7zehKPwSSnpoZ7LGGtSmgmBb4wP2XNDVJqUZRGqz
相關鏈接:
https://mobile.twitter.com/sanket_naikwadi/status/1587854474587930624
https://twitter.com/BlockSecTeam/status/1587998109648683010
https://www.odaily.news/newsflash/303711
No.3
11月3日,BSC鏈上的gala.games項目由于pNetwork項目的bridge配置錯誤導致pTokens代幣增發,累計增發55,628,400,000枚pTokens,攻擊者已經把部分pTokens兌換成12,976個BNB,攻擊者累計獲利約434萬美元。
攻擊地址:
https://www.oklink.com/zh-cn/bsc/address/0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1
第一筆攻擊交易:
https://www.oklink.com/zh-cn/bsc/tx/0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e
歐科云鏈發布2023財年財報,總收益達3.56億港元:6月28日消息,港股上市公司歐科云鏈已發布2023財年年度報告,歐科云鏈2023財年扭虧為盈,總收益達3.56億港元,毛利率環比上漲84.1%至1.552億港元。其中數字資產相關業務總收益環比增長8.8倍至1.344億港元,毛利環比暴漲近16.2倍至9280萬港元。[2023/6/28 22:06:22]
第二筆攻擊交易:
https://www.oklink.com/zh-cn/bsc/tx/0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d
相關鏈接:
https://www.odaily.news/newsflash/303816
No.4
11月5日,MooCakeCTX合約被閃電貸攻擊,攻擊者獲利14萬美元。該合約在用戶質押前未結算獎勵進行復投,這會導致用戶在質押后就馬上能獲取以前的質押分紅。攻擊者在同一個區塊內使用閃電貸借出50000個cake代幣后,連續兩次進行質押,然后再提取質押的cake代幣,歸還后獲利。
攻擊交易:
https://www.oklink.com/zh-cn/bsc/tx/0x03d363462519029cf9a544d44046cad0c7e64c5fb1f2adf5dd5438a9a0d2ec8e
攻擊者地址:
https://www.oklink.com/zh-cn/bsc/address/0x35700c4a7bd65048f01d6675f09d15771c0facd5
攻擊合約:
https://www.oklink.com/zh-cn/bsc/address/0x71ac864f9388ebd8e55a3cdbc501d79c3810467c
被攻擊合約:
https://www.oklink.com/zh-cn/bsc/address/0x489afbaed0ea796712c9a6d366c16ca3876d8184
相關鏈接:
https://twitter.com/BeosinAlert/status/1589501207181393920
https://twitter.com/CertiKAlert/status/1589428153591615488
No.5
11月9日,ETH鏈項目brahTOPG被攻擊,攻擊者獲利約9萬美元。攻擊者構造惡意token,并在該token的approve函數中,將FRAX代幣轉入被攻擊合約,使得合約能成功執行,但是在zapCall.swapTarget.call(zapCall.callData)調用時,由于參數zapCall為攻擊者傳入參數,使其能夠發起USDC.transferFrom,轉移授權用戶的USDC,從而完成攻擊。
攻擊交易:
https://www.oklink.com/zh-cn/eth/tx/0xeaef2831d4d6bca04e4e9035613be637ae3b0034977673c1c2f10903926f29c0
攻擊者地址:
https://www.oklink.com/zh-cn/eth/address/0x6fa00a7324dc293ea8ecf56fe3143104494c4213
攻擊合約:
https://www.oklink.com/zh-cn/eth/address/0x60032a41726241499b0c626c836c9099cb895c05
被攻擊合約:
歐科云鏈張超:區塊鏈仍應與實體經濟緊密結合:12月13日,由中央廣播電視總臺上海總站主辦,歐科云鏈承辦的以“新基建時代區塊鏈賦能智慧城市”為主題的“2021中國城市數字經濟論壇·區塊鏈分論壇”在滬順利舉辦。論壇上,“鏈上天眼Pro2.0”首次對外亮相,歐科云鏈副總裁張超現場講解如何智慧助警。
論壇中張超表示:數字經濟建設過程中,區塊鏈作為底層技術無法單打獨斗。談及區塊鏈落地應用難的問題,張超認為,區塊鏈仍應與實體經濟緊密結合,與5G,物聯網,云計算等新一代信息技術為數字經濟建設發揮更大效能。[2021/12/13 7:36:21]
https://www.oklink.com/zh-cn/eth/address/0xd248b30a3207a766d318c7a87f5cf334a439446d
相關鏈接:
https://twitter.com/SlowMist_Team/status/1590685173477101570
https://mp.weixin.qq.com/s/YqO38TAXBQzXZunmZk6naQ
No.6
11月11日,ETH鏈項目DFXFinance遭到攻擊,損失近400萬美元。DFX中閃電貸合約對于歸還閃電貸的計算方式只與池子中的資金余額有關,Flash方法調用未做同合約同方法和同合約不同方法的重入限制,攻擊者通過將資金借出之后通過添加流動性又將資金轉入了池子中,因此計算的需要歸還的閃電貸資金減少,攻擊者之后可以通過歸還流動性代幣將資金取出。
攻擊交易:
https://www.oklink.com/zh-cn/eth/tx/0x390def749b71f516d8bf4329a4cb07bb3568a3627c25e607556621182a17f1f9
攻擊者地址:
https://www.oklink.com/zh-cn/eth/address/0x14c19962e4a899f29b3dd9ff52ebfb5e4cb9a067
攻擊合約:
https://www.oklink.com/zh-cn/eth/address/0x6cfa86a352339e766ff1ca119c8c40824f41f22d
被攻擊合約:
https://www.oklink.com/zh-cn/eth/address/0x46161158b1947d9149e066d6d31af1283b2d377c
相關鏈接:
https://mp.weixin.qq.com/s/jviwgpwwUpn9AQ36CFEzuQ
https://mp.weixin.qq.com/s/4nLDcPsPRsZGB1c_SH1_qg
No.7
11月16日,BNBChain上的SheepFarm被黑客攻擊,黑客獲利約7.2萬美元。SheepFarm合約的register函數會檢查注冊用戶的timestamp數值為0,確保為新用戶。但是用戶注冊后,該timestamp數值并未更新,攻擊者可以重復調用register接口。每次register調用,都會有GEM_BONUS分配給黑客,黑客最后兌換為BNB獲利。
攻擊交易:
https://www.oklink.com/zh-cn/bsc/tx/0x9c3c513d54d59451ea7b07539aee9132f402d7e8f5bc025d609a16e559ee6ddf
攻擊者地址:
https://www.oklink.com/zh-cn/bsc/address/0x2131c67ed7b6aa01b7aa308c71991ef5baedd049
港股收盤:歐科云鏈收漲1.65%,火幣科技收漲0.75%:今日港股收盤,恒生指數收盤報24309.47點,收跌0.65%;歐科集團旗下歐科云鏈(01499.HK)報0.185港元,收漲1.65%;火幣科技(01611.HK)報4.030港元,收漲0.75%。[2020/9/10]
攻擊合約:
https://www.oklink.com/zh-cn/bsc/address/0xf2db8665d82e1a23895ed78b213d36d62eec6bbc
被攻擊合約:
https://www.oklink.com/zh-cn/bsc/address/0x4726010da871f4b57b5031e3ea48bde961f122aa
相關鏈接:
https://twitter.com/BlockSecTeam/status/1592734292727455744
No.8
11月21日,BSC鏈上合約sDAO被攻擊,黑客獲利1.4萬BUSD。黑客從DODO閃電貸500BUSD,部分兌換成sDAO代幣后添加流動性,然后通過withdrawTeam接口將sDAO合約全部的LPtoken取出。由于getReward接口計算是依賴sDAO合約內LPtoken的余額,黑客通過tranfer從攻擊合約轉給sDAO合約0.013個LPtoken,控制該數值為一個很小數值,然后通過getReward接口從sDAO獲得約370萬個sDAO,賣出獲利1.4萬BUSD。
攻擊交易:
https://www.oklink.com/zh-cn/bsc/tx/0xb3ac111d294ea9dedfd99349304a9606df0b572d05da8cedf47ba169d10791ed
攻擊者地址:
https://www.oklink.com/zh-cn/bsc/address/0xa1b6d1f23931911ecd1920df49ee7a79cf7b8983
攻擊合約:
https://www.oklink.com/zh-cn/bsc/address/0x2b9eff2f254662e0f16b9adc249aaa509b1c58d4
被攻擊合約:
https://www.oklink.com/zh-cn/bsc/address/0x6666625ab26131b490e7015333f97306f05bf816
相關鏈接:
20221121-sDAO攻擊事件分析
No.9
11月23日,ETH鏈上的NumbersProtocol代幣項目遭到攻擊,攻擊者獲利約1.4萬美元。攻擊者創建了一個惡意的anyToken代幣,該惡意代幣合約的底層代幣指向NUM代幣地址;接著調用Multichain跨鏈橋的Router合約的anySwapOutUnderlyingWithPermit函數,該函數的功能是傳入anyToken并調用底層代幣的permit函數進行簽名批準,之后兌換出擁有授權的用戶的底層代幣給指定地址。由于NUM代幣中沒有permit函數且擁有回調功能,所以即使攻擊者傳入假簽名也能正常返回使得交易不會失敗,導致受害者地址的NUM代幣最終可以被轉出到指定的攻擊合約中;接著攻擊者將獲利的NUM代幣通過Uniswap換成USDC再換成ETH獲利。
攻擊交易:
https://www.oklink.com/zh-cn/eth/tx/0x8a8145ab28b5d2a2e61d74c02c12350731f479b3175893de2014124f998bff32
攻擊者地址:
https://www.oklink.com/zh-cn/eth/address/0xb792faf099991f96c5dfef037ae9f248186d9b30
港股收盤:歐科云鏈收跌0.97%,火幣科技收漲0.96%:今日港股收盤,恒生指數報24280.14點,收漲1.88%;歐科集團旗下歐科云鏈(01499.HK)報0.204點,收跌0.97%;火幣科技(01611.HK)報3.160點,收漲0.96%;雄岸科技(01647.HK)報0.217點,收跌1.36%。[2020/4/27]
攻擊合約:
https://www.oklink.com/zh-cn/eth/address/0x00000000000747d525e898424e8774f7eb317d00
被攻擊合約:
https://www.oklink.com/zh-cn/eth/address/0x765277eebeca2e31912c9946eae1021199b39c61
相關鏈接:
https://www.odaily.news/newsflash/305776
No.10
11月29日,BSC鏈SEAMAN合約遭受漏洞攻擊,黑客獲利約8000BUSD。SEAMAN合約在transfer函數時中將SEAMAN代幣兌代幣GVC,攻擊者可以利用該函數影響代幣的價格。攻擊者首先將50萬BUSD兌換為GVC代幣,攻擊者通過多次調用transfer函數觸發_splitlpToken()函數,并且會將GVC分發給lpUser,從而消耗BUSD-GVC交易對中GVC的數量,抬高該交易對中GVC的價格。最后攻擊者賣出之前兌換的GVC兌換了50.7萬的BUSD獲利。
攻擊交易:
https://www.oklink.com/zh-cn/bsc/tx/0x6f1af27d08b10caa7e96ec3d580bf39e29fd5ece00abda7d8955715403bf34a8
攻擊者地址:
https://www.oklink.com/zh-cn/bsc/address/0x4b1f47be1f678076f447585beba025e3a046a9fa
攻擊合約:
https://www.oklink.com/zh-cn/bsc/address/0x0e647d34c4caf61d9e377a059a01b5c85ab1d82a
被攻擊合約:
https://www.oklink.com/zh-cn/bsc/address/0x6bc9b4976ba6f8c9574326375204ee469993d038
相關鏈接:
https://www.odaily.news/newsflash/306290
No.11
11月30日,BSC鏈MBC和ZZSH合約遭受漏洞攻擊,黑客獲利約5600BUSD。MBC合約與ZZSH合約代碼實現相同,黑客利用閃電貸借出BUSD后,首先購買MBC和ZZSH代幣,然后利用swapAndLiquifyStepv1函數添加流動性,該函數將token合約內資產添加到pair合約,黑客最后將之前購買的MBC和ZZSH代幣售出獲利。漏洞核心在于swapAndLiquifyStepv1沒有權限控制,導致黑客可以通過swap將代幣價格推高后,再利用該函數將代幣合約內資產添加流動性,再將代幣賣出獲利。
攻擊交易:
https://www.oklink.com/zh-cn/bsc/tx/0xdc53a6b5bf8e2962cf0e0eada6451f10956f4c0845a3ce134ddb050365f15c86
攻擊者地址:
https://www.oklink.com/zh-cn/bsc/address/0x9cc3270de4a3948449c1a73eabff5d0275f60785
港股開盤:歐科云鏈上漲1.50%,火幣科技上漲0.64%:金色財經報道,港股開盤,香港恒生指數開盤下跌61.81點,跌幅0.27%,報23001.76點,歐科集團旗下歐科云鏈(01499.HK)報0.203點,開盤上漲1.50%;火幣科技(01611.HK)報3.14點,開盤上漲0.64%,雄岸科技(01647.HK)報0.230點,開盤平盤。[2020/3/17]
攻擊合約:
https://www.oklink.com/zh-cn/bsc/address/0x0b13d2b0d8571c3e8689158f6db1eedf6e9602d3
被攻擊合約:
https://www.oklink.com/zh-cn/bsc/address/0x4e87880a72f6896e7e0a635a5838ffc89b13bd17
https://www.oklink.com/zh-cn/bsc/address/0xee04a3f9795897fd74b7f04bb299ba25521606e6
相關鏈接:
20221129-MBC/ZZSH攻擊案例
1.2RugPull盤點
No.1
11月1日,BSC鏈項目FITE項目疑似RugPull,攻擊者轉移1900枚BNB,獲利約62.2萬美元。
合約地址:
https://www.oklink.com/zh-cn/bsc/address/0xe4182e57eeb29fbc2b3469e45c9e385cea8995ab
相關鏈接:
https://twitter.com/PeckShieldAlert/status/1587368026571436032
No.2
11月3日,MetFX項目疑似發生Rugpull,部署者獲利約13萬美元。
相關鏈接:https://twitter.com/PeckShieldAlert/status/1588037702599200768
No.3
11月8日,BSC鏈項目DefiWzToken(DEFIWZ)發生RugPull,攻擊者獲利約20.8萬美元。
合約地址:
https://www.oklink.com/zh-cn/bsc/address/0x418db510b4f1cf33565c459cfb6d838bbbbff8f9
相關鏈接:
https://twitter.com/CertiKAlert/status/1589722752277045248
No.4
11月8日,BSC鏈項目DeFiSafe(dSafe)發生RugPull,攻擊者獲利約12.7萬美元。
合約地址:
https://www.oklink.com/zh-cn/bsc/address/0x761776f726168c9df6dc63d5864880801e21f403
相關鏈接:
https://twitter.com/CertiKAlert/status/1589650367507271680
No.5
11月8日,BSC鏈項目SSIDToken(SSID)發生RugPull,攻擊者獲利約15.8萬美元。
合約地址:
https://www.oklink.com/zh-cn/bsc/address/0xC3241e111CCd9CF6c5a11dADE9498070082F2ed3
相關鏈接:
https://twitter.com/CertiKAlert/status/1589708844829405184
No.5
11月11日,ETH鏈項目DefiForge(FORGE)發生RugPull,攻擊者獲利約6.5萬美元。\n合約地址:
https://www.oklink.com/zh-cn/eth/address/0x5198625a8abf34a0d2a1f262861ff3b3079302bf
相關鏈接:
https://twitter.com/CertiKAlert/status/1591611068786257920
No.7
11月13日,BNBChain項目DeFiAI項目發生Rugpull,合約部署者獲利約4000萬美元。
合約地址:
https://www.oklink.com/zh-cn/bsc/address/0x6548a320d3736920cad8a2cfbfefdb14db6376ea
相關鏈接:
https://twitter.com/DeFiAiOfficial/status/1591783217040064513
No.8
11月15日,BNBChain項目Ranger發生RugPull,攻擊者獲利約8萬美元。
合約地址:
https://www.oklink.com/zh-cn/bsc/address/0xc9efd09c8170e5ce43219967a0564a9b610e5ea2
相關鏈接:
https://twitter.com/CertiKAlert/status/1592402249523023878
No.9
11月16日,BNBChain項目FLARE發生RugPull,攻擊者獲利約1800萬美元。
合約地址:
https://www.oklink.com/zh-cn/bsc/address/0x192e9321b6244d204d4301afa507eb29ca84d9ef
相關鏈接:
https://mp.weixin.qq.com/s/Ynhc_9TWUY2iGWZWrfzThA
https://twitter.com/lunaray_sec/status/1592790172206526464
No.10
11月17日,BNBChain項目BoxerInuFinance發生RugPull,攻擊者獲利約14萬美元。
合約地址:
https://www.oklink.com/zh-cn/bsc/address/0x6867d4a17f3ff5602024b7c2a33df2fd9aeafcfe
相關鏈接:
https://twitter.com/CertiKAlert/status/1592947070411100160
No.11
11月17日,BNBChain項目META項目發生RugPull,合約部署者獲利約6萬美元。
合約地址:
https://www.oklink.com/zh-cn/bsc/address/0x40Be57E8910dA65f5B98746C730E26941aB3824A
相關鏈接:
https://twitter.com/CertiKAlert/status/1592929004255862786
No.12
11月29日,BNBChain項目TrustBridge(TWG)發生RugPull,合約部署者獲利約7萬美元。
合約地址:
https://www.oklink.com/zh-cn/bsc/address/0x737F5942D70f8F433d65823535e7Ae1DE1950d8e
相關鏈接:
https://twitter.com/CertiKAlert/status/1594409841396678659
No.13
11月28日,BNBChain項目IOTN發生RugPull,合約部署者賣出4.3億IOTN代幣。
合約地址:
https://www.oklink.com/zh-cn/bsc/address/0xabe6efdefa75c18bd0f6b65abddcd8dda3992caf
相關鏈接:
https://twitter.com/CertiKAlert/status/1597031934789652482
No.14
11月29日,BNBChain項目BTC-POR發生RugPull,合約部署者獲利約7萬美元。
合約地址:
https://www.oklink.com/zh-cn/bsc/address/0x7e20fec0e64e81e4b9812bd4886cd1fd3ad4df45
相關鏈接:
https://twitter.com/CertiKAlert/status/1597381475481128961
1.3社媒詐騙與釣魚盤點
No.1
11月1日,Generativemasks項目Discord服務器遭攻擊,攻擊者發布虛假消息。
相關鏈接:https://twitter.com/CertiKAlert/status/1587219096399233027
No.2
11月1日,KUMALEON項目Discord遭攻擊,111枚NFT被盜,包括BAYC#5313,ENS,ALIENFRENS和ArtBlocks。
相關鏈接:https://twitter.com/PeckShieldAlert/status/1587271475475939328
No.3
11月12日,PlayAFAR項目Discord服務器遭攻擊,攻擊者發布虛假消息。
相關鏈接:https://twitter.com/CertiKAlert/status/1591099470036570113
No.4
11月19日,MitsubishiNFT項目Discord服務器遭受攻擊,攻擊者發布虛假消息。
相關鏈接:https://twitter.com/CertiKAlert/status/1593758516602318854
No.5
11月23日,SensiLabs項目Discord服務器遭受攻擊,攻擊者發布虛假消息。
相關鏈接:https://twitter.com/CertiKAlert/status/1595215783654658048
No.6
11月28日,Shamanzs項目Discord服務器遭受攻擊,攻擊者發布虛假消息。
相關鏈接:https://twitter.com/CertiKAlert/status/1597076228749533185
1.4其他
No.1
11月2日,Deribit熱錢包被盜2800萬美元,損失將由公司儲備金彌補。
相關鏈接:https://twitter.com/DeribitExchange/status/1587701883778523136
No.2
11月2日,Rubic項目管理員地址私鑰疑被泄露,攻擊者已出售約3400萬RBC/BRBC。
相關鏈接:https://twitter.com/CryptoRubic/status/1587801263781171203
No.3
11月12日,FTX疑似遭遇攻擊,大量資產開始持續發送到0x59A開頭地址。
相關鏈接:https://twitter.com/CertiKAlert/status/1591265704568709122
No.4
11月23日:FenbushiCapital創始合伙人價值4200萬美元個人資產被盜,FBI已介入調查。
相關鏈接:https://twitter.com/boshen1011/status/1595239850596306944
二、安全總結
2022年11月智能合約相關漏洞涉及價格操縱、獎勵機制、注入攻擊等類型,均為常見攻擊手法,如項目上線前,經專業智能合約審計機構進行審計,可避免相關漏洞攻擊發生。另外,本月RugPull類項目依舊層出不窮,用戶參與相關項目時,需要保持警惕,多方驗證項目質量,遠離可疑項目。最后,應增強錢包私鑰安全意識,避免私鑰泄露造成資產損失。
Web3是下一代互聯網技術,擁護者認為它將重新定義日常數字體驗。在密碼學和分布式賬本技術的幫助下,Web3有望創建一個由用戶擁有和管理的互聯網.
1900/1/1 0:00:0010月24日,CryptoDiffer發布“DeFi項目TVL排名”榜單,JustLendDAO位列第七,TVL高達32.8億美金.
1900/1/1 0:00:00Plan?基金會在盧加諾的麥當勞等地點推出大規模的加密支付Plan?基金會與GoCrypto合作.
1900/1/1 0:00:00起因 11月2號CoinDesk發布Alameda的資產負債表(https://www.coindesk.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品 背景 GavinWood于2016年創立了波卡,最終目標是創建一個真正的去中心化的系統,一直以來波卡為成為下一代網絡的基礎設施而不斷前進著.
1900/1/1 0:00:00報告:USDT仍是CEX中交易量份額最高的穩定幣根據CoinMetrics發布的報告,Tether在中心化交易所市場的交易量份額仍然是所有穩定幣中最高的.
1900/1/1 0:00:00