欧科云链2022年10月安全事件盘点-ODAILY_DYDX:GMX

一、基本信息

2022年10月发生较典型安全事件约『100』起。

本月攻击形式呈现多元化,攻击范围包括钱包、MEV机器人、跨链,项目奖励等。

由于上个月Profanity工具被曝存在生成私钥被爆破的安全风险,导致本月也有多起因私钥泄漏引发的攻击产生。

MEV机器人,因校验存在缺陷,也成为了攻击者的攻击目标。

BNBChain跨链桥BSCTokenHub因校验存在缺陷,导致攻击者可以绕过校验并无限铸币。

TeamFinance合约存在漏洞,UniswapV2LPtoken向V3的迁移函数实现有问题,导致被攻击。

另外,部分项目的奖励池存在逻辑错误导致项目被攻击也警醒着人们对于奖励逻辑安全的思考。

而社媒和RugPull事件与上个月相比依然在大幅增加。

1.1REKT盘点

No.1

10月1日,THB项目遭受攻击。攻击者利用重入漏洞盗取THBRNFT。

攻击hash:0x57aa9c85e03eb25ac5d94f15f22b3ba3ab2ef60b603b97ae76f855072ea9e3a0

攻击合约:0xfed1b640633fd0a4d77315d229918ab1f6e612f9

攻击者地址:0xbc62b9ba570ad783d21e5eb006f3665d3f6bba93

No.2

10月2日,跨链DEX聚合器TransitSwap遭受攻击,导致用户的资金从钱包中被取出。到目前为止,损失估计约为2000万美元,该项目目前已暂停运营。

攻击hash:

0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

No.3

10月4日,Defi应用Sovryn遭到价格操纵攻击,约损失44.93RBTC和21.1万USDT。

No.4

10月7日,BSCTokenHub遭遇黑客攻击。具体攻击过程分析如下:币安跨链桥BSCTokenHub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。

1)攻击者先选取一个提交成功的区块的哈希值

2)然后构造一个攻击载荷,作为验证IAVL树上的叶子节点

3)在IAVL树上添加一个任意的新叶子节点

4)同时,添加一个空白内部节点以满足实现证明

5)调整第3步中添加的叶子节点,使得计算的根哈希等于第1步中选取的提交成功的正确根哈希

6)最终构造出该特定区块的提款证明BeosinTrace正在对被盗资金进行实时追踪。

攻击hash:0xebf83628ba893d35b496121fb8201666b8e09f3cbadf0e269162baa72efe3b8b

No.5

10月9日,XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍。攻击交易为0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a。

攻击过程如下,攻击者首先创建攻击合约0xe167cdaac8718b90c03cf2cb75dc976e24ee86d3,该攻击合约首先调用DaoModule合约0x8f90的executeProposalWithIndex()函数执行提案,提案内容为调用mint()函数铸造100,000,000,000,000个RNBW,并将ownership权限转移给攻击者。最后黑客将其兑换为xRNBW,存放在攻击者地址上。

攻击hash:0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a

No.6

10月11日,TempleDAO项目因合约函数没有检查输入的参数遭受攻击,损失约237万美元。

攻击hash:0x8c3f442fc6d640a6ff3ea0b12be64f1d4609ea94edd2966f42c01cd9bdcf04b5

No.7

10月11日,QANplatform项目遭到攻击。攻击者的地址为0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11疑似合约部署者的私钥泄露。攻击者将盗取的QANX代币在1inch上换为WBNB代币。

攻击hash:

0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51

0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82

No.8

10月11日,DeBank开发的插件钱包Rabby的SwapRouter疑似存在一个漏洞,可任意转移用户资产。其合约中代币兑换函数直接通过OpenZeppelinAddresslibrary中的functionCallWithValue函数进行外部调用,而调用的目标合约以及调用数据都可由用户传入,但合约中并未对用户传入的参数进行检查,导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。

攻击者地址:0xb687550842a24d7fbc6aad238fd7e0687ed59d55

No.9

10月12日,Journeyofawakening(ATK)项目,遭受闪电贷攻击。

No.10

10月12日,基于Solana的去中心化金融平台Mango遭受潜在1亿美元价格操纵攻击。经分析,攻击者通过闪电贷,将Mango代币的价格拉升了20倍以上,然后作为抵押,借贷了其他的货币,并都提取,将流动性掏空。

No.11

10月13日,FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XENTOKEN。

具体攻击过程如下:1.以其中一笔攻击交易为例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)2.FTX热钱包地址会向攻击合约地址转入小额的资金,利用攻击合约(0xCba9…7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约,并且每次执行完子合约之后,子合约都会自毁。3.接下来子合约fallback()函数去向Xen合约发起铸币请求,如下函数,claimRank()函数传入一个时间期限进行铸币,铸币条件是只用支付调用gas费,并无其他成本,并且claimMintReward()函数为提取函数,该函数只判断是否达到时间期限,便可无条件提取。但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址。4.1-3中的步骤,重复多次,并且每次重复过程中都会将已到期的代币提取出来,并且同时发起新的铸币请求。

No.12

10月14日,MEV机器人被利用,损失约为187.75WETH。其中攻击者用Flashloan借了1WETH并发送给机器人,随后机器人将WETH换成USDC并发送到攻击者的合约,攻击者将USDC换成WETH并提现。

No.13

10月14日,EdenNetwork的部署者地址在链上发起异常交易,部署者调用setMetadataManager将其元数据管理员权限转移到攻击者地址0x5C95123b1c8d9D8639197C81a829793B469A9f32,随后该地址利用此权限将EDEN币的名称和符号修改为”EDENHackInu”和”EDENHACK”,由于部署者地址对于EDENtoken的admin权限早已转移,目前攻击暂未造成其他影响。漏洞产生的原因,或由或由profanity漏洞导致。

No.14

10月15日,BNBChain上RKC代币合约留有组合类后门,攻击者可通过预留的后门函数操作成为关联合约Pool的admin,然后利用RKC代币中具有后门的transferFrom转走任意地址的代币。目前PinkLock上的锁定代币已被全部转出,并将被盗代币已换为BNB发送至地址0xeB2cD19A76DF7B4C19965e0B0cba059658750D23。

No.15

10月15日,Earning.Farm的EFLeverVault合约遭到两次闪电贷攻击,第一笔攻击被MEVbot截获,造成合约损失480ETH;第二笔黑客完成攻击,黑客获利268ETH。经过分析,漏洞是由合约的闪电贷回调函数未验证闪电贷发起者产生,攻击者可自行触发合约的闪电贷回调逻辑:偿还合约内的AavestETH债务并提现,然后将stETH兑换为ETH。随后攻击者可调用withdraw函数提现所有合约内的ETH余额。

No.16

10月17日,NFT平台LiveArtX的钱包在10月17日凌晨0:24被攻击,获得财库钱包的访问权限,共盗取197枚NFT,其中100枚属于金库,97枚计划本用于营销活动。

No.17

10月17日,MTDAO项目方的未开源合约0xFaC064847aB0Bb7ac9F30a1397BebcEdD4879841遭受闪电贷攻击,受影响的代币为MT和ULM。攻击交易为0xb1db9743efbc306d9ba7b5b892e5b5d7cc2319d85ba6569fed01892bb49ea499,共获利487,042.615BUSD。攻击者通过未开源合约中的0xd672c6ce和0x70d68294函数,调用了MT与ULM代币合约中的sendtransfer函数获利。

MTDAO合约地址:0xFaC064847aB0Bb7ac9F30a1397BebcEdD4879841

攻击hash:0xb1db9743efbc306d9ba7b5b892e5b5d7cc2319d85ba6569fed01892bb49ea499

No.18

10月19日,Celo上的Moola协议遭受攻击,黑客获利约900万美元。

具体攻击过程分析如下:

第一步:攻击者进行了多笔交易,用CELO买入MOO,攻击者起始资金.

第二步:攻击者使用MOO作为抵押品借出CELO。根据抵押借贷的常见逻辑,攻击者抵押了价值a的MOO,可借出价值b的CELO。

第三步:攻击者用贷出的CELO购买MOO,从而继续提高MOO的价格。每次交换之后,Moo对应CELO的价格变高。

第四步:由于抵押借贷合约在借出时会使用交易对中的实时价格进行判断,导致用户之前的借贷数量,并未达到价值b,所以用户可以继续借出CELO。通过不断重复这个过程,攻击者把MOO的价格从0.02CELO提高到0.73CELO。

第五步:攻击者进行了累计4次抵押MOO,10次swap,28次借贷,达到获利过程。

No.19

10月19日,链上Mev机器人被攻击。合约地址开头为0xf6d7的MEV机器人因闪电贷回调损失约15万美元,攻击者地址为smithbot.eth。

No.20

10月20日,以太坊闹钟服务漏洞被利用,目前已导致约26万美元被盗取。以太坊闹钟服务让用户能够通过预先确定接收方地址、发送金额和交易时间来安排未来的交易。

No.21

10月21日,OlympusDAO的BondFixedExpiryTeller合约中的redeem()函数因无法正确验证输入导致了约29.2万美元的损失。

No.22

10月24日,QuickSwapLend的项目因Curve预言机漏洞被攻击,目前已因闪电贷攻击损失22万美元。

No.23

10月25日,MelodySGS项目的AssetsDepositUpgrade合约疑似遭受黑客攻击,攻击共造成2225枚BNB损失。初步怀疑是由于项目的链下签名生成模块存在漏洞,导致攻击者绕过访问控制,从而利用API漏洞生成了合法签名进而提取SGS和SNS,并通过Dex抛售被盗资金,最终获利2225BNB。

No.24

10月25日,ULME代币项目被黑客攻击,目前造成50646BUSD损失。

攻击过程如下:黑客首先利用闪电贷借出BUSD,由于用户前面给ULME合约授权,攻击者遍历了对合约进行授权的地址,然后批量转出已授权用户的BUSD到合约中,提高价格ULME价格,然后黑客卖掉之前闪电贷借出的ULME,赚取BUSD,归还闪电贷获利离场。

攻击hash:0xdb9a13bc970b97824e082782e838bdff0b76b30d268f1d66aac507f1d43ff4ed

No.25

10月27日,TeamFinance在由Uniswapv2迁移至v3的过程中遭到黑客攻击,已确定的损失为1450万美元。

攻击hash:0xb2e3ea72d353da43a2ac9a8f1670fd16463ab370e563b9b5b26119b2601277ce

No.26

10月27日,UVT项目被黑客攻击,涉及金额为150万美元。攻击交易为0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499。经分析攻击者首先利用开发者部署的另一个合约的具有Controller权限的0xc81daf6e方法,该方法会调用被攻击合约的0x7e39d2f8方法,因为合约具有Controller权限,所以通过验证直接转走了被攻击合约的所有UVT代币。

攻击Hash:0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499

No.27

10月29日,FriesDAO遭到攻击,损失约230万美元,起因是攻击者获得了该协议操作者钱包的控制权——似乎是由于Profanity钱包生成器的漏洞导致的。

1.2RugPull盘点

No.1

10月2日,BTU代币:0xf5e88c44093252db8c8250df3cd51c8fd96cd6c9,价格下跌88%.

No.2

10月3日,GSLS代币:0xb1Dd2Cff2eb22FFc26B0Dc706D84e0A7DB552887,价格下跌85%。

No.3

10月4日,FDO代币:0xB4dAB11C24eDa8e1565f6aBd0CFDF1fde5767A67,价格下跌96%。

No.4

10月4日,RRB代币:0x4161557153cf56b10836b3f76f9b82561f23cb0c,价格下跌89%。

No.5

10月5日,Web3社交平台SexDAO疑似Rug。项目方先用大量的SED代币向池子进行兑换,换出一部分USDT,然后又移除了之前添加的流动性,目前资金池流动性几乎为0,相应的SED代币也失去了价值。目前官网跟官方Twitter均已无法访问。

No.6

10月6日,EAI代币:0x82b558c60fc4d1e12862b0d8fad693ae81aba48c,价格下跌66%。

No.7

10月6日,FGD代币:0x2206c35e770b66fb6fd0d6c633101819e4358fb8,价格下跌83%。

No.8

10月6日,RES代币:0xeccd8b08ac3b587b7175d40fb9c60a20990f8d21,价格下跌98%。

No.9

10月7号,GMX代币:0x73ec30019ca98c1db932d06636f484cf9e559dbb,价格下跌88%。

No.10

10月9号,Jumpnfinance项目Rugpull。攻击交易为0x48333962e6e946748a26d6222db95ce97e76c9ed3917123a7c9f2731f896b72c。经分析,攻击者首先调用0xe156合约的0x6b1d9018()函数,提取了该合约中的用户资产,存放在攻击者地址上。

攻击hash:0x48333962e6e946748a26d6222db95ce97e76c9ed3917123a7c9f2731f896b72c

No.11

10月10日,JST疑似RugPull,删除了所有的社交媒体账号。

合约地址:0xee6cacddd3a9370d87db581ee6728226883578e5

No.12

10月10日,MMF代币:0x64427e98B5403bbE8A95F12B935d4275d2802B26,价格下跌93%。

No.13

10月11日,DMC代币:0x256b001173111d632e87e6812fe9c23272d29600,价格下跌87%。

No.14

10月11日,TME代币:0xd631464f596e2ff3b9fe67a0ae10f6b73637f71e,价格下跌95%。

No.15

10月11日,FC代币:0xa48d94e1cca09c4867d710cd24f002cb6aa196d3,价格下跌99%。

No.16

10月12日,ATK代币:0x9cB928Bf50ED220aC8f703bce35BE5ce7F56C99c,价格下跌99%。

No.17

10月13日,KFT代币:0xe1e17b24f32Cfe85a3C1aB63f14082D70592f6eE,价格下跌100%。

No.18

10月13日,LGT代币:0xd21d53fa113dd5769aa1b603c296d6ae15d0044a,价格下跌95%。

No.19

10月15日,PDB代币:0x18a2E0ba304112134bd407744Ff0b0a03aE77327,价格下跌99%。

No.20

10月17日,SHOK代币:0xe1f41f5f11e89c674d6c6c23899f7773322756f2,价格下跌83%。

No.21

10月17日,BadySUC:0x6890637881C60271C77275c0597b74df8540a596,价格下跌86%

No.22

10月18日,Shih-Tzu:0x74d00122a5d038914EAe062af8174C888F3166Dc,价格下跌52%。

No.23

10月19日,DDCX代币:0x2a895aFAEB582b5C914dAA3DEECc08C9705C9fBC,价格下跌94%。

No.24

10月20日,DD代币:0x7f7a036aba49122dbbdb3da9bd67b45f10fcd765,价格下跌87%。

No.25

10月20日,MNGO代币:0x335e14d18d8a903b782a39059dc35d61b94e1c1b,价格下跌80%。

No.26

10月22日,SocialShow代币:0x10B5F130B1191b4838500274de3cce9233C34b8B,价格下跌80%。

No.27

10月23日,ATV代币:0x06114Cad0D3B9B06963Aaba6a5Ec0c46C195838a,价格下跌100%。

No.28

10月23日,BTDOG代币:0x3e7960A0Cd30Dfde3C57E071936b98c7E98c8303,价格下跌65.5%.

No.29

10月24日,A6项目:0xE77D77309027c71F006DfF5d2F1b76060F4F5F13,价格下跌91.38%。

No.30

10月24日,加密平台Freeway已停止平台所有取款,项目方删除了官方名单疑似rugpull,涉及金额或超1亿美元。

No.31

10月25日,SANTA代币:0x4F1A6FC6A7B65Dc7ebC4EB692Dc3641bE997c2F2,价格下跌68.18%。

No.32

10月26日,NWT代币:0x2c44c71df4dbd3634e43ab0bc6dcb809d5286443,价格暴跌53%。

No.33

10月28日,HLG代币:0x10f9Ccb9CfCa4ad48BC9256c22ade8303cf5E95E,价格暴跌90%。

No.34

10月29日,GDAO代币:0xeB0dafA840Df31F5Ae18d54d96Bf9c7760fDb904价格暴跌96%,疑似项目方rugpull。

No.35

10月29日,LOO代币:0xfDB0fE3dD8F7e9A671f63b7e7db0935A955659ab发生rugpull,价格下跌97%。

No.36

10月30日,ETT代币:0xa941Ca288f7f79Eb215EA3492a0662BF12E7A205发生rugpull,价格下跌74%。

1.3社媒与钓鱼盘点

社交类

No.1

10月1日,BadDogsCompany项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.2

10月3日,kinkverse项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.3

10月3日,beeple项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.4

10月8日,flaskiesNFT项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.5

10月12日,DogeClub_NFT项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.6

10月12日,thehirosnft项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.7

10月12日,OthersideMetatwitter账号被入侵,要小心这个账号发的任何链接

No.8

10月13日,Devious_DeadNFT项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.9

10月13日,GenuineUndead项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.10

10月14日,ProjectKaitoNFT项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.11

10月16日,WhisbeVandalz项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.12

10月17日,SwampverseNFT项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.13

10月17日,projectPXN项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.14

10月18日,XANAMetaverse项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.15

10月18日,AnimemeLabs项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.16

10月19日,ForgottenTribe0项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.17

10月20日,sougenco项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.18

10月22日,Vivity_NFT项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.19

10月22日,Shojira项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.20

10月22日,经检测,加密平台Gate官方Twitter账户疑似被盗用。半小时前,攻击者利用该账户发文,诱导用户进入虚假网站连接钱包。

No.21

10月22日,经分析,@Blur_DAO为网络钓鱼账户,该虚假账户发布推文称目前已经开放BLUR代币查询,并贴出一个钓鱼网址,提醒广大用户切勿点击虚假链接。

No.22

10月26日,Primordials_项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.23

10月28日,OxyaOrigin项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.24

10月28日,JunglersNFT项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.25

10月29日,NFTInfernals项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.26

10月29日,SchoolData_NFT项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.27

10月30日,The_Chimpsons项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。

No.28

10月31日,AlexanderTaubTwitter账号被入侵,攻击者提供了一个假的网站要求扫码。请用户在点击一个网站前要确定网站。

加密网站钓鱼类

No.1

10月5日,检测到一个关于uniswap奖励的钓鱼链接,攻击者会空投一些奖励代币到很多地址,并引导他们访问该链接https://aatusite/。

No.2

10月24日,推特账号@zksync_io是一个伪造的zkSync帐号,其主页上的airdropzskyncio是钓鱼网站,提醒用户切勿点击虚假空投链接。

No.3

10月26日,一名化名为“MonkeyDrainer”的网络钓鱼者在过去24小时内偷走700个ETH,价值约105万美元。

No.4

10月28日,一伪造公链项目Aptos的虚假推特账号@AptosLabs_fi发布空投钓鱼链接,者已获利114.8枚ETH。目前该虚假推特账号已有超5万名关注者,airdropaptlabsfi为钓鱼网站,提醒用户切勿点击钓鱼网站,以免造成财产损失。

1.4其他

No.1

10月6日,一个身份不明的垃圾邮件发送者正通过海量屏蔽交易输出填充Zach区块链的交易区块,目前已对Zcash节点运营商造成了严重破坏。

No.2

10月11日,黑客正在向Solana加密货币所有者空投NFT,假装对新的Phantom安全更新发出警报,该更新导致安装加密窃取恶意软件和盗窃加密货币钱包。

No.3

10月11日,TokenPocket官网遭受异常流量攻击,技术团队正在进行紧急维护。技术维护期间,TokenPocket网站将不能正常访问,用户资产安全不会受到影响。官方提醒用户提高警惕,注意识别欺诈风险。

No.4

10月21日,AptosLabs团队在10月20日发现Petra上的一个Bug,该Bug与现有钱包内的帐户创建有关,页面上显示的助记词可能会不准确。访问准确的12个助记词短语的过程为,设置、管理帐户、输入密码,然后单击显示密钥恢复短语。当前,Petra已修复该Bug,将很快发布到GoogleAppStore。

No.5

10月26日,SpookieFinance项目前端疑似遭攻击,试图在任何提现操作之前授权0xe316Ba开头钱包地址,然后获取受害者的资产。相关资金似乎被发送至钱包地址0x5451A25AFf1c14DDEF74D2AF703aaCc5d483782c,推特账号@SpookieFinance已显示不存在,GHOST/WAVAX跌幅达100%。

二、安全总结

2022年10月的安全事件涉及包括钱包、MEV机器人,DeFi项目等多个方面。建议项目方在项目正式上线之前要寻找可靠的安全审计机构对项目进行漏洞审计,以免造成不必要的损失。

本月社媒事件较上月仍有大幅增加。项目方应该更加注重Discord和Twitter等官方账号的保护防止密码泄漏,同时用户应提高对“freemint”活动的警惕,仔细查看签署的交易是否符合预期。

同时不断增多的RugPull项目也提醒着用户应当对高额回报保持警惕,而钓鱼网站的增多也需要用户对于来路不明的所谓的官方链接保持距离。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:15ms0-7:295ms