欧科云链链上卫士2022年11月安全事件盘点-ODAILY_TPS:TWI

一、基本信息

在头部中心化交易所FTX发生挤兑崩盘,FTX相关资产也遭遇疑似黑客攻击大背景下,2022年11月安全攻击事件共造成约5.2亿美元损失。本月智能合约漏洞方面发生的攻击次数与前两个月相比有所减少,且大部分攻击造成的资产损失金额较低;RugPull相关安全事件发生依旧比较多,甚至有两个项目分别造成上千万美金级别损失;另外,Deribit热钱包和FenbushiCapital创始合伙人钱包安全问题也造成了合计约7000万美金的损失。

1.1REKT盘点

No.1

11月2日,借贷协议Solend遭预言机攻击,攻击者操纵USDH价格,从HubbleStable,Coin98和Kamino借贷池借出超额资产,从而产生126万美元坏账。Solend的USDH价格预言机只有一个数据源,来自Saber协议的USDH-USDC-LP,但是该交易池TVL仅有约$900k,攻击者使用LoopSwap接口,抬高了USDH价格。

攻击者地址:

https://www.oklink.com/zh-cn/sol/account/61wJT43nWMUpDR92wC7pmo6xoJRh2s4kCYRBq4d5XQHZ

相关链接:

https://twitter.com/solendprotocol/status/1587671511137398784

https://twitter.com/0xSymphony/status/1587937449077940224

https://cryptobriefing.com/why-do-solana-defi-protocols-keep-getting-exploited/

No.2

11月2日,NEAR网络SkywardFinance协议国库损失价值约300万美元的110万个NEAR代币。攻击者从RefFinance购买大量SKYWARD代币,然后从SkywardFinance国库协议进行redeem,获得了比SKYWARD价值多很多的NEAR代币。分析发现skyward.near合约的redeem_skyward函数没有正确校验token_account_ids参数,导致攻击者传入相同的token_account_id,并多次领取了WNear奖励。

攻击交易:

https://explorer.near.org/transactions/92Gq7zehKPwSSnpoZ7LGGtSmgmBb4wP2XNDVJqUZRGqz

相关链接:

https://mobile.twitter.com/sanket_naikwadi/status/1587854474587930624

https://twitter.com/BlockSecTeam/status/1587998109648683010

https://www.odaily.news/newsflash/303711

No.3

11月3日,BSC链上的gala.games项目由于pNetwork项目的bridge配置错误导致pTokens代币增发,累计增发55,628,400,000枚pTokens,攻击者已经把部分pTokens兑换成12,976个BNB,攻击者累计获利约434万美元。

攻击地址:

https://www.oklink.com/zh-cn/bsc/address/0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1

第一笔攻击交易:

https://www.oklink.com/zh-cn/bsc/tx/0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e

第二笔攻击交易:

https://www.oklink.com/zh-cn/bsc/tx/0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d

相关链接:

https://www.odaily.news/newsflash/303816

No.4

11月5日,MooCakeCTX合约被闪电贷攻击,攻击者获利14万美元。该合约在用户质押前未结算奖励进行复投,这会导致用户在质押后就马上能获取以前的质押分红。攻击者在同一个区块内使用闪电贷借出50000个cake代币后,连续两次进行质押,然后再提取质押的cake代币,归还后获利。

攻击交易:

https://www.oklink.com/zh-cn/bsc/tx/0x03d363462519029cf9a544d44046cad0c7e64c5fb1f2adf5dd5438a9a0d2ec8e

攻击者地址:

https://www.oklink.com/zh-cn/bsc/address/0x35700c4a7bd65048f01d6675f09d15771c0facd5

攻击合约:

https://www.oklink.com/zh-cn/bsc/address/0x71ac864f9388ebd8e55a3cdbc501d79c3810467c

被攻击合约:

https://www.oklink.com/zh-cn/bsc/address/0x489afbaed0ea796712c9a6d366c16ca3876d8184

相关链接:

https://twitter.com/BeosinAlert/status/1589501207181393920

https://twitter.com/CertiKAlert/status/1589428153591615488

No.5

11月9日,ETH链项目brahTOPG被攻击,攻击者获利约9万美元。攻击者构造恶意token,并在该token的approve函数中,将FRAX代币转入被攻击合约,使得合约能成功执行,但是在zapCall.swapTarget.call(zapCall.callData)调用时,由于参数zapCall为攻击者传入参数,使其能够发起USDC.transferFrom,转移授权用户的USDC,从而完成攻击。

攻击交易:

https://www.oklink.com/zh-cn/eth/tx/0xeaef2831d4d6bca04e4e9035613be637ae3b0034977673c1c2f10903926f29c0

攻击者地址:

https://www.oklink.com/zh-cn/eth/address/0x6fa00a7324dc293ea8ecf56fe3143104494c4213

攻击合约:

https://www.oklink.com/zh-cn/eth/address/0x60032a41726241499b0c626c836c9099cb895c05

被攻击合约:

https://www.oklink.com/zh-cn/eth/address/0xd248b30a3207a766d318c7a87f5cf334a439446d

相关链接:

https://twitter.com/SlowMist_Team/status/1590685173477101570

https://mp.weixin.qq.com/s/YqO38TAXBQzXZunmZk6naQ

No.6

11月11日,ETH链项目DFXFinance遭到攻击,损失近400万美元。DFX中闪电贷合约对于归还闪电贷的计算方式只与池子中的资金余额有关,Flash方法调用未做同合约同方法和同合约不同方法的重入限制,攻击者通过将资金借出之后通过添加流动性又将资金转入了池子中,因此计算的需要归还的闪电贷资金减少,攻击者之后可以通过归还流动性代币将资金取出。

攻击交易:

https://www.oklink.com/zh-cn/eth/tx/0x390def749b71f516d8bf4329a4cb07bb3568a3627c25e607556621182a17f1f9

攻击者地址:

https://www.oklink.com/zh-cn/eth/address/0x14c19962e4a899f29b3dd9ff52ebfb5e4cb9a067

攻击合约:

https://www.oklink.com/zh-cn/eth/address/0x6cfa86a352339e766ff1ca119c8c40824f41f22d

被攻击合约:

https://www.oklink.com/zh-cn/eth/address/0x46161158b1947d9149e066d6d31af1283b2d377c

相关链接:

https://mp.weixin.qq.com/s/jviwgpwwUpn9AQ36CFEzuQ

https://mp.weixin.qq.com/s/4nLDcPsPRsZGB1c_SH1_qg

No.7

11月16日,BNBChain上的SheepFarm被黑客攻击,黑客获利约7.2万美元。SheepFarm合约的register函数会检查注册用户的timestamp数值为0,确保为新用户。但是用户注册后,该timestamp数值并未更新,攻击者可以重复调用register接口。每次register调用,都会有GEM_BONUS分配给黑客,黑客最后兑换为BNB获利。

攻击交易:

https://www.oklink.com/zh-cn/bsc/tx/0x9c3c513d54d59451ea7b07539aee9132f402d7e8f5bc025d609a16e559ee6ddf

攻击者地址:

https://www.oklink.com/zh-cn/bsc/address/0x2131c67ed7b6aa01b7aa308c71991ef5baedd049

攻击合约:

https://www.oklink.com/zh-cn/bsc/address/0xf2db8665d82e1a23895ed78b213d36d62eec6bbc

被攻击合约:

https://www.oklink.com/zh-cn/bsc/address/0x4726010da871f4b57b5031e3ea48bde961f122aa

相关链接:

https://twitter.com/BlockSecTeam/status/1592734292727455744

No.8

11月21日,BSC链上合约sDAO被攻击,黑客获利1.4万BUSD。黑客从DODO闪电贷500BUSD,部分兑换成sDAO代币后添加流动性,然后通过withdrawTeam接口将sDAO合约全部的LPtoken取出。由于getReward接口计算是依赖sDAO合约内LPtoken的余额,黑客通过tranfer从攻击合约转给sDAO合约0.013个LPtoken,控制该数值为一个很小数值,然后通过getReward接口从sDAO获得约370万个sDAO,卖出获利1.4万BUSD。

攻击交易:

https://www.oklink.com/zh-cn/bsc/tx/0xb3ac111d294ea9dedfd99349304a9606df0b572d05da8cedf47ba169d10791ed

攻击者地址:

https://www.oklink.com/zh-cn/bsc/address/0xa1b6d1f23931911ecd1920df49ee7a79cf7b8983

攻击合约:

https://www.oklink.com/zh-cn/bsc/address/0x2b9eff2f254662e0f16b9adc249aaa509b1c58d4

被攻击合约:

https://www.oklink.com/zh-cn/bsc/address/0x6666625ab26131b490e7015333f97306f05bf816

相关链接:

20221121-sDAO攻击事件分析

No.9

11月23日,ETH链上的NumbersProtocol代币项目遭到攻击,攻击者获利约1.4万美元。攻击者创建了一个恶意的anyToken代币,该恶意代币合约的底层代币指向NUM代币地址;接着调用Multichain跨链桥的Router合约的anySwapOutUnderlyingWithPermit函数,该函数的功能是传入anyToken并调用底层代币的permit函数进行签名批准,之后兑换出拥有授权的用户的底层代币给指定地址。由于NUM代币中没有permit函数且拥有回调功能,所以即使攻击者传入假签名也能正常返回使得交易不会失败,导致受害者地址的NUM代币最终可以被转出到指定的攻击合约中;接着攻击者将获利的NUM代币通过Uniswap换成USDC再换成ETH获利。

攻击交易:

https://www.oklink.com/zh-cn/eth/tx/0x8a8145ab28b5d2a2e61d74c02c12350731f479b3175893de2014124f998bff32

攻击者地址:

https://www.oklink.com/zh-cn/eth/address/0xb792faf099991f96c5dfef037ae9f248186d9b30

攻击合约:

https://www.oklink.com/zh-cn/eth/address/0x00000000000747d525e898424e8774f7eb317d00

被攻击合约:

https://www.oklink.com/zh-cn/eth/address/0x765277eebeca2e31912c9946eae1021199b39c61

相关链接:

https://www.odaily.news/newsflash/305776

No.10

11月29日,BSC链SEAMAN合约遭受漏洞攻击,黑客获利约8000BUSD。SEAMAN合约在transfer函数时中将SEAMAN代币兑代币GVC,攻击者可以利用该函数影响代币的价格。攻击者首先将50万BUSD兑换为GVC代币,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,从而消耗BUSD-GVC交易对中GVC的数量,抬高该交易对中GVC的价格。最后攻击者卖出之前兑换的GVC兑换了50.7万的BUSD获利。

攻击交易:

https://www.oklink.com/zh-cn/bsc/tx/0x6f1af27d08b10caa7e96ec3d580bf39e29fd5ece00abda7d8955715403bf34a8

攻击者地址:

https://www.oklink.com/zh-cn/bsc/address/0x4b1f47be1f678076f447585beba025e3a046a9fa

攻击合约:

https://www.oklink.com/zh-cn/bsc/address/0x0e647d34c4caf61d9e377a059a01b5c85ab1d82a

被攻击合约:

https://www.oklink.com/zh-cn/bsc/address/0x6bc9b4976ba6f8c9574326375204ee469993d038

相关链接:

https://www.odaily.news/newsflash/306290

No.11

11月30日,BSC链MBC和ZZSH合约遭受漏洞攻击,黑客获利约5600BUSD。MBC合约与ZZSH合约代码实现相同,黑客利用闪电贷借出BUSD后,首先购买MBC和ZZSH代币,然后利用swapAndLiquifyStepv1函数添加流动性,该函数将token合约内资产添加到pair合约,黑客最后将之前购买的MBC和ZZSH代币售出获利。漏洞核心在于swapAndLiquifyStepv1没有权限控制,导致黑客可以通过swap将代币价格推高后,再利用该函数将代币合约内资产添加流动性,再将代币卖出获利。

攻击交易:

https://www.oklink.com/zh-cn/bsc/tx/0xdc53a6b5bf8e2962cf0e0eada6451f10956f4c0845a3ce134ddb050365f15c86

攻击者地址:

https://www.oklink.com/zh-cn/bsc/address/0x9cc3270de4a3948449c1a73eabff5d0275f60785

攻击合约:

https://www.oklink.com/zh-cn/bsc/address/0x0b13d2b0d8571c3e8689158f6db1eedf6e9602d3

被攻击合约:

https://www.oklink.com/zh-cn/bsc/address/0x4e87880a72f6896e7e0a635a5838ffc89b13bd17

https://www.oklink.com/zh-cn/bsc/address/0xee04a3f9795897fd74b7f04bb299ba25521606e6

相关链接:

20221129-MBC/ZZSH攻击案例

1.2RugPull盘点

No.1

11月1日,BSC链项目FITE项目疑似RugPull,攻击者转移1900枚BNB,获利约62.2万美元。

合约地址:

https://www.oklink.com/zh-cn/bsc/address/0xe4182e57eeb29fbc2b3469e45c9e385cea8995ab

相关链接:

https://twitter.com/PeckShieldAlert/status/1587368026571436032

No.2

11月3日,MetFX项目疑似发生Rugpull,部署者获利约13万美元。

相关链接:https://twitter.com/PeckShieldAlert/status/1588037702599200768

No.3

11月8日,BSC链项目DefiWzToken(DEFIWZ)发生RugPull,攻击者获利约20.8万美元。

合约地址:

https://www.oklink.com/zh-cn/bsc/address/0x418db510b4f1cf33565c459cfb6d838bbbbff8f9

相关链接:

https://twitter.com/CertiKAlert/status/1589722752277045248

No.4

11月8日,BSC链项目DeFiSafe(dSafe)发生RugPull,攻击者获利约12.7万美元。

合约地址:

https://www.oklink.com/zh-cn/bsc/address/0x761776f726168c9df6dc63d5864880801e21f403

相关链接:

https://twitter.com/CertiKAlert/status/1589650367507271680

No.5

11月8日,BSC链项目SSIDToken(SSID)发生RugPull,攻击者获利约15.8万美元。

合约地址:

https://www.oklink.com/zh-cn/bsc/address/0xC3241e111CCd9CF6c5a11dADE9498070082F2ed3

相关链接:

https://twitter.com/CertiKAlert/status/1589708844829405184

No.5

11月11日,ETH链项目DefiForge(FORGE)发生RugPull,攻击者获利约6.5万美元。\n合约地址:

https://www.oklink.com/zh-cn/eth/address/0x5198625a8abf34a0d2a1f262861ff3b3079302bf

相关链接:

https://twitter.com/CertiKAlert/status/1591611068786257920

No.7

11月13日,BNBChain项目DeFiAI项目发生Rugpull,合约部署者获利约4000万美元。

合约地址:

https://www.oklink.com/zh-cn/bsc/address/0x6548a320d3736920cad8a2cfbfefdb14db6376ea

相关链接:

https://twitter.com/DeFiAiOfficial/status/1591783217040064513

No.8

11月15日,BNBChain项目Ranger发生RugPull,攻击者获利约8万美元。

合约地址:

https://www.oklink.com/zh-cn/bsc/address/0xc9efd09c8170e5ce43219967a0564a9b610e5ea2

相关链接:

https://twitter.com/CertiKAlert/status/1592402249523023878

No.9

11月16日,BNBChain项目FLARE发生RugPull,攻击者获利约1800万美元。

合约地址:

https://www.oklink.com/zh-cn/bsc/address/0x192e9321b6244d204d4301afa507eb29ca84d9ef

相关链接:

https://mp.weixin.qq.com/s/Ynhc_9TWUY2iGWZWrfzThA

https://twitter.com/lunaray_sec/status/1592790172206526464

No.10

11月17日,BNBChain项目BoxerInuFinance发生RugPull,攻击者获利约14万美元。

合约地址:

https://www.oklink.com/zh-cn/bsc/address/0x6867d4a17f3ff5602024b7c2a33df2fd9aeafcfe

相关链接:

https://twitter.com/CertiKAlert/status/1592947070411100160

No.11

11月17日,BNBChain项目META项目发生RugPull,合约部署者获利约6万美元。

合约地址:

https://www.oklink.com/zh-cn/bsc/address/0x40Be57E8910dA65f5B98746C730E26941aB3824A

相关链接:

https://twitter.com/CertiKAlert/status/1592929004255862786

No.12

11月29日,BNBChain项目TrustBridge(TWG)发生RugPull,合约部署者获利约7万美元。

合约地址:

https://www.oklink.com/zh-cn/bsc/address/0x737F5942D70f8F433d65823535e7Ae1DE1950d8e

相关链接:

https://twitter.com/CertiKAlert/status/1594409841396678659

No.13

11月28日,BNBChain项目IOTN发生RugPull,合约部署者卖出4.3亿IOTN代币。

合约地址:

https://www.oklink.com/zh-cn/bsc/address/0xabe6efdefa75c18bd0f6b65abddcd8dda3992caf

相关链接:

https://twitter.com/CertiKAlert/status/1597031934789652482

No.14

11月29日,BNBChain项目BTC-POR发生RugPull,合约部署者获利约7万美元。

合约地址:

https://www.oklink.com/zh-cn/bsc/address/0x7e20fec0e64e81e4b9812bd4886cd1fd3ad4df45

相关链接:

https://twitter.com/CertiKAlert/status/1597381475481128961

1.3社媒与钓鱼盘点

No.1

11月1日,Generativemasks项目Discord服务器遭攻击,攻击者发布虚假消息。

相关链接:https://twitter.com/CertiKAlert/status/1587219096399233027

No.2

11月1日,KUMALEON项目Discord遭攻击,111枚NFT被盗,包括BAYC#5313,ENS,ALIENFRENS和ArtBlocks。

相关链接:https://twitter.com/PeckShieldAlert/status/1587271475475939328

No.3

11月12日,PlayAFAR项目Discord服务器遭攻击,攻击者发布虚假消息。

相关链接:https://twitter.com/CertiKAlert/status/1591099470036570113

No.4

11月19日,MitsubishiNFT项目Discord服务器遭受攻击,攻击者发布虚假消息。

相关链接:https://twitter.com/CertiKAlert/status/1593758516602318854

No.5

11月23日,SensiLabs项目Discord服务器遭受攻击,攻击者发布虚假消息。

相关链接:https://twitter.com/CertiKAlert/status/1595215783654658048

No.6

11月28日,Shamanzs项目Discord服务器遭受攻击,攻击者发布虚假消息。

相关链接:https://twitter.com/CertiKAlert/status/1597076228749533185

1.4其他

No.1

11月2日,Deribit热钱包被盗2800万美元,损失将由公司储备金弥补。

相关链接:https://twitter.com/DeribitExchange/status/1587701883778523136

No.2

11月2日,Rubic项目管理员地址私钥疑被泄露,攻击者已出售约3400万RBC/BRBC。

相关链接:https://twitter.com/CryptoRubic/status/1587801263781171203

No.3

11月12日,FTX疑似遭遇攻击,大量资产开始持续发送到0x59A开头地址。

相关链接:https://twitter.com/CertiKAlert/status/1591265704568709122

No.4

11月23日:FenbushiCapital创始合伙人价值4200万美元个人资产被盗,FBI已介入调查。

相关链接:https://twitter.com/boshen1011/status/1595239850596306944

二、安全总结

2022年11月智能合约相关漏洞涉及价格操纵、奖励机制、注入攻击等类型,均为常见攻击手法,如项目上线前,经专业智能合约审计机构进行审计,可避免相关漏洞攻击发生。另外,本月RugPull类项目依旧层出不穷,用户参与相关项目时,需要保持警惕,多方验证项目质量,远离可疑项目。最后,应增强钱包私钥安全意识,避免私钥泄露造成资产损失。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-3:801ms