一、基本信息
在头部中心化交易所FTX发生挤兑崩盘,FTX相关资产也遭遇疑似黑客攻击大背景下,2022年11月安全攻击事件共造成约5.2亿美元损失。本月智能合约漏洞方面发生的攻击次数与前两个月相比有所减少,且大部分攻击造成的资产损失金额较低;RugPull相关安全事件发生依旧比较多,甚至有两个项目分别造成上千万美金级别损失;另外,Deribit热钱包和FenbushiCapital创始合伙人钱包安全问题也造成了合计约7000万美金的损失。
1.1REKT盘点
No.1
11月2日,借贷协议Solend遭预言机攻击,攻击者操纵USDH价格,从HubbleStable,Coin98和Kamino借贷池借出超额资产,从而产生126万美元坏账。Solend的USDH价格预言机只有一个数据源,来自Saber协议的USDH-USDC-LP,但是该交易池TVL仅有约$900k,攻击者使用LoopSwap接口,抬高了USDH价格。
攻击者地址:
https://www.oklink.com/zh-cn/sol/account/61wJT43nWMUpDR92wC7pmo6xoJRh2s4kCYRBq4d5XQHZ
相关链接:
https://twitter.com/solendprotocol/status/1587671511137398784
https://twitter.com/0xSymphony/status/1587937449077940224
https://cryptobriefing.com/why-do-solana-defi-protocols-keep-getting-exploited/
No.2
11月2日,NEAR网络SkywardFinance协议国库损失价值约300万美元的110万个NEAR代币。攻击者从RefFinance购买大量SKYWARD代币,然后从SkywardFinance国库协议进行redeem,获得了比SKYWARD价值多很多的NEAR代币。分析发现skyward.near合约的redeem_skyward函数没有正确校验token_account_ids参数,导致攻击者传入相同的token_account_id,并多次领取了WNear奖励。
攻击交易:
https://explorer.near.org/transactions/92Gq7zehKPwSSnpoZ7LGGtSmgmBb4wP2XNDVJqUZRGqz
相关链接:
https://mobile.twitter.com/sanket_naikwadi/status/1587854474587930624
https://twitter.com/BlockSecTeam/status/1587998109648683010
https://www.odaily.news/newsflash/303711
No.3
11月3日,BSC链上的gala.games项目由于pNetwork项目的bridge配置错误导致pTokens代币增发,累计增发55,628,400,000枚pTokens,攻击者已经把部分pTokens兑换成12,976个BNB,攻击者累计获利约434万美元。
攻击地址:
https://www.oklink.com/zh-cn/bsc/address/0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1
第一笔攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e
欧科云链副总裁:区块链新兴技术的发展,离不开健全的法治建设:11月26日,2021第二届区块链法治高峰论坛暨中国科学技术法学会第十四届“创新与法治论坛”在沪顺利举办。欧科云链凭借旗下产品链上天眼近一年来在区块链法治建设成绩,荣获“法治建设重大贡献”奖。
欧科云链副总裁张超在论坛中表示:区块链新兴技术的发展,离不开健全的法治建设。法治合规与技术发展共振,将为我们提供一个完善透明高效、信息对称的区块链体系。在区块链技术应用合规与数据安全方面,欧科云链在行业深耕近九年,未来希望加强与各方合作,在区块链赋能社会治理、实体产业等方向,贡献链上基础数据处理能力。[2021/11/26 12:34:02]
第二笔攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d
相关链接:
https://www.odaily.news/newsflash/303816
No.4
11月5日,MooCakeCTX合约被闪电贷攻击,攻击者获利14万美元。该合约在用户质押前未结算奖励进行复投,这会导致用户在质押后就马上能获取以前的质押分红。攻击者在同一个区块内使用闪电贷借出50000个cake代币后,连续两次进行质押,然后再提取质押的cake代币,归还后获利。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x03d363462519029cf9a544d44046cad0c7e64c5fb1f2adf5dd5438a9a0d2ec8e
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x35700c4a7bd65048f01d6675f09d15771c0facd5
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x71ac864f9388ebd8e55a3cdbc501d79c3810467c
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x489afbaed0ea796712c9a6d366c16ca3876d8184
相关链接:
https://twitter.com/BeosinAlert/status/1589501207181393920
https://twitter.com/CertiKAlert/status/1589428153591615488
No.5
11月9日,ETH链项目brahTOPG被攻击,攻击者获利约9万美元。攻击者构造恶意token,并在该token的approve函数中,将FRAX代币转入被攻击合约,使得合约能成功执行,但是在zapCall.swapTarget.call(zapCall.callData)调用时,由于参数zapCall为攻击者传入参数,使其能够发起USDC.transferFrom,转移授权用户的USDC,从而完成攻击。
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0xeaef2831d4d6bca04e4e9035613be637ae3b0034977673c1c2f10903926f29c0
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0x6fa00a7324dc293ea8ecf56fe3143104494c4213
欧科云链张超:区块链大数据应专注创新研发:9月10日消息,第九届中国中小企业投融会在北京举办,在区块链产业峰会专场论坛上,欧科云链副总裁张超作为区块链企业代表登台,发表了主题演讲。
他指出,区块链大数据作为新基建之一,如果依赖他国技术,会对产业变革,社会经济转型,国家隐私数据带来不可控风险。我们应该从技术、经济、法律、社会等各个维度对其进行思考,积极创新。
张超还表示,区块链大数据业务至今已有较快发展,实现了从底层数据到业务数据的扩展,以及从单链数据到跨链数据的扩展。
据了解,本次峰会邀请到欧科云链集团副总裁张超,欧科云链集团运营总监梁晨,分别参与主题演讲,圆桌对话,就区块链产业发展提供见解。[2021/9/10 23:15:30]
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x60032a41726241499b0c626c836c9099cb895c05
被攻击合约:
https://www.oklink.com/zh-cn/eth/address/0xd248b30a3207a766d318c7a87f5cf334a439446d
相关链接:
https://twitter.com/SlowMist_Team/status/1590685173477101570
https://mp.weixin.qq.com/s/YqO38TAXBQzXZunmZk6naQ
No.6
11月11日,ETH链项目DFXFinance遭到攻击,损失近400万美元。DFX中闪电贷合约对于归还闪电贷的计算方式只与池子中的资金余额有关,Flash方法调用未做同合约同方法和同合约不同方法的重入限制,攻击者通过将资金借出之后通过添加流动性又将资金转入了池子中,因此计算的需要归还的闪电贷资金减少,攻击者之后可以通过归还流动性代币将资金取出。
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0x390def749b71f516d8bf4329a4cb07bb3568a3627c25e607556621182a17f1f9
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0x14c19962e4a899f29b3dd9ff52ebfb5e4cb9a067
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x6cfa86a352339e766ff1ca119c8c40824f41f22d
被攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x46161158b1947d9149e066d6d31af1283b2d377c
相关链接:
https://mp.weixin.qq.com/s/jviwgpwwUpn9AQ36CFEzuQ
https://mp.weixin.qq.com/s/4nLDcPsPRsZGB1c_SH1_qg
No.7
11月16日,BNBChain上的SheepFarm被黑客攻击,黑客获利约7.2万美元。SheepFarm合约的register函数会检查注册用户的timestamp数值为0,确保为新用户。但是用户注册后,该timestamp数值并未更新,攻击者可以重复调用register接口。每次register调用,都会有GEM_BONUS分配给黑客,黑客最后兑换为BNB获利。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x9c3c513d54d59451ea7b07539aee9132f402d7e8f5bc025d609a16e559ee6ddf
港股收盘:欧科云链收涨25% 火币科技收涨27.12%:金色财经报道,今日港股收盘,恒生指数收盘报31084.94,收涨1.1%;欧科集团旗下欧科云链(01499.HK)报0.75港元,收涨25%;火币科技(01611.HK)报24港元,收涨27.12%。[2021/2/17 17:24:13]
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x2131c67ed7b6aa01b7aa308c71991ef5baedd049
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0xf2db8665d82e1a23895ed78b213d36d62eec6bbc
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x4726010da871f4b57b5031e3ea48bde961f122aa
相关链接:
https://twitter.com/BlockSecTeam/status/1592734292727455744
No.8
11月21日,BSC链上合约sDAO被攻击,黑客获利1.4万BUSD。黑客从DODO闪电贷500BUSD,部分兑换成sDAO代币后添加流动性,然后通过withdrawTeam接口将sDAO合约全部的LPtoken取出。由于getReward接口计算是依赖sDAO合约内LPtoken的余额,黑客通过tranfer从攻击合约转给sDAO合约0.013个LPtoken,控制该数值为一个很小数值,然后通过getReward接口从sDAO获得约370万个sDAO,卖出获利1.4万BUSD。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0xb3ac111d294ea9dedfd99349304a9606df0b572d05da8cedf47ba169d10791ed
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0xa1b6d1f23931911ecd1920df49ee7a79cf7b8983
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x2b9eff2f254662e0f16b9adc249aaa509b1c58d4
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x6666625ab26131b490e7015333f97306f05bf816
相关链接:
20221121-sDAO攻击事件分析
No.9
11月23日,ETH链上的NumbersProtocol代币项目遭到攻击,攻击者获利约1.4万美元。攻击者创建了一个恶意的anyToken代币,该恶意代币合约的底层代币指向NUM代币地址;接着调用Multichain跨链桥的Router合约的anySwapOutUnderlyingWithPermit函数,该函数的功能是传入anyToken并调用底层代币的permit函数进行签名批准,之后兑换出拥有授权的用户的底层代币给指定地址。由于NUM代币中没有permit函数且拥有回调功能,所以即使攻击者传入假签名也能正常返回使得交易不会失败,导致受害者地址的NUM代币最终可以被转出到指定的攻击合约中;接着攻击者将获利的NUM代币通过Uniswap换成USDC再换成ETH获利。
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0x8a8145ab28b5d2a2e61d74c02c12350731f479b3175893de2014124f998bff32
港股收盘:欧科云链收涨51.90% 火币科技收涨37.41%:金色财经报道,今日港股收盘,恒生指数收盘报30746.66,收涨1.90%;欧科集团旗下欧科云链(01499.HK)报0.6港元,收涨51.90%;火币科技(01611.HK)报18.88港元,收涨37.41%。[2021/2/16 19:52:40]
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0xb792faf099991f96c5dfef037ae9f248186d9b30
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x00000000000747d525e898424e8774f7eb317d00
被攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x765277eebeca2e31912c9946eae1021199b39c61
相关链接:
https://www.odaily.news/newsflash/305776
No.10
11月29日,BSC链SEAMAN合约遭受漏洞攻击,黑客获利约8000BUSD。SEAMAN合约在transfer函数时中将SEAMAN代币兑代币GVC,攻击者可以利用该函数影响代币的价格。攻击者首先将50万BUSD兑换为GVC代币,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,从而消耗BUSD-GVC交易对中GVC的数量,抬高该交易对中GVC的价格。最后攻击者卖出之前兑换的GVC兑换了50.7万的BUSD获利。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x6f1af27d08b10caa7e96ec3d580bf39e29fd5ece00abda7d8955715403bf34a8
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x4b1f47be1f678076f447585beba025e3a046a9fa
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x0e647d34c4caf61d9e377a059a01b5c85ab1d82a
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x6bc9b4976ba6f8c9574326375204ee469993d038
相关链接:
https://www.odaily.news/newsflash/306290
No.11
11月30日,BSC链MBC和ZZSH合约遭受漏洞攻击,黑客获利约5600BUSD。MBC合约与ZZSH合约代码实现相同,黑客利用闪电贷借出BUSD后,首先购买MBC和ZZSH代币,然后利用swapAndLiquifyStepv1函数添加流动性,该函数将token合约内资产添加到pair合约,黑客最后将之前购买的MBC和ZZSH代币售出获利。漏洞核心在于swapAndLiquifyStepv1没有权限控制,导致黑客可以通过swap将代币价格推高后,再利用该函数将代币合约内资产添加流动性,再将代币卖出获利。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0xdc53a6b5bf8e2962cf0e0eada6451f10956f4c0845a3ce134ddb050365f15c86
港股收盘:欧科云链收跌2.23%,火币科技收涨1.80%:金色财经报道,今日港股收盘,恒生指数报23384.666点,收涨1.88%;欧科集团旗下欧科云链(01499.HK)报0.175点,收跌2.23%;火币科技(01611.HK)报2.830点,收涨1.80%。雄岸科技(01647.HK)报0.241点,收跌2.82%[2020/5/26]
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x9cc3270de4a3948449c1a73eabff5d0275f60785
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x0b13d2b0d8571c3e8689158f6db1eedf6e9602d3
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x4e87880a72f6896e7e0a635a5838ffc89b13bd17
https://www.oklink.com/zh-cn/bsc/address/0xee04a3f9795897fd74b7f04bb299ba25521606e6
相关链接:
20221129-MBC/ZZSH攻击案例
1.2RugPull盘点
No.1
11月1日,BSC链项目FITE项目疑似RugPull,攻击者转移1900枚BNB,获利约62.2万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xe4182e57eeb29fbc2b3469e45c9e385cea8995ab
相关链接:
https://twitter.com/PeckShieldAlert/status/1587368026571436032
No.2
11月3日,MetFX项目疑似发生Rugpull,部署者获利约13万美元。
相关链接:https://twitter.com/PeckShieldAlert/status/1588037702599200768
No.3
11月8日,BSC链项目DefiWzToken(DEFIWZ)发生RugPull,攻击者获利约20.8万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x418db510b4f1cf33565c459cfb6d838bbbbff8f9
相关链接:
https://twitter.com/CertiKAlert/status/1589722752277045248
No.4
11月8日,BSC链项目DeFiSafe(dSafe)发生RugPull,攻击者获利约12.7万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x761776f726168c9df6dc63d5864880801e21f403
相关链接:
https://twitter.com/CertiKAlert/status/1589650367507271680
No.5
11月8日,BSC链项目SSIDToken(SSID)发生RugPull,攻击者获利约15.8万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xC3241e111CCd9CF6c5a11dADE9498070082F2ed3
相关链接:
https://twitter.com/CertiKAlert/status/1589708844829405184
No.5
11月11日,ETH链项目DefiForge(FORGE)发生RugPull,攻击者获利约6.5万美元。\n合约地址:
https://www.oklink.com/zh-cn/eth/address/0x5198625a8abf34a0d2a1f262861ff3b3079302bf
相关链接:
https://twitter.com/CertiKAlert/status/1591611068786257920
No.7
11月13日,BNBChain项目DeFiAI项目发生Rugpull,合约部署者获利约4000万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x6548a320d3736920cad8a2cfbfefdb14db6376ea
相关链接:
https://twitter.com/DeFiAiOfficial/status/1591783217040064513
No.8
11月15日,BNBChain项目Ranger发生RugPull,攻击者获利约8万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xc9efd09c8170e5ce43219967a0564a9b610e5ea2
相关链接:
https://twitter.com/CertiKAlert/status/1592402249523023878
No.9
11月16日,BNBChain项目FLARE发生RugPull,攻击者获利约1800万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x192e9321b6244d204d4301afa507eb29ca84d9ef
相关链接:
https://mp.weixin.qq.com/s/Ynhc_9TWUY2iGWZWrfzThA
https://twitter.com/lunaray_sec/status/1592790172206526464
No.10
11月17日,BNBChain项目BoxerInuFinance发生RugPull,攻击者获利约14万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x6867d4a17f3ff5602024b7c2a33df2fd9aeafcfe
相关链接:
https://twitter.com/CertiKAlert/status/1592947070411100160
No.11
11月17日,BNBChain项目META项目发生RugPull,合约部署者获利约6万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x40Be57E8910dA65f5B98746C730E26941aB3824A
相关链接:
https://twitter.com/CertiKAlert/status/1592929004255862786
No.12
11月29日,BNBChain项目TrustBridge(TWG)发生RugPull,合约部署者获利约7万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x737F5942D70f8F433d65823535e7Ae1DE1950d8e
相关链接:
https://twitter.com/CertiKAlert/status/1594409841396678659
No.13
11月28日,BNBChain项目IOTN发生RugPull,合约部署者卖出4.3亿IOTN代币。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xabe6efdefa75c18bd0f6b65abddcd8dda3992caf
相关链接:
https://twitter.com/CertiKAlert/status/1597031934789652482
No.14
11月29日,BNBChain项目BTC-POR发生RugPull,合约部署者获利约7万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x7e20fec0e64e81e4b9812bd4886cd1fd3ad4df45
相关链接:
https://twitter.com/CertiKAlert/status/1597381475481128961
1.3社媒与钓鱼盘点
No.1
11月1日,Generativemasks项目Discord服务器遭攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1587219096399233027
No.2
11月1日,KUMALEON项目Discord遭攻击,111枚NFT被盗,包括BAYC#5313,ENS,ALIENFRENS和ArtBlocks。
相关链接:https://twitter.com/PeckShieldAlert/status/1587271475475939328
No.3
11月12日,PlayAFAR项目Discord服务器遭攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1591099470036570113
No.4
11月19日,MitsubishiNFT项目Discord服务器遭受攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1593758516602318854
No.5
11月23日,SensiLabs项目Discord服务器遭受攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1595215783654658048
No.6
11月28日,Shamanzs项目Discord服务器遭受攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1597076228749533185
1.4其他
No.1
11月2日,Deribit热钱包被盗2800万美元,损失将由公司储备金弥补。
相关链接:https://twitter.com/DeribitExchange/status/1587701883778523136
No.2
11月2日,Rubic项目管理员地址私钥疑被泄露,攻击者已出售约3400万RBC/BRBC。
相关链接:https://twitter.com/CryptoRubic/status/1587801263781171203
No.3
11月12日,FTX疑似遭遇攻击,大量资产开始持续发送到0x59A开头地址。
相关链接:https://twitter.com/CertiKAlert/status/1591265704568709122
No.4
11月23日:FenbushiCapital创始合伙人价值4200万美元个人资产被盗,FBI已介入调查。
相关链接:https://twitter.com/boshen1011/status/1595239850596306944
二、安全总结
2022年11月智能合约相关漏洞涉及价格操纵、奖励机制、注入攻击等类型,均为常见攻击手法,如项目上线前,经专业智能合约审计机构进行审计,可避免相关漏洞攻击发生。另外,本月RugPull类项目依旧层出不穷,用户参与相关项目时,需要保持警惕,多方验证项目质量,远离可疑项目。最后,应增强钱包私钥安全意识,避免私钥泄露造成资产损失。
TRONDAOVentures致力于培养精英初创企业,通过全面投资和战略优化赋能企业发展。TRONDAO生态系统基金长期致力于实现去中心化.
1900/1/1 0:00:00据官方消息,Tether宣布在波场TRON上推出锚定离岸人民币的稳定币CNH?。波场创始人孙宇晨表示“这是加密货币和亚洲社区的重要里程碑.
1900/1/1 0:00:00日本金融厅预计,今年6月日本将允许使用部分稳定币日本金融厅正致力于解除对日本国内分销稳定币的禁令,计划在今年晚些时候允许某些稳定币进入市场.
1900/1/1 0:00:00随着数字经济的持续发展,新兴科技概念Web3走进人们的视野。几乎每一个人都想知道,Web3究竟给这个数字经济新时代带来怎样的机会?创业者和投资人作为Web3生态的参与者,他们的哲思又是什么? 2.
1900/1/1 0:00:00BitfinexAlpha|我们仍未摆脱经济衰退的担忧和困境,但比特币行情依然保持看涨对于市场和经济政策制定者来说,目前的难题是当经济数据表明经济放缓时,这被认为是积极的讯号.
1900/1/1 0:00:002022波场黑客松大赛第三季所有参赛项目均已完成提交,参赛项目分布各个赛道。其中,Web3和NFT赛道最为火热,分别吸引63、50个项目.
1900/1/1 0:00:00