木星链 木星链
Ctrl+D收藏木星链
首页 > PEPE > 正文

FIN:黑客超额完成KPI?受影响金额约1.2亿美元 本周Web3安全事件回顾

作者:

时间:1900/1/1 0:00:00

有黑客用一千万“撬动”Solana 生态上亿资金,也有黑客铤而走险,薅起了交易所的羊毛,同时也有一些Web3项目遭遇私钥泄露、闪电贷攻击。

Beosin EagleEye Web3安全预警与监控平台监测显示,截止发稿时,本周共发生8起攻击类相关的安全事件,累计受影响金额约1.2亿美元,和Beosin安全团队一起来盘点一下吧。

10月9日 

1. XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍

10月9日,XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍。本次攻击是攻击者通过调用DaoModule合约的executeProposalWithIndex()函数执行了攻击者的恶意提案,使得意外铸造了100,000,000,000,000个RNBW,并将ownership权限转移给攻击者。最后黑客将其兑换为xRNBW。

Crypto.com CEO 承认 400 多个客户账户遭遇黑客攻击,受损账户已得到赔偿:1月20日消息,美国加密货币交易所Crypto.com的CEO Kris Marszalek在接受彭博社电视采访时承认,其交易所内400多个客户的交易账户受到了黑客攻击。其称,该交易所在攻击事件发生后“大约 13-14 小时”重新上线,受影响的账户均已获得赔偿。

Marszalek表示,事件原因仍在调查过程中,未来几天内将在公司博客公开调查结果。(Techcrunch)[2022/1/20 9:00:54]

2. Jumpnfinance项目发生Rugpull,涉及金额约115万美元

Jumpnfinance项目Rugpull。攻击者调用0xe156合约的0x6b1d9018()函数,提取了该合约中的用户资产,存放在攻击者地址上。目前被盗资金中2100 BNB ($581,700)已转入Tornado.Cash,剩余部分2058 BNB($571,128)还存放在攻击者地址。

Bitfinex黑客再次转移超2018枚比特币:金色财经报道,据Whale Alert数据,此前在北京时间7月28日00:40,四笔共531.94枚Bitfinex于2016年被盗的比特币被转入四个不同的未知钱包地址。随后在1:48,Bitfinex黑客再次分5次转移了共约2018.69枚BTC。这九笔共2550.63枚比特币目前价值约2764万美元。据悉,2016年8月,Bitfinex遭到黑客攻击,安全漏洞导致近12万枚比特币被盗。[2020/7/28]

1. QANplatform跨链桥遭受黑客攻击,疑似项目方私钥泄露,涉及金额约189万美元

本次事件交易的发起地址是一个疑似项目方的地址,攻击者通过该地址调用跨链桥合约中的bridgeWithdraw函数提取QANX代币,然后把QANX代币兑换为相应平台币,目前被盗资金依然存放在攻击者地址上。

黑客组织NetWalker袭击三所美国大学并索要比特币赎金:金色财经报道,黑客组织NetWalker声称在过去七天内成功攻击了三所大学,包括密歇根州立大学、芝加哥哥伦比亚学院和加州大学旧金山分校。NetWalker黑客组织在其博客上称他们窃取了这些学校的敏感数据,包括学生姓名、社会安全号码和财务信息。NetWalker威胁称,如果不支付比特币,将在不到一周的时间内泄露这些数据。[2020/6/5]

2. Rabby项目遭受黑客攻击,请用户取消对相应合约的授权

本次事件是因为RabbyRouter的_swap函数存在外部调用漏洞,导致任何人都可以通过调用该函数,将授权到该合约用户的资金转走。目前攻击者已在Ethereum,BSC链,polygon,avax,Fantom,optimistic,Arbitrum发起攻击,请用户取消对相应合约的授权。

匿名黑客在暗网出售1.29亿俄罗斯车主的数据以获取比特币:援引俄罗斯媒体RBC报道称,匿名黑客获取了超过1.29亿俄罗斯车主的数据,并将其暴露在“暗网”上,以获取加密货币。据报道,泄露的信息包括数百万俄罗斯汽车司机的全名、地址、护照号码和其他数据。当地一家汽车共享公司的一名员工证实了数据的真实性。RBC援引当地媒体Vedomosti 的报告称,泄露的数据将以加密货币的形式出售,数据库的完整版本为0.3 BTC。报告指出,黑客还提出以1.5 BTC(14400美元)的价格购买一些“独家”数据。(Cointelegraph)[2020/5/15]

3. TempleDAO项目遭受黑客攻击,涉及金额约236万美元

本次事件是因为StaxLPStaking合约中的migrateStake函数缺少权限校验,导致任何人都可以通过调用该函数提取合约中的StaxLP。攻击者攻击成功后,把获得的全部StaxLP代币兑换为了ETH。

1. Journey of awakening (ATK)项目遭受闪电贷攻击

本次事件攻击者通过闪电贷攻击的方式攻击了ATK项目的策略合约,从合约中获取了大量的ATK代币,之后攻击者把获得的全部ATK代币兑换为约12万美元的BSC-USD。

2. Solana 生态去中心化交易平台 Mango遭遇黑客攻击,影响高达 1.16 亿美元。

黑客使用了两个账户,一共1000万USDT起始资金。

第一步,攻击者向Mango市场存入了500万USDC。

第二步,攻击者在MNGO-ERP市场创建了一个4.83亿的PlacePerpOrder2头寸。

第三步,MNGO的价格被操纵,从0.0382美元到0.91美元,通过使用一个单独的账户(账户2)对其头寸进行对手交易。

账户2现在有4.83亿*(0.91-0.03298美元)=4.23亿美元,这使得攻击者可以借出1.16亿美元的资金。

1. FTX交易所遭到gas窃取攻击

FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。本次事件攻击者通过FTX热钱包多次少量的提取以太坊,FTX热钱包地址会向攻击合约地址多次转入小额的资金,随后会调用到攻击合约的fallback()函数,通过该函数攻击者向Xen合约发起铸币请求。而Xen合约仅需传入一个时间期限,便可支持无成本铸币,只需支付交易Gas费,但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址,达到攻击的目的。

Beosin

企业专栏

阅读更多

白话区块链

金色财经Maxwell

NFT中文社区

CoinDesk中文

达瓴智库

去中心化金融社区

金色荐读

肖飒lawyer

CT中文

ETH中文

ForesightNews

标签:FINFTX比特币GASR3fi.financePHUNK Vault (NFTX)比特币svb0XGAS币

PEPE热门资讯
比特币:浅谈:项目方代币归属期到底需要多长时间?

让我们想象这样一个情况:一个加密初创公司为一家股权实体从风投那里筹集了资金,并计划在未来为该股权实体筹集更多资金。这家初创公司还计划在未来推出代币.

1900/1/1 0:00:00
WEB:你的Web3域名 价值究竟何在?

原文标题:《你的 Web3 域名,价值究竟何在?》原文作者:mtyl.eth当你又一次听说某 Web3 域名被卖出天价的时候,当你又一次看到身边一位 Web3 朋友改用域名作为其用户名的时候.

1900/1/1 0:00:00
ZKP:深度探讨Web3时代的ZKP如何迈向主流?

原文标题:《ZKPs in Web3: Now and the Future》原文作者:Mohamed Fouda、Qiao Wang原文编译:Frank.

1900/1/1 0:00:00
WEB:Web3 从入门到精通

原文作者:WHeart其实在很早之前,我就计划写一篇《Web3 新手教程》,送给 想要进入Web3 或者 刚刚进入Web3 的小伙伴,但是考虑到两点原因,我还是打算把这件事推迟一些时日.

1900/1/1 0:00:00
加密货币:金色早报 | SBF:FTX 没有参与火币全球收购

▌伊朗比特币倡导者Ziya Sadr被伊朗安全部队逮捕金色财经报道,据多个消息来源称,伊朗的比特币倡导者Ziya Sadr上个月被伊朗安全部队逮捕.

1900/1/1 0:00:00
区块链:谷歌三星腾讯 全球上市公司巨头投资了哪些区块链项目?

作者 | blockdata最近,我们分析了投资区块链/加密货币的前 100 家银行(按资产管理规模,AUM),以了解他们支持的关键用例.

1900/1/1 0:00:00