比特币:黑客超额完成KPI?受影响金额约1.2亿美元 本周Web3安全事件回顾

有黑客用一千万“撬动”Solana生态上亿资金,也有黑客铤而走险,薅起了交易所的羊毛,同时也有一些Web3项目遭遇私钥泄露、闪电贷攻击。

BeosinEagleEyeWeb3安全预警与监控平台监测显示,截止发稿时,本周共发生8起攻击类相关的安全事件,累计受影响金额约1.2亿美元,和Beosin安全团队一起来盘点一下吧。

10月9日?

1.XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍

10月9日,XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍。本次攻击是攻击者通过调用DaoModule合约的executeProposalWithIndex()函数执行了攻击者的恶意提案,使得意外铸造了100,000,000,000,000个RNBW,并将ownership权限转移给攻击者。最后黑客将其兑换为xRNBW。

Vyper贡献者:有理由怀疑由国家支持的黑客参与Curve攻击事件:7月31日消息,智能合约语言Vyper贡献者@fubuloubu针对Curve黑客攻击事件表示,找到该漏洞需要几周到几个月的时间,也许是由一个小团体或团队进行的。我们可能很快就会找到更多信息,但考虑到投入的资源,我认为有理由怀疑国家支持的黑客可能参与其中。

目前只有两个编译器最佳,Vyper的代码库更小,更容易阅读,对其历史进行分析的更改也更少,这可能就是黑客从这里下手的原因,Solidity的代码库要更大一些。

其次,编译器并没有像大家想象的那样受到审查或审计。大多数编译器都会进行重大且频繁的更改,这不利于审计。所有这些都指向最后一个问题:激励问题,即,没有人有动力去寻找编译器中的关键漏洞,尤其是旧版本。

但这并不是Vyper或Curve的终结,我们必须团结起来解决这些类型的公共产品问题,就我个人而言,此前提出过一个提案,该提案将通过添加由用户共同赞助的赏金计划来帮助改进Vyper。[2023/7/31 16:09:00]

2.Jumpnfinance项目发生Rugpull,涉及金额约115万美元

Connext:用户未直接受到Nomad黑客攻击影响:8月3日消息,Layer2互操作性协议Connext针对Nomad合约漏洞事件发推表示,虽然4月Connext称其正在进行网络升级,以允许Connext使用Nomad基础设施进行通用消息传递,但此更改仍在测试网上,因此,Connext用户并未直接受到Nomad黑客攻击的影响。受影响方包括在受影响链上提供流动性的Connext路由器,Connext路由器在受影响链上总共持有约334万美元的madAssets。[2022/8/3 2:55:20]

Jumpnfinance项目Rugpull。攻击者调用0xe156合约的0x6b1d9018()函数,提取了该合约中的用户资产,存放在攻击者地址上。目前被盗资金中2100BNB($581,700)已转入Tornado.Cash,剩余部分2058BNB还存放在攻击者地址。

美国政府试图扣押113个与朝鲜黑客组织有关地址中的加密货币:此前,美国司法部称,两名中国公民因涉嫌帮助朝鲜黑客组织清洗了1亿美元被盗的加密货币,而被指控犯有阴谋罪和经营无证汇款业务罪。周一,另一份对物没收文件显示,美国政府正试图扣押113个不同地址的加密货币,并称这两名被告清洗了“大部分被盗的BTC”。根据这份文件,总共有2.34亿美元的加密货币被盗,包括BTC、ETH、ZEC、DOGE、XRP、LTC和ETC等。大多被盗加密货币通过“剥皮链(peel chains)”进行。注:剥皮链是指一连串交易,通常被用于,在这种交易中,欺诈者会通过多个钱包连续快速地发送资金,通常在每一步将少量资金进行兑现,然后将大部分货币发送到下一个钱包。被告将部分加密货币卖给了美国客户,并通过美国交易所进行交易,此外还涉及一家韩国交易所。美国司法部的一份新闻稿指出,完成清洗的资金帮助朝鲜继续对其他金融行业参与者进行攻击。文件还称,两名被告还与韩国一家交易所“被盗大约4850万美元”的加密货币有关。虽然司法部没有透露该交易所的名称,但Upbit曾在2019年11月27日报告称因黑客攻击而损失了约4900万美元的加密资产。(CoinDesk)[2020/3/4]

声音 | Block.one:81%与黑客相关的漏洞都是由于密码管理不善造成的:昨天,Block.one 发布文章《区块链将成为密码不安全性的解决方案》。文章写道:根据2018年的Verizon数据泄漏调查报告,81%与黑客相关的漏洞都是由于密码管理不善造成的。文章还认为,基于区块链协议构建的用户与应用之间的交互以及额外使用硬件密钥,可创建无缝且无密码的体验,并在用户上线时提供更强大和受保护的环境。[2019/2/2]

10月11日?

1.QANplatform跨链桥遭受黑客攻击,疑似项目方私钥泄露,涉及金额约189万美元

本次事件交易的发起地址是一个疑似项目方的地址,攻击者通过该地址调用跨链桥合约中的bridgeWithdraw函数提取QANX代币,然后把QANX代币兑换为相应平台币,目前被盗资金依然存放在攻击者地址上。

2.Rabby项目遭受黑客攻击,请用户取消对相应合约的授权

本次事件是因为RabbyRouter的_swap函数存在外部调用漏洞,导致任何人都可以通过调用该函数,将授权到该合约用户的资金转走。目前攻击者已在Ethereum,BSC链,polygon,avax,Fantom,optimistic,Arbitrum发起攻击,请用户取消对相应合约的授权。

3.TempleDAO项目遭受黑客攻击,涉及金额约236万美元

本次事件是因为StaxLPStaking合约中的migrateStake函数缺少权限校验,导致任何人都可以通过调用该函数提取合约中的StaxLP。攻击者攻击成功后,把获得的全部StaxLP代币兑换为了ETH。

10月12日?

1.Journeyofawakening(ATK)项目遭受闪电贷攻击

本次事件攻击者通过闪电贷攻击的方式攻击了ATK项目的策略合约,从合约中获取了大量的ATK代币,之后攻击者把获得的全部ATK代币兑换为约12万美元的BSC-USD。

2.Solana生态去中心化交易平台Mango遭遇黑客攻击,影响高达1.16亿美元。

黑客使用了两个账户,一共1000万USDT起始资金。

第一步,攻击者向Mango市场存入了500万USDC。

第二步,攻击者在MNGO-ERP市场创建了一个4.83亿的PlacePerpOrder2头寸。

第三步,MNGO的价格被操纵,从0.0382美元到0.91美元,通过使用一个单独的账户对其头寸进行对手交易。

账户2现在有4.83亿*(0.91-0.03298美元)=4.23亿美元,这使得攻击者可以借出1.16亿美元的资金。

10月13日?

1.FTX交易所遭到gas窃取攻击

FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XENTOKEN。本次事件攻击者通过FTX热钱包多次少量的提取以太坊,FTX热钱包地址会向攻击合约地址多次转入小额的资金,随后会调用到攻击合约的fallback()函数,通过该函数攻击者向Xen合约发起铸币请求。而Xen合约仅需传入一个时间期限,便可支持无成本铸币,只需支付交易Gas费,但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址,达到攻击的目的。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:0ms0-3:550ms