一、基本信息
在头部中心化交易所FTX发生挤兑崩盘,FTX相关资产也遭遇疑似黑客攻击大背景下,2022年11月安全攻击事件共造成约5.2亿美元损失。本月智能合约漏洞方面发生的攻击次数与前两个月相比有所减少,且大部分攻击造成的资产损失金额较低;RugPull相关安全事件发生依旧比较多,甚至有两个项目分别造成上千万美金级别损失;另外,Deribit热钱包和FenbushiCapital创始合伙人钱包安全问题也造成了合计约7000万美金的损失。
1.1REKT盘点
No.1
11月2日,借贷协议Solend遭预言机攻击,攻击者操纵USDH价格,从HubbleStable,Coin98和Kamino借贷池借出超额资产,从而产生126万美元坏账。Solend的USDH价格预言机只有一个数据源,来自Saber协议的USDH-USDC-LP,但是该交易池TVL仅有约$900k,攻击者使用LoopSwap接口,抬高了USDH价格。
攻击者地址:
https://www.oklink.com/zh-cn/sol/account/61wJT43nWMUpDR92wC7pmo6xoJRh2s4kCYRBq4d5XQHZ
相关链接:
https://twitter.com/solendprotocol/status/1587671511137398784
https://twitter.com/0xSymphony/status/1587937449077940224
https://cryptobriefing.com/why-do-solana-defi-protocols-keep-getting-exploited/
No.2
11月2日,NEAR网络SkywardFinance协议国库损失价值约300万美元的110万个NEAR代币。攻击者从RefFinance购买大量SKYWARD代币,然后从SkywardFinance国库协议进行redeem,获得了比SKYWARD价值多很多的NEAR代币。分析发现skyward.near合约的redeem_skyward函数没有正确校验token_account_ids参数,导致攻击者传入相同的token_account_id,并多次领取了WNear奖励。
攻击交易:
https://explorer.near.org/transactions/92Gq7zehKPwSSnpoZ7LGGtSmgmBb4wP2XNDVJqUZRGqz
相关链接:
https://mobile.twitter.com/sanket_naikwadi/status/1587854474587930624
https://twitter.com/BlockSecTeam/status/1587998109648683010
https://www.odaily.news/newsflash/303711
No.3
11月3日,BSC链上的gala.games项目由于pNetwork项目的bridge配置错误导致pTokens代币增发,累计增发55,628,400,000枚pTokens,攻击者已经把部分pTokens兑换成12,976个BNB,攻击者累计获利约434万美元。
攻击地址:
https://www.oklink.com/zh-cn/bsc/address/0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1
第一笔攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e
欧科云链集团正式启动区块链科普行动“星途计划”:欧科云链集团于4月26日,正式宣布启动了区块链科普行动——“星途计划”,行动包括将在全国范围展开系列沙龙,加大力度推进区块链科普进机关、进国企、进校园等,联合政府部门、行业协会等共同构建起更加完善和有效的区块链科普教育生态,与此同时,直击区块链科普现存痛点,推出简单易懂的“秒懂区块链”公益短视频课。
该计划旨在全维度推动社会建立对产业更清晰的认知,与“鲲鹏计划”一道助力数字经济及区块链产业本身健康发展夯实“人才”和“产业认知”两大基础。[2021/4/26 20:59:37]
第二笔攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d
相关链接:
https://www.odaily.news/newsflash/303816
No.4
11月5日,MooCakeCTX合约被闪电贷攻击,攻击者获利14万美元。该合约在用户质押前未结算奖励进行复投,这会导致用户在质押后就马上能获取以前的质押分红。攻击者在同一个区块内使用闪电贷借出50000个cake代币后,连续两次进行质押,然后再提取质押的cake代币,归还后获利。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x03d363462519029cf9a544d44046cad0c7e64c5fb1f2adf5dd5438a9a0d2ec8e
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x35700c4a7bd65048f01d6675f09d15771c0facd5
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x71ac864f9388ebd8e55a3cdbc501d79c3810467c
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x489afbaed0ea796712c9a6d366c16ca3876d8184
相关链接:
https://twitter.com/BeosinAlert/status/1589501207181393920
https://twitter.com/CertiKAlert/status/1589428153591615488
No.5
11月9日,ETH链项目brahTOPG被攻击,攻击者获利约9万美元。攻击者构造恶意token,并在该token的approve函数中,将FRAX代币转入被攻击合约,使得合约能成功执行,但是在zapCall.swapTarget.call(zapCall.callData)调用时,由于参数zapCall为攻击者传入参数,使其能够发起USDC.transferFrom,转移授权用户的USDC,从而完成攻击。
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0xeaef2831d4d6bca04e4e9035613be637ae3b0034977673c1c2f10903926f29c0
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0x6fa00a7324dc293ea8ecf56fe3143104494c4213
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x60032a41726241499b0c626c836c9099cb895c05
港股收盘:欧科云链收跌1.65% 火币科技收跌1.23%:今日港股收盘,恒生指数收盘报23941.10点,收跌2.10%;欧科集团旗下欧科云链(01499.HK)报0.179港元,收跌1.65%;火币科技(01611.HK)报4.00港元,收跌1.23%。[2020/9/21]
被攻击合约:
https://www.oklink.com/zh-cn/eth/address/0xd248b30a3207a766d318c7a87f5cf334a439446d
相关链接:
https://twitter.com/SlowMist_Team/status/1590685173477101570
https://mp.weixin.qq.com/s/YqO38TAXBQzXZunmZk6naQ
No.6
11月11日,ETH链项目DFXFinance遭到攻击,损失近400万美元。DFX中闪电贷合约对于归还闪电贷的计算方式只与池子中的资金余额有关,Flash方法调用未做同合约同方法和同合约不同方法的重入限制,攻击者通过将资金借出之后通过添加流动性又将资金转入了池子中,因此计算的需要归还的闪电贷资金减少,攻击者之后可以通过归还流动性代币将资金取出。
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0x390def749b71f516d8bf4329a4cb07bb3568a3627c25e607556621182a17f1f9
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0x14c19962e4a899f29b3dd9ff52ebfb5e4cb9a067
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x6cfa86a352339e766ff1ca119c8c40824f41f22d
被攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x46161158b1947d9149e066d6d31af1283b2d377c
相关链接:
https://mp.weixin.qq.com/s/jviwgpwwUpn9AQ36CFEzuQ
https://mp.weixin.qq.com/s/4nLDcPsPRsZGB1c_SH1_qg
No.7
11月16日,BNBChain上的SheepFarm被黑客攻击,黑客获利约7.2万美元。SheepFarm合约的register函数会检查注册用户的timestamp数值为0,确保为新用户。但是用户注册后,该timestamp数值并未更新,攻击者可以重复调用register接口。每次register调用,都会有GEM_BONUS分配给黑客,黑客最后兑换为BNB获利。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x9c3c513d54d59451ea7b07539aee9132f402d7e8f5bc025d609a16e559ee6ddf
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x2131c67ed7b6aa01b7aa308c71991ef5baedd049
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0xf2db8665d82e1a23895ed78b213d36d62eec6bbc
欧科云链OKLink正式上线DASH区块链浏览器:北京时间2020年7月13日,欧科云链OKLink正式上线DASH区块链浏览器。该浏览器延续其他币种浏览器基本功能外,OKLink DASH浏览器全网首推DASH矿池排名数据,还将陆续添加更多专业统计数据。
欧科云链OKLink是区块链大数据上市公司打造的区块链信息服务网站,旨在利用区块链+大数据技术为用户提供高可用的区块链信息服务。[2020/7/13]
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x4726010da871f4b57b5031e3ea48bde961f122aa
相关链接:
https://twitter.com/BlockSecTeam/status/1592734292727455744
No.8
11月21日,BSC链上合约sDAO被攻击,黑客获利1.4万BUSD。黑客从DODO闪电贷500BUSD,部分兑换成sDAO代币后添加流动性,然后通过withdrawTeam接口将sDAO合约全部的LPtoken取出。由于getReward接口计算是依赖sDAO合约内LPtoken的余额,黑客通过tranfer从攻击合约转给sDAO合约0.013个LPtoken,控制该数值为一个很小数值,然后通过getReward接口从sDAO获得约370万个sDAO,卖出获利1.4万BUSD。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0xb3ac111d294ea9dedfd99349304a9606df0b572d05da8cedf47ba169d10791ed
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0xa1b6d1f23931911ecd1920df49ee7a79cf7b8983
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x2b9eff2f254662e0f16b9adc249aaa509b1c58d4
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x6666625ab26131b490e7015333f97306f05bf816
相关链接:
20221121-sDAO攻击事件分析
No.9
11月23日,ETH链上的NumbersProtocol代币项目遭到攻击,攻击者获利约1.4万美元。攻击者创建了一个恶意的anyToken代币,该恶意代币合约的底层代币指向NUM代币地址;接着调用Multichain跨链桥的Router合约的anySwapOutUnderlyingWithPermit函数,该函数的功能是传入anyToken并调用底层代币的permit函数进行签名批准,之后兑换出拥有授权的用户的底层代币给指定地址。由于NUM代币中没有permit函数且拥有回调功能,所以即使攻击者传入假签名也能正常返回使得交易不会失败,导致受害者地址的NUM代币最终可以被转出到指定的攻击合约中;接着攻击者将获利的NUM代币通过Uniswap换成USDC再换成ETH获利。
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0x8a8145ab28b5d2a2e61d74c02c12350731f479b3175893de2014124f998bff32
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0xb792faf099991f96c5dfef037ae9f248186d9b30
港股收盘:火币科技收跌1.24% 欧科云链收涨2.74%:今日港股收盘,恒生指数报26339.16点,收涨3.81%;欧科集团旗下欧科云链(01499.HK)报0.225点,收涨2.74%;火币科技(01611.HK)报3.180点,收跌1.24%;雄岸科技(01647.HK)报0.225点,收涨0.45%。[2020/7/6]
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x00000000000747d525e898424e8774f7eb317d00
被攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x765277eebeca2e31912c9946eae1021199b39c61
相关链接:
https://www.odaily.news/newsflash/305776
No.10
11月29日,BSC链SEAMAN合约遭受漏洞攻击,黑客获利约8000BUSD。SEAMAN合约在transfer函数时中将SEAMAN代币兑代币GVC,攻击者可以利用该函数影响代币的价格。攻击者首先将50万BUSD兑换为GVC代币,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,从而消耗BUSD-GVC交易对中GVC的数量,抬高该交易对中GVC的价格。最后攻击者卖出之前兑换的GVC兑换了50.7万的BUSD获利。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0x6f1af27d08b10caa7e96ec3d580bf39e29fd5ece00abda7d8955715403bf34a8
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x4b1f47be1f678076f447585beba025e3a046a9fa
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x0e647d34c4caf61d9e377a059a01b5c85ab1d82a
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x6bc9b4976ba6f8c9574326375204ee469993d038
相关链接:
https://www.odaily.news/newsflash/306290
No.11
11月30日,BSC链MBC和ZZSH合约遭受漏洞攻击,黑客获利约5600BUSD。MBC合约与ZZSH合约代码实现相同,黑客利用闪电贷借出BUSD后,首先购买MBC和ZZSH代币,然后利用swapAndLiquifyStepv1函数添加流动性,该函数将token合约内资产添加到pair合约,黑客最后将之前购买的MBC和ZZSH代币售出获利。漏洞核心在于swapAndLiquifyStepv1没有权限控制,导致黑客可以通过swap将代币价格推高后,再利用该函数将代币合约内资产添加流动性,再将代币卖出获利。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0xdc53a6b5bf8e2962cf0e0eada6451f10956f4c0845a3ce134ddb050365f15c86
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x9cc3270de4a3948449c1a73eabff5d0275f60785
欧科云链信托注册为信托公司申请获批:6月19日,欧科云链(01499.HK)发布公告称,欧科云链信托注册为信托公司申请获批,香港公司注册处在6月17日发出信托公司注册证明书。
1月21日,欧科云链曾发布公告,间接全资子公司前进发展企业有限公司的信託牌照申请获批。欧科云链下属信托牌照持有方更名欧科云链信托,此番信托公司注册获批。
欧科集团方面表示,1月获发的,是为满足反条例的要求的信托或公司服务提供者牌照,提供公司服务即秘书公司等也需持有;此次是获批的是依据信托条例申请的从事信托业务的牌照。据称,欧科云链尚未开始提供信托或公司服务。[2020/6/20]
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x0b13d2b0d8571c3e8689158f6db1eedf6e9602d3
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x4e87880a72f6896e7e0a635a5838ffc89b13bd17
https://www.oklink.com/zh-cn/bsc/address/0xee04a3f9795897fd74b7f04bb299ba25521606e6
相关链接:
20221129-MBC/ZZSH攻击案例
1.2RugPull盘点
No.1
11月1日,BSC链项目FITE项目疑似RugPull,攻击者转移1900枚BNB,获利约62.2万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xe4182e57eeb29fbc2b3469e45c9e385cea8995ab
相关链接:
https://twitter.com/PeckShieldAlert/status/1587368026571436032
No.2
11月3日,MetFX项目疑似发生Rugpull,部署者获利约13万美元。
相关链接:https://twitter.com/PeckShieldAlert/status/1588037702599200768
No.3
11月8日,BSC链项目DefiWzToken(DEFIWZ)发生RugPull,攻击者获利约20.8万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x418db510b4f1cf33565c459cfb6d838bbbbff8f9
相关链接:
https://twitter.com/CertiKAlert/status/1589722752277045248
No.4
11月8日,BSC链项目DeFiSafe(dSafe)发生RugPull,攻击者获利约12.7万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x761776f726168c9df6dc63d5864880801e21f403
相关链接:
https://twitter.com/CertiKAlert/status/1589650367507271680
No.5
11月8日,BSC链项目SSIDToken(SSID)发生RugPull,攻击者获利约15.8万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xC3241e111CCd9CF6c5a11dADE9498070082F2ed3
相关链接:
https://twitter.com/CertiKAlert/status/1589708844829405184
No.5
11月11日,ETH链项目DefiForge(FORGE)发生RugPull,攻击者获利约6.5万美元。\n合约地址:
https://www.oklink.com/zh-cn/eth/address/0x5198625a8abf34a0d2a1f262861ff3b3079302bf
相关链接:
https://twitter.com/CertiKAlert/status/1591611068786257920
No.7
11月13日,BNBChain项目DeFiAI项目发生Rugpull,合约部署者获利约4000万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x6548a320d3736920cad8a2cfbfefdb14db6376ea
相关链接:
https://twitter.com/DeFiAiOfficial/status/1591783217040064513
No.8
11月15日,BNBChain项目Ranger发生RugPull,攻击者获利约8万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xc9efd09c8170e5ce43219967a0564a9b610e5ea2
相关链接:
https://twitter.com/CertiKAlert/status/1592402249523023878
No.9
11月16日,BNBChain项目FLARE发生RugPull,攻击者获利约1800万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x192e9321b6244d204d4301afa507eb29ca84d9ef
相关链接:
https://mp.weixin.qq.com/s/Ynhc_9TWUY2iGWZWrfzThA
https://twitter.com/lunaray_sec/status/1592790172206526464
No.10
11月17日,BNBChain项目BoxerInuFinance发生RugPull,攻击者获利约14万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x6867d4a17f3ff5602024b7c2a33df2fd9aeafcfe
相关链接:
https://twitter.com/CertiKAlert/status/1592947070411100160
No.11
11月17日,BNBChain项目META项目发生RugPull,合约部署者获利约6万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x40Be57E8910dA65f5B98746C730E26941aB3824A
相关链接:
https://twitter.com/CertiKAlert/status/1592929004255862786
No.12
11月29日,BNBChain项目TrustBridge(TWG)发生RugPull,合约部署者获利约7万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x737F5942D70f8F433d65823535e7Ae1DE1950d8e
相关链接:
https://twitter.com/CertiKAlert/status/1594409841396678659
No.13
11月28日,BNBChain项目IOTN发生RugPull,合约部署者卖出4.3亿IOTN代币。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xabe6efdefa75c18bd0f6b65abddcd8dda3992caf
相关链接:
https://twitter.com/CertiKAlert/status/1597031934789652482
No.14
11月29日,BNBChain项目BTC-POR发生RugPull,合约部署者获利约7万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x7e20fec0e64e81e4b9812bd4886cd1fd3ad4df45
相关链接:
https://twitter.com/CertiKAlert/status/1597381475481128961
1.3社媒与钓鱼盘点
No.1
11月1日,Generativemasks项目Discord服务器遭攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1587219096399233027
No.2
11月1日,KUMALEON项目Discord遭攻击,111枚NFT被盗,包括BAYC#5313,ENS,ALIENFRENS和ArtBlocks。
相关链接:https://twitter.com/PeckShieldAlert/status/1587271475475939328
No.3
11月12日,PlayAFAR项目Discord服务器遭攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1591099470036570113
No.4
11月19日,MitsubishiNFT项目Discord服务器遭受攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1593758516602318854
No.5
11月23日,SensiLabs项目Discord服务器遭受攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1595215783654658048
No.6
11月28日,Shamanzs项目Discord服务器遭受攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1597076228749533185
1.4其他
No.1
11月2日,Deribit热钱包被盗2800万美元,损失将由公司储备金弥补。
相关链接:https://twitter.com/DeribitExchange/status/1587701883778523136
No.2
11月2日,Rubic项目管理员地址私钥疑被泄露,攻击者已出售约3400万RBC/BRBC。
相关链接:https://twitter.com/CryptoRubic/status/1587801263781171203
No.3
11月12日,FTX疑似遭遇攻击,大量资产开始持续发送到0x59A开头地址。
相关链接:https://twitter.com/CertiKAlert/status/1591265704568709122
No.4
11月23日:FenbushiCapital创始合伙人价值4200万美元个人资产被盗,FBI已介入调查。
相关链接:https://twitter.com/boshen1011/status/1595239850596306944
二、安全总结
2022年11月智能合约相关漏洞涉及价格操纵、奖励机制、注入攻击等类型,均为常见攻击手法,如项目上线前,经专业智能合约审计机构进行审计,可避免相关漏洞攻击发生。另外,本月RugPull类项目依旧层出不穷,用户参与相关项目时,需要保持警惕,多方验证项目质量,远离可疑项目。最后,应增强钱包私钥安全意识,避免私钥泄露造成资产损失。
据官方消息,去中心化超抵押稳定币USDD已正式登陆SwapFishFinance。 门罗币上线去中心化矿池 P2Pool:10月6日消息,门罗币上线由匿名开发者 SChernykh 开发的点对点.
各位朋友,欢迎来到SignalPlus每日晨报。SignalPlus晨报每天为各位更新宏观市场信息,并分享我们对宏观趋势的观察和看法。欢迎追踪订阅,与我们一起关注最新的市场动态.
11月10日,波场TRON创始人孙宇晨通过其推特账号表示,会与FTX一起找到解决方案,让事态朝着积极的方向发展.
各位朋友,欢迎来到SignalPlus每日晨报。SignalPlus晨报每天为各位更新宏观市场信息,并分享我们对宏观趋势的观察和看法。欢迎追踪订阅,与我们一起关注最新的市场动态.
据官方消息,HuobiGlobal新上线12个USDD现货交易对,包括USDD/ADA、USDD/APE、USDD/DOGE、USDD/DOT、USDD/EOS、USDD/ETC、USDD/FI.
2022年9月3日PlayDAO携手BlockJob和巨鲸研究院于北京梵悦108成功举办“梵”星之夜,“悦”享酒会,嘉宾包括多位Web3和Web2各个领域优秀的创业者、多家投资机构负责人等.