USD:黑客超额完成KPI？受影响金额约1.2亿美元本周Web3安全事件回顾_泰达币usdt有哪几种类型

作者：

时间：

有黑客用一千万“撬动”Solana 生态上亿资金，也有黑客铤而走险，薅起了交易所的羊毛，同时也有一些Web3项目遭遇私钥泄露、闪电贷攻击。

Beosin EagleEye Web3安全预警与监控平台监测显示，截止发稿时，本周共发生8起攻击类相关的安全事件，累计受影响金额约1.2亿美元，和Beosin安全团队一起来盘点一下吧。

10月9日

1. XaveFinance项目遭受黑客攻击，导致RNBW增发了1000倍

10月9日，XaveFinance项目遭受黑客攻击，导致RNBW增发了1000倍。本次攻击是攻击者通过调用DaoModule合约的executeProposalWithIndex()函数执行了攻击者的恶意提案，使得意外铸造了100,000,000,000,000个RNBW，并将ownership权限转移给攻击者。最后黑客将其兑换为xRNBW。

Poly Network白帽黑客发公开信公布私钥:8月23日消息，PolyNetwork攻击事件黑客在今日下午通过链上转账留言，交出了3/4的多签钱包秘钥，并表示这是好的结局。该黑客自称为Poly Network的首席安全顾问，表示：我的行动是深思熟虑后的决定，我想让这件事情变得完美而永恒，包括今天公布的最后的私钥。然而，有一点是美中不足的：在整个谈判过程中，我唯一的请求，也是没有立刻退款的唯一动机，就是为了解锁被冻结的USDT。在我看来，这次美好的历史事件被USDT冻结一事所玷污。如果我们利用非中心化的方式处理这部分被冻结的USDT，本可以成为一个利用智能合约在匿名对手间建立信任关系的完美案例。但这只是我个人的一厢情愿，由于交涉双方的沟通并不同步，这个愿望可能永远不会发生。可以说，把USDT作为原罪而扣留它其实是很公平的。

据此前报道，因为质疑Poly Network验证人权限过大，白帽黑客并未与Poly Network团队达成一致，未能移交私钥。[2021/8/23 22:31:43]

2. Jumpnfinance项目发生Rugpull，涉及金额约115万美元

Tether已冻结Yearn被黑客窃取的170万USDT:金色财经报道，Bitfinex及Tether首席技术官Paolo Ardoino刚刚发推文称，Tether已冻结了Yearn DAI v1 vault被黑客窃取的170万USDT。[2021/2/6 19:01:48]

Jumpnfinance项目Rugpull。攻击者调用0xe156合约的0x6b1d9018()函数，提取了该合约中的用户资产，存放在攻击者地址上。目前被盗资金中2100 BNB ($581,700)已转入Tornado.Cash，剩余部分2058 BNB（$571,128）还存放在攻击者地址。

1. QANplatform跨链桥遭受黑客攻击，疑似项目方私钥泄露，涉及金额约189万美元

黑客称已盗取Ledger和Trezor的数据库 Ledger和Trezor回应此为谣言:5月24日消息，数据泄露监控服务Under The Breach报道称，一个以太坊论坛的黑客声称拥有Trezor和Ledger的数据库以及其他重要的信息。这些数据库据说是通过Shopify漏洞获得的。黑客还声称拥有BankToTheFuture的完整SQL数据库。他们称其目前正在出售这些信息。目前还不清楚这些入侵的时间，但它可能是一个宣传噱头。Ledger对此回应称，所谓的黑客数据库“到目前为止与我们的真实数据库不匹配”。“黑客可能完全在撒谎。Ledger将继续对此事进行调查以证实。Trezor在推特上回应道：“有传言说我们的eshop数据库已经被Shopify入侵。我们的eshop不使用Shopify，但我们仍在调查情况。我们还经常从数据库中清除旧客户记录，以尽量减少可能的影响。”（Beincrypto）[2020/5/25]

本次事件交易的发起地址是一个疑似项目方的地址，攻击者通过该地址调用跨链桥合约中的bridgeWithdraw函数提取QANX代币，然后把QANX代币兑换为相应平台币，目前被盗资金依然存放在攻击者地址上。

动态 | 360安全大脑：国家级黑客组织APT-C-26将多家数字货币交易视为攻击目标:3月24日凌晨，新加坡数字货币交易平台DragonEx遭受黑客入侵，共20余种主流数字货币资产均被盗取，初步估计受损资产总额超4000万人民币。某安全实验室与DrangonEx取得联系，一起分析并确认DrangonEx交易所遭受了黑客组织攻击。经过360安全大脑的深度追踪溯源，发现这是一起由国家级黑客组织APT-C-26（Lazarus音译”拉撒路”）针对多家数字货币交易所发起的攻击行动。据悉，这是DragonEx交易所自成立以来发生的第一起被盗事件，也是继Cryptopia、Etbox等交易所后，又一起交易所被盗事件。[2019/3/29]

2. Rabby项目遭受黑客攻击，请用户取消对相应合约的授权

本次事件是因为RabbyRouter的_swap函数存在外部调用漏洞,导致任何人都可以通过调用该函数，将授权到该合约用户的资金转走。目前攻击者已在Ethereum，BSC链，polygon，avax，Fantom，optimistic，Arbitrum发起攻击，请用户取消对相应合约的授权。

3. TempleDAO项目遭受黑客攻击，涉及金额约236万美元

本次事件是因为StaxLPStaking合约中的migrateStake函数缺少权限校验，导致任何人都可以通过调用该函数提取合约中的StaxLP。攻击者攻击成功后，把获得的全部StaxLP代币兑换为了ETH。

1. Journey of awakening (ATK)项目遭受闪电贷攻击

本次事件攻击者通过闪电贷攻击的方式攻击了ATK项目的策略合约，从合约中获取了大量的ATK代币，之后攻击者把获得的全部ATK代币兑换为约12万美元的BSC-USD。

2. Solana 生态去中心化交易平台 Mango遭遇黑客攻击，影响高达 1.16 亿美元。

黑客使用了两个账户，一共1000万USDT起始资金。

第一步，攻击者向Mango市场存入了500万USDC。

第二步，攻击者在MNGO-ERP市场创建了一个4.83亿的PlacePerpOrder2头寸。

第三步，MNGO的价格被操纵，从0.0382美元到0.91美元，通过使用一个单独的账户（账户2）对其头寸进行对手交易。

账户2现在有4.83亿*(0.91-0.03298美元)=4.23亿美元，这使得攻击者可以借出1.16亿美元的资金。

1. FTX交易所遭到gas窃取攻击

FTX交易所遭到gas窃取攻击，黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。本次事件攻击者通过FTX热钱包多次少量的提取以太坊，FTX热钱包地址会向攻击合约地址多次转入小额的资金，随后会调用到攻击合约的fallback()函数，通过该函数攻击者向Xen合约发起铸币请求。而Xen合约仅需传入一个时间期限，便可支持无成本铸币，只需支付交易Gas费，但在此次调用过程中，交易发起者为FTX热钱包地址，所以整个调用过程的gas都是由FTX热钱包地址所支付，而Xen铸币地址为攻击者地址，达到攻击的目的。