有黑客用一千万“撬动”Solana生态上亿资金,也有黑客铤而走险,薅起了交易所的羊毛,同时也有一些Web3项目遭遇私钥泄露、闪电贷攻击。
BeosinEagleEyeWeb3安全预警与监控平台监测显示,截止发稿时,本周共发生8起攻击类相关的安全事件,累计受影响金额约1.2亿美元,和Beosin安全团队一起来盘点一下吧。
10月9日?
1.XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍
10月9日,XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍。本次攻击是攻击者通过调用DaoModule合约的executeProposalWithIndex()函数执行了攻击者的恶意提案,使得意外铸造了100,000,000,000,000个RNBW,并将ownership权限转移给攻击者。最后黑客将其兑换为xRNBW。
加州大学伯克利分校举办ZKP/Web3黑客马拉松:金色财经报道,Oasis创始人兼加州大学伯克利分校计算机科学教授宋晓冬发布推文表示,伯克利正在举办ZKP/web3黑客马拉松,3月1日至5月2日向公众开放。[2023/3/1 12:35:56]
2.Jumpnfinance项目发生Rugpull,涉及金额约115万美元
Jumpnfinance项目Rugpull。攻击者调用0xe156合约的0x6b1d9018()函数,提取了该合约中的用户资产,存放在攻击者地址上。目前被盗资金中2100BNB($581,700)已转入Tornado.Cash,剩余部分2058BNB还存放在攻击者地址。
网络安全公司:朝鲜黑客组织Lazarus与新的加密货币黑客计划有关:金色财经报道,网络安全公司Volexity认为受到美国政府制裁的朝鲜黑客组织Lazarus与涉及使用加密站点感染系统以从第三方窃取信息和加密货币有关。Volexity博客文章显示,Lazarus在6月注册了一个名为bloxholder.com的域名,该域名后来被建立为提供自动加密货币交易服务的企业。Lazarus使用该站点作为网页从用户的系统中窃取私钥和其他数据。
Volexity还发现,将此恶意软件传送给最终用户的技术在10月份发生了变化。该方法演变为使用Office文档,特别是包含宏的电子表格,这是一种嵌入文档中的程序,旨在在计算机中安装Applejeus恶意软件。
金色财经此前报道,Lazarus 于2021 年 2 月被美国司法部 (DOJ)正式起诉,涉及与朝鲜情报组织侦察总局 (RGB) 有关联的组织的一名特工。[2022/12/6 21:25:00]
10月11日?
动态 | EOS竞猜游戏TGON遭黑客交易回滚攻击:今日凌晨03:30-04:44之间,PeckShield安全盾风控平台DAppShield监测到黑客向EOS竞猜类游戏TGON发起连续攻击,获利数千EOS,并已转至币安交易所。PeckShield安全人员分析发现该黑客通过回滚交易,大量获利。PeckShield安全人员在此提醒,开发者应在合约上线前做好安全测试,特别是要排除已知攻击手段的威胁,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。[2019/3/28]
1.QANplatform跨链桥遭受黑客攻击,疑似项目方私钥泄露,涉及金额约189万美元
本次事件交易的发起地址是一个疑似项目方的地址,攻击者通过该地址调用跨链桥合约中的bridgeWithdraw函数提取QANX代币,然后把QANX代币兑换为相应平台币,目前被盗资金依然存放在攻击者地址上。
Coincheck黑客事件已经约有半数被洗:Coincheck黑客事件之后,被盗总数约580亿日元的NEM目前已约有半数以上被交换成为其他加密货币。2月7日,监视盗窃嫌疑人账户的白色黑客Cheena注意到,有少量NEM被汇向其他的不特定账户,同时发现嫌疑人在暗网(dark web)开设了自己的交易所,并以低于市场价15%的价格来吸引顾客购买。但是结算时用的加密货币不仅仅是NEM,也包括了比特币以及其他加密货币,清晰显示了这是“”行为。白色黑客表示尽管追踪很困难,但还是会坚持下去。[2018/3/19]
2.Rabby项目遭受黑客攻击,请用户取消对相应合约的授权
本次事件是因为RabbyRouter的_swap函数存在外部调用漏洞,导致任何人都可以通过调用该函数,将授权到该合约用户的资金转走。目前攻击者已在Ethereum,BSC链,polygon,avax,Fantom,optimistic,Arbitrum发起攻击,请用户取消对相应合约的授权。
3.TempleDAO项目遭受黑客攻击,涉及金额约236万美元
本次事件是因为StaxLPStaking合约中的migrateStake函数缺少权限校验,导致任何人都可以通过调用该函数提取合约中的StaxLP。攻击者攻击成功后,把获得的全部StaxLP代币兑换为了ETH。
10月12日?
1.Journeyofawakening(ATK)项目遭受闪电贷攻击
本次事件攻击者通过闪电贷攻击的方式攻击了ATK项目的策略合约,从合约中获取了大量的ATK代币,之后攻击者把获得的全部ATK代币兑换为约12万美元的BSC-USD。
2.Solana生态去中心化交易平台Mango遭遇黑客攻击,影响高达1.16亿美元。
黑客使用了两个账户,一共1000万USDT起始资金。
第一步,攻击者向Mango市场存入了500万USDC。
第二步,攻击者在MNGO-ERP市场创建了一个4.83亿的PlacePerpOrder2头寸。
第三步,MNGO的价格被操纵,从0.0382美元到0.91美元,通过使用一个单独的账户对其头寸进行对手交易。
账户2现在有4.83亿*(0.91-0.03298美元)=4.23亿美元,这使得攻击者可以借出1.16亿美元的资金。
10月13日?
1.FTX交易所遭到gas窃取攻击
FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XENTOKEN。本次事件攻击者通过FTX热钱包多次少量的提取以太坊,FTX热钱包地址会向攻击合约地址多次转入小额的资金,随后会调用到攻击合约的fallback()函数,通过该函数攻击者向Xen合约发起铸币请求。而Xen合约仅需传入一个时间期限,便可支持无成本铸币,只需支付交易Gas费,但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址,达到攻击的目的。
截至今年七月底,以太坊域名服务独立地址数已突破50万,Web3正收获越来越大的用户群体。从2017年开始,Web3基础设施逐渐完备,呈现出从“泥泞小路”到“柏油公路”的变化.
随着区块链技术在加密货币以外的领域的应用变得越来越多,企业对区块链的兴趣正在上升。例如,区块链技术被用于提高供应链透明度、为客户创建忠诚度计划以及设计和营销NFT.
2022年10月12日,SEC再次否决了WisdomTree的比特币现货ETF发行申请,而不久前Teucrium的比特币期货ETF却顺利上市.
加密货币多元化?以下都不是财务建议。我们经常听到有人声称多元化会降低我们投资组合的风险。但是,这是什么意思?风险通常可以归结为两个组成部分,市场风险和特殊风险.
撰文:追风Lab 10月19日,Aptos向激励测试网用户发放约2000万枚APT代币,由此也激发了加密市场对于Layer1的兴趣,本文整理了29个未发币公链项目,感兴趣的读者可以关注和参与.
撰文:Nascent联合创始人DanElitzer关于应用链未来的一个案例研究。在过去的几个月里,人们对特定于应用的区块链越来越感兴趣,通常我们称它们为应用链.