学院 安全深度 文章

链上卫士:2022年7月安全事件盘点

2022.08.02

一、基本信息

  • 2022年7月发生较典型安全事件约『60』起;
  • 本月有多个项目方遭到了黑客攻击,其中Crema Finance安全事件与Uniswap钓鱼事件引起了广泛的关注与讨论;
  • Premint钓鱼攻击成了今年NFT最大的黑客攻击事件之一;
  • 社媒诈骗和钓鱼的攻击事件依旧层出不穷,Rug Pull事件与上个月相比大幅增加。

1.1 REKT盘点

No.1

7月1日,Optimism生态最大NFT平台Quixotic出现严重漏洞,大量用户资产被盗,原因在于Quixotic平台在市场合约的fillSellOrder函数中仅对卖单信息进行了检查,并未对买单信息做检查。故攻击者通过自己创建的NFT合约,发送大量交易来调用fillSellOrder函数生成卖单,将buyer参数传为受害者地址、paymentERC20参数传为需要盗取的代币地址,即可将对该市场合约有授权的用户的代币转走获利。

漏洞合约:0x065e8a87b8f11aed6facf9447abe5e8c5d7502b6

攻击者账户:0x0a0805082ea0fc8bfdcc6218a986efda6704efe5

恶意合约:0xbe81eabdbd437cba43e4c1c330c63022772c2520

首次攻击:0xfdee36012cbeb26d37a857a4bb1937ce0b30379a25198735089c75cfd3ea799a

No.2

7月3日上午10:00,Solana链上的集中流动性DeFi应用CremaFinance因遭黑客闪电贷攻击而宣布停运,该协议官方推特引用链上浏览器SolanaFM信息称,损失的加密资产价值为878.2万美元。

CremaFinance披露称,黑客通过创建虚假的价格变动数据账户(Tickaccount)绕过合约检查,然后利用虚假的价格数据和闪电贷窃取了资金池中的巨额费用。

7月7日,CremaFinance在Twitter上称,经过长时间的谈判,CremaFinance攻击者同意收取45455枚SOL(约168.2万美元)作为白帽赏金,并已归还6,064枚ETH和23,967.9枚SOL(约810万美元)。

攻击者地址1:Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY

攻击者地址2:0x8021b2962db803b73aa874030b0b42c202e8458f

No.3

7月10日,BIFROST官方发布报告,称BiFi服务的BTC地址注册服务器受到攻击。根据分析,此次攻击仅限于BTC地址注册服务器,智能合约和BiFi协议均未检测到漏洞。BiFi为每个存入BTC的用户使用一个固定地址发行代币。充值地址被签名并交付给地址发布服务器,只有在签名验证的情况下,地址才会反映在BiFi上。在攻击中,地址发布服务器的服务器密钥被暴露,攻击者能够自签名自己的存款地址。由于攻击者可以在存款地址上生成有效签名,BiFi错误地将攻击者的BTC转账识别为向BiFi的BTC存款。结果,攻击者能够以假存款借走1,852ETH。

攻击者地址1:0x282971deD7D0B8C5b0358EbEbe3B2bC6A24a6b10

攻击者地址2:bc1qmgh7w47myz7kt7x34zqlr5azck7u8j8ewg3u2j

No.4

7月10日,去中心化NFT金融化协议OmniX遭到攻击。此次攻击的主要原因在于burn函数会外部调用回调函数来造成重入问题,并且在清算函数中使用的是旧的vars的值进行判断,导致了即使重入后再借款,但用户的状态标识被设置为未借款导致无需还款。攻击共造成了1,300ETH的损失。

No.5

7月11日,一个BSC上的Staking挖矿项目被黑客入侵,损失约110,000美元。一半被盗资金存入Tornado Cash,另一半存入地址0xbfa16fB56B50ac3A69922447BBfC89A59b8B350A,攻击者利用合约中updateBalance函数的加法整数溢出漏洞修改攻击账户实际stake的数量,最终以极高的stake量获得了合约几乎所有资产。

受害合约:0xa792B90067bd73b048AF12bC2a6E1978FE34BBdb

攻击者地址:0xbfa16fB56B50ac3A69922447BBfC89A59b8B350A

No.6

7月12日,多链NFT协议CitizenFinance声称受到了攻击,攻击者获得了BNB和Polygon链的私钥访问权限。利用访问权限转移了244BNB(约55,000美元)、57,637MATIC(约32,300美元)和7,000USDC,总计约94,300美元。

攻击者地址1:0xaC3dC7BB5f09871EE2CbF0F9d20911C960F6ac2b

攻击者地址2:0x083e958DB271a5Ba105C0878a94507fe37F25446

No.7

质押平台Freeway发推称,其代币FWT价格在7月13日发生了剧烈波动,目前正在调查当中。Freeway的区块链桥接服务提供商Coffe遭到攻击,大量FWT代币从Coffe的桥接钱包中移除,随后被出售。Freeway平台没有受到任何损害,Supercharger也不受影响。不过,Freeway暂时禁用了平台上的FWT提款、存款和购买服务。

No.8

7月14日,SpaceGodzilla遭到价格操纵攻击,攻击者利用从Venus获得的闪电贷资金USDT兑换成SpaceGodzilla,抬高SpaceGodzill价格,之后调用swapAndLiquifyStepv1()函数,导致项目合约将USDT和SpaceGodzilla代币都投入到流动性池中。最后,攻击者用获得的SpaceGodzilla代币换取更多的USDT获利。损失约为25,379USDT。

攻击者地址:0x00a62eb08868ec6feb23465f61aa963b89e57e57

攻击交易:0x7f183df11f1a0225b5eb5bb2296b5dc51c0f3570e8cc15f0754de8e6f8b4cca4

No.9

7月16日,ImpermaxFinance官方发布事件报告称,一名黑客能够从团队控制的几个钱包中窃取大约900万个IMX。黑客盗取资金后,并没有立即出售IMX。于是,官方团队决定先在黑客做任何事情之前在市场上倾销大量代币来抢占先机。Impermax借贷协议完全不受此影响,因为攻击是由被盗的私钥引起的,而不是由智能合约中的错误引起的。

No.10

7月24日,Web3音乐流媒体服务平台Audius社区金库被黑客攻击,损失1,850万枚AUDIO Token。黑客将资金在Uniswap兑换为约705枚ETH。Audius官方表示,目前该问题已被发现并正在进行修复,以太坊上所有Audius智能合约都必须停止,包括代币,团队认为没有进一步的资金风险,修复完成之前代币余额、转账等将暂时不可用。共计造成损失约110万美元

Audius治理合约利用OpenZeppelin代理可升级性模式,并重写了AudiusAdminUpgradabilityProxy合约中的标准实现。允许代理升级到Audius的逻辑合约(例如Staking,Delegation)。

‍在其实现中,AudiusAdminUpgradabilityProxy 使用存储插槽 0 作为 proxyAdmin 的地址,该地址实现了各种检查,以防止未经授权的使用(投票程序,时间延迟,社区运行等)。

由于OpenZepplin初始化状态也存储在插槽0中,两个地址出现了冲突,攻击者可以重新初始化Audius协议并修改治理合约的Admin地址,将Staking和ElesteManagerV2合约的治理地址设置为恶意合约,并滥用Audius协议。

攻击者地址:0xa0c7bd318d69424603cbf91e9969870f21b8ab4c

恶意合约:0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569

攻击交易:0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9

No.11

7月25日,代币LPC被攻击,代币价格下跌超过99%,攻击者利用合约漏洞获利4.5万美元,由于合约的_transfer函数中并未基于_balance[]数组的值进行余额变动,而是使用receiverBalance中间变量进行计算,导致攻击者操控receiverBalance进行异常的余额增加。

攻击交易:0x0e970ed84424d8ea51f6460ce6105ab68441d4450a80bc8d749fdf01e504ed8c

受害代币合约地址:0x1e813fa05739bf145c1f182cb950da7af046778d

No.12

7月28日,算法稳定币协议Nirvana遭遇攻击,其稳定币NIRV价格从1美元一度跌至0.09美元,最大跌幅超过90%;ANA代币价格从8.9美元一度跌至1.5美元,跌幅高达85%。

此次攻击共损失350万USDC;目前黑客已将这笔资金通过虫洞协议跨链至以太坊上,并转换为不被监管的DAI。

攻击者地址1:0xB9AE2624Ab08661F010185d72Dd506E199E67C09

攻击者地址2:76w4SBe2of2wWUsx2FjkkwD29rRznfvEkBa1upSbTAWH

攻击交易:LyUnvdY9KBQiVRFqmSzGUfCuPGqYX1xNHCWLWxWZ4MvgLcNis2Kui6T25Ayai5UzpTAFkSRSgriKb3pM8tAoeR5

1.2 RugPull盘点

No.1

7月4日,Nody项目发生RugPull,代币价格下跌93%。

合约地址:0xfe01c159ECdeE4377aBfc4cD1827089C47B806EA

No.2

7月6日,一个假冒的ShadeInuToken项目创建者从流动性池中移除大约10.1万美元(424 BNB)的流动性。经过调查,此ShadeInuToken被认定是骗局,此项目推出了假的ShadeInuToken,以最初的200 BNB创建了WBNB/SadeIT池并为其提供流动性,创建者总共获利约53,000美元(224 BNB)。

合约地址:0x2d8f43752731310b249912c2fc2eb72797d99478

No.3

7月6日,BabyDAO发生RugPull,代币价格下跌99.9%,772.7枚BNB被转入Tornado Cash。

合约地址:0xf2d5d38fa88f9e2be0830351275d0724f96b0f5f

No.4

7月7日,ProjectX发生RugPull,代币价格下跌92%,创建者铸造了100万枚PXT代币,将其中50万代币发送到外部地址变卖,获利1.9万美元,项目方Discord已被删除。

No.5

7月7日,KleinBottle发生RugPull,代币价格下跌超过83%,初步分析创建者获利约8.9万美元。

No.6

7月10日,WitLink发生RugPull,推特及Discord账户被删除。

No.7

7月13日,CNC发生RugPull,代币价格CNC价格下跌超过70%。

合约地址:0xa83359ddef31d751954ab5532cdc069765ffa15b

No.8

7月14日,RETAWATCH发生Rugpull。代币RTW价格下降了99.2%。

合约地址:0xdf9427170b3ab5e26039591797b538a82391eac2

创建者变卖后,有105 BNB被转移到了:0xd18e87e3d37d291b861193b280085c5f6638322a

0xc39e6417f10a8d365d59ea2148c15712b2120d75

No.9

7月15日,ArenaPlay发生软RugPull,APC代币价格下跌40%,创建者进行了Pump&Dump,并将1,200BNB存入TornadoCash。

合约地址:0x2AA504586d6CaB3C59Fa629f74c586d78b93A025

No.10

7月16日,代币ELR发生RugPull,代币价格下跌80%,一个外部地址收到了合约创建者转账的大量ELR代币并出售。

合约地址:0xBfAF9012Bcdd97479fbBc4B45650074Ca03bD3A7

No.11

7月20日,RaccoonNetwork和FreedomProtocol发生RugPull,骗子已经将IDO收到的2000万枚BUSD转移到地址0xf800f2744FDe6BDA11e80b7DE0954AC3dC469336。

相关地址:0xf800f2744FDe6BDA11e80b7DE0954AC3dC469336

No.12

7月20日,ATM代币发生Rugpull,价格下降了46%,创建者将代币大量卖出,将1,350BNB转移到外部地址,并将1,943.3BNB转移到tornado.cash。

合约地址:0xbf8a70bc18d42e3782ee89f72e5e3456d8327cea

No.13

7月20日,GST代币发生RugPull,代币价格下降了90%,共计607BNB被转移到了新地址。

合约地址:0xfce07A79058a7817449193be2e5031c96f98f10a

No.14

7月20日,Orchid Dao发生RugPull,代币ORCHID价格下跌96.4%,造成了约5万美元损失。

合约地址:0x2f1F047162Ef020BC57135ff4c673760D8965cab

No.15

7月20日,Neoteric Finance发生RugPull,代币NTRC价格下跌超过91.6%。

合约地址:0x733a90389db7d9c246d064a257e5652f7be36b8a

No.16

7月20日,NumberSwap发生RugPull,其代币SOA价格下跌超过96%。

合约地址:0xc7e9d15a2dc34d3a9f532b325396b8bf02f44fb8

No.17

7月20日,Newborn发生RugPull,代币RacKiller价格下跌超过70%。

合约地址:0x24426b171ddc9b6e14d95e92c88415b141e4db5a

No.18

7月20日,LoopXnetwork发生RugPull,代币LOOP价格下跌超过80%。

合约地址:0x24426b171ddc9b6e14d95e92c88415b141e4db5a

No.19

7月21日,代币MOC发生RugPull,价格下跌80%,一个外部账户收到了合约创建者为其铸造的大量MOC代币后移除了流动性。

合约地址:0xd3095e37ce61ffef076fdafbd56b16f95a225ae5

No.20

7月21日,StrategyXFi发生RugPull,合约创建者移除了大量流动性并关闭网站。

合约地址:0xA5365f2E77bCe1cb2D42F5c808012C01b1548d3C

No.21

7月21日,项目HUT1与HUT发生RugPull,代币HUT1与HUT价格一同下跌超过96%。

合约地址-HUT1:0xceb03b7cb2a6943e0ff48e21eb5779eea365526c

合约地址-HUT2:0x11009a76e5457390e58d9672604ac65fa404b849

No.22

7月21日,项目MetooMovement发生RugPull,代币M2Move价格下跌超过71.4%,合约创建者获利197 BNB。

合约地址:0x62cd76a6c19921fc1672f986965207ece9da3bfb

No.23

7月24日,代币YYDNS发生Rug Pull,代币价格下跌超过99%,合约创建者利用MIN()函数铸造并出售代币获得了363 BNB,获利9.4万美元。

合约地址:0x53B57B8b16c073f73AebEa1fB08074430Bc21c34

No.24

7月25日,DeFi项目DRACNetwork发生RugPull,代币TEDDY价格下跌99.4%,1万枚BNB和200万枚BUSD已被缓慢转入Binance。合约创建者将大量TEDDY代币转移到0xdbe8ef79a1a7b57fbb73048192edf6427e8a5552,然后将TEDDY价格拉高后抛售。

合约地址:0x10f6f2b97f3ab29583d9d38babf2994df7220c21

相关地址:0xdbe8ef79a1a7b57fbb73048192edf6427e8a5552

No.25

7月25日,代币COMR发生RugPull,代币COMR价格下跌超过84%。

合约地址:0x219adc84b2ccfadf733d394312c1f3adf3268cc1

No.26

7月26日,代币SKG发生RugPull,价格下跌超过80%,超过10万个SKG代币被出售,获利约7万美元。

合约地址:https://www.oklink.com/zh-cn/bsc/address/

No.27

7月26日,项目SuperStepO发生RugPull,代币SGMT价格下跌了90%,造成了603BNB(约14.7万美元)的损失,获利已存入了TornadoCash。

合约地址:0xcc39f4105261a55457919ab0538d0ce1e0063444

No.28

7月27日,项目LarpFinance发生RugPull,代币LARP价格下跌超过80%,项目方出手了初始化铸造的LARP代币,获利20ETH(约2.8万美元)。

合约地址:0xb7b186d6301080bcbb977d186200b1c649b28089

No.29

7月28日,项目CryptosTribe发生RugPull,代币CSTC被抛售。

合约地址:0x78f1a611cceba2ff17ea53570dbee7d43629e8bc

1.3 社媒诈骗与钓鱼盘点

No.1

7月3日,据福布斯报道,英国陆军的官方推特账户和YouTube帐户遭到黑客攻击,并发布了有关加密货币和NFT的帖子。其中推特帐户转发了推广NFT的帖子,YouTube帐户则上传了有关ElonMusk与加密货币的视频。目前,所有NFT和加密内容都已从这两个帐户中删除。

No.2

7月6日,FadeMints项目Discord服务器遭攻击。

No.3

7月8日,NFT项目Cryptobilia的Discord服务器遭黑客入侵。

No.4

7月11日,AlphaDogsDiscord遭黑客入侵。

No.5

7月11日,超过70,000个连接到Uniswap的地址被空投诱使用户进行危险的代币批准,此批准允许攻击者控制其钱包中的代币。空投将用户链接到一个类似于真实Uniswap网站的钓鱼网站。用户被诱骗签署合约,加密货币和NFT从钱包中被盗。其中一个钱包损失了价值超过650万美元的以太币和比特币,另一个钱包损失了价值约168万美元的加密货币,共818万美元,在此次网络钓鱼事件中,至少有7500个ETH被盗。

No.6

7月16日,黑客入侵了著名NFT艺术家DeeKay的Twitter账户。DeeKay被入侵的Twitter帐户的180,000名粉丝看到它发布了一个链接,宣布新的空投数量有限,这将他们引导到一个模仿DeeKay真实网站的钓鱼网站。一名受害者丢失了4个CoolCatNFT和3个AzukiNFT,它们有底价分别约为4ETH(约5,350美元)和12ETH(约16,200美元)。被盗的NFT总价值约为150,000美元。DeeKay说不确定自己的Twitter帐户是如何被盗的,但“猜测是2FA在特定时间关闭的原因”。

No.7

7月17日,NFT访问列表工具PREMINT通过官方推特发布预警,因为有用户提醒,该工具的网站被黑客入侵,已经有NFT收藏家的藏品被盗。随后,区块链安全公司慢雾确认,PREMINT网站遭黑客攻击,黑客在网站中通过植入恶意JS(JavaScript)文件来实施钓鱼攻击,欺骗用户签名setApprovalForAll的交易,从而盗窃用户的NFT资产。此次攻击总共损失了约280ETH,金额为381,818美元,使其成为今年最大的NFT黑客攻击之一。

No.8

7月19日,Tableland项目方Discord相关管理人员权限被盗。据了解,Tableland成员加入外部Discord服务器后,点击了一个名为“Dyno”的机器人的验证步骤,并单击带有恶意javascript的书签按钮,然后被提示与书签交互,触发恶意脚本运行。攻击者掌握了管理员账户并在公告频道上发布包含虚假网站的链接,任何点击链接并遵循钱包指令的人都会授予攻击者访问其账户中持有的任何NFT的权限。

No.9

7月24日,NFT项目Superful_xyz的Discord遭到攻击。

No.10

7月25日,NFT项目lonelybeasts的Discord遭到攻击。

No.11

7月25日,NFT项目NEN_Studio的Discord遭到攻击。

No.12

7月27日,NFT项目IDNTTS的Discord遭到攻击。

No.13

7月27日,NFT项目taketadojo的Discord遭到攻击。

No.14

7月27日,NFT项目TheAmericans_US的Discord遭到攻击。

No.15

7月28日,NFT项目TastyBone的Discord遭到攻击,攻击者在其中发布了钓鱼链接tastydrop.io。

攻击者地址:0x2a1bF7a077E2C8c20A67A75bDD37cC88F3319054

No.16

7月28日,NFT项目Devious_DeadNFT的Discord遭到攻击。

No.17

7月28日,NFT项目InfectedMob的Discord遭到攻击。

1.4 其他

No.1

7月1日,Polygon首席信息安全官MuditGupta在推特表示,Polygon和Fantom的两个远程过程调用(RPC)接口在周五受到域名系统(DNS)劫持攻击的影响。原因是一名黑客劫持Ankr的域名系统(DNS)窃取用户的种子阶段,Ankr很快就恢复了错误,并表示没有资金损失

No.2

7月24日,在线游戏Neopets表示遇到黑客攻击,目前正在调查客户数据泄露事件,此次Neopets黑客攻击或影响用户达6900万个,还有一个名为TarTarX的黑客以4个比特币的价格出售Neopets网站的源代码和数据库。Neopets在近期推出了NFT,用于其在线虚拟世界游戏。

二、安全总结

2022年7月的安全事件涉及闪电贷攻击、重入、delegatecall等多个方面,建议项目方在项目正式上线前要寻找可靠的安全审计机构对项目进行漏洞审计,以免造成不必要的损失。

此外,本月Rug Pull事件大幅增加,建议用户在参与或投资项目时尽可能选取可靠的项目,谨慎追逐热点币,避免遭受意外损失。

社媒诈骗的发生率整体延续了上个月的多发态势,项目方应注重Discord和Twitter等官方账号的密码安全,同时用户应提防官方通告中类似“freemint”的活动,避免落入钓鱼诈骗的圈套。

此外,钓鱼攻击层出不穷,其中Premint钓鱼事件与Uniswap钓鱼事件尤为严重,建议用户在参与NFT项目及代币相关交互时尽量注意发起交易时的行为信息,避免通过setApprovalForAll将NFT转账权限意外授权给未知账户,或将代币转账权限授权给未知账户。

免责声明:OKLink学院仅提供信息参考,不构成任何投资建议。

相关推荐

security-insight