OKLink 2023年度安全事件盘点
链上卫士:2022年11月安全事件盘点
一、基本信息
- 在头部中心化交易所FTX发生挤兑崩盘,FTX相关资产也遭遇疑似黑客攻击大背景下,2022年11月安全攻击事件共造成约5.2亿美元损失。
- 本月智能合约漏洞方面发生的攻击次数与前两个月相比有所减少,且大部分攻击造成的资产损失金额较低;
- RugPull相关安全事件发生依旧比较多,甚至有两个项目分别造成上千万美金级别损失;
- 另外,Deribit热钱包和Fenbushi Capital创始合伙人钱包安全问题也造成了合计约7000万美金的损失。
1.1 REKT盘点
No.1
11月2日,借贷协议Solend遭预言机攻击,攻击者操纵USDH价格,从Hubble Stable, Coin98 和Kamino借贷池借出超额资产,从而产生126万美元坏账。Solend的USDH价格预言机只有一个数据源,来自Saber协议的USDH-USDC-LP,但是该交易池TVL仅有约$900k,攻击者使用LoopSwap接口,抬高了USDH价格。
攻击者地址:61wJT43nWMUpDR92wC7pmo6xoJRh2s4kCYRBq4d5XQHZ
No.2
11月2日,NEAR网络Skyward Finance协议国库损失价值约300万美元的110万个NEAR代币。攻击者从Ref Finance购买大量SKYWARD代币,然后从Skyward Finance国库协议进行redeem,获得了比SKYWARD价值多很多的NEAR代币。分析发现skyward.near合约的redeem_skyward函数没有正确校验token_account_ids参数,导致攻击者传入相同的token_account_id,并多次领取了WNear奖励。
No.3
11月3日,BSC链上的gala.games项目由于pNetwork项目的bridge配置错误导致pTokens(GALA)代币增发,累计增发55,628,400,000枚pTokens(GALA),攻击者已经把部分pTokens(GALA)兑换成12,976个BNB,攻击者累计获利约434万美元。
攻击地址:0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1
第一笔攻击交易:0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e
第二笔攻击交易:0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d
No.4
11月5日,MooCakeCTX 合约被闪电贷攻击,攻击者获利14万美元。该合约在用户质押前(depositAll函数)未结算奖励进行复投(未调用earn函数),这会导致用户在质押后就马上能获取以前的质押分红。攻击者在同一个区块内使用闪电贷借出50000个cake代币后,连续两次进行质押,然后再提取质押的cake代币,归还后获利。
攻击交易:0x03d363462519029cf9a544d44046cad0c7e64c5fb1f2adf5dd5438a9a0d2ec8e
攻击者地址:0x35700c4a7bd65048f01d6675f09d15771c0facd5
攻击合约:0x71ac864f9388ebd8e55a3cdbc501d79c3810467c
被攻击合约:0x489afbaed0ea796712c9a6d366c16ca3876d8184
No.5
11月9日,ETH链项目brahTOPG被攻击,攻击者获利约9万美元。攻击者构造恶意token,并在该token的approve函数中,将FRAX代币转入被攻击合约,使得合约能成功执行,但是在zapCall.swapTarget.call(zapCall.callData)调用时,由于参数zapCall为攻击者传入参数,使其能够发起USDC.transferFrom,转移授权用户的USDC,从而完成攻击。
攻击交易:0xeaef2831d4d6bca04e4e9035613be637ae3b0034977673c1c2f10903926f29c0
攻击者地址:0x6fa00a7324dc293ea8ecf56fe3143104494c4213
攻击合约:0x60032a41726241499b0c626c836c9099cb895c05
被攻击合约:0xd248b30a3207a766d318c7a87f5cf334a439446d
No.6
11月11日,ETH链项目DFX Finance遭到攻击,损失近400万美元。DFX中闪电贷合约对于归还闪电贷的计算方式只与池子中的资金余额有关,Flash方法调用未做同合约同方法和同合约不同方法的重入限制,攻击者通过将资金借出之后通过添加流动性又将资金转入了池子中,因此计算的需要归还的闪电贷资金减少,攻击者之后可以通过归还流动性代币将资金取出。
攻击交易:0x390def749b71f516d8bf4329a4cb07bb3568a3627c25e607556621182a17f1f9
攻击者地址:0x14c19962e4a899f29b3dd9ff52ebfb5e4cb9a067
攻击合约:0x6cfa86a352339e766ff1ca119c8c40824f41f22d
被攻击合约:0x46161158b1947d9149e066d6d31af1283b2d377c
No.7
11月16日,BNBChain上的SheepFarm被黑客攻击,黑客获利约7.2万美元。SheepFarm合约的register函数会检查注册用户的timestamp数值为0,确保为新用户。但是用户注册后,该timestamp数值并未更新,攻击者可以重复调用register接口。每次register调用,都会有GEM_BONUS分配给黑客,黑客最后兑换为BNB获利。
攻击交易:0x9c3c513d54d59451ea7b07539aee9132f402d7e8f5bc025d609a16e559ee6ddf
攻击者地址:0x2131c67ed7b6aa01b7aa308c71991ef5baedd049
攻击合约:0xf2db8665d82e1a23895ed78b213d36d62eec6bbc
被攻击合约:0x4726010da871f4b57b5031e3ea48bde961f122aa
No.8
11月21日,BSC链上合约sDAO被攻击,黑客获利1.4万BUSD。黑客从DODO闪电贷500BUSD,部分兑换成sDAO代币后添加流动性,然后通过withdrawTeam接口将sDAO合约全部的LPtoken取出。由于getReward接口计算是依赖sDAO合约内LPtoken的余额,黑客通过tranfer从攻击合约转给sDAO合约0.013个LPtoken,控制该数值为一个很小数值,然后通过getReward接口从sDAO获得约370万个sDAO,卖出获利1.4万BUSD。
攻击交易:0xb3ac111d294ea9dedfd99349304a9606df0b572d05da8cedf47ba169d10791ed
攻击者地址:0xa1b6d1f23931911ecd1920df49ee7a79cf7b8983
攻击合约:0x2b9eff2f254662e0f16b9adc249aaa509b1c58d4
被攻击合约:0x6666625ab26131b490e7015333f97306f05bf816
No.9
11月23日,ETH链上的Numbers Protocol(NUM)代币项目遭到攻击,攻击者获利约1.4万美元。攻击者创建了一个恶意的anyToken代币,该恶意代币合约的底层代币指向NUM代币地址;接着调用Multichain跨链桥的Router合约的anySwapOutUnderlyingWithPermit函数,该函数的功能是传入anyToken并调用底层代币的permit函数进行签名批准,之后兑换出拥有授权的用户的底层代币给指定地址。由于NUM代币中没有permit函数且拥有回调功能,所以即使攻击者传入假签名也能正常返回使得交易不会失败,导致受害者地址的NUM代币最终可以被转出到指定的攻击合约中;接着攻击者将获利的NUM代币通过Uniswap换成USDC再换成ETH获利。
攻击交易:0x8a8145ab28b5d2a2e61d74c02c12350731f479b3175893de2014124f998bff32
攻击者地址:0xb792faf099991f96c5dfef037ae9f248186d9b30
攻击合约:0x00000000000747d525e898424e8774f7eb317d00
被攻击合约:0x765277eebeca2e31912c9946eae1021199b39c61
No.10
11月29日,BSC链SEAMAN合约遭受漏洞攻击,黑客获利约8000BUSD。SEAMAN合约在transfer函数时中将SEAMAN代币兑代币GVC,攻击者可以利用该函数影响代币的价格。攻击者首先将50万BUSD兑换为GVC代币,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,从而消耗BUSD-GVC交易对中GVC的数量,抬高该交易对中GVC的价格。最后攻击者卖出之前兑换的GVC兑换了50.7万的BUSD获利。
攻击交易:0x6f1af27d08b10caa7e96ec3d580bf39e29fd5ece00abda7d8955715403bf34a8
攻击者地址:0x4b1f47be1f678076f447585beba025e3a046a9fa
攻击合约:0x0e647d34c4caf61d9e377a059a01b5c85ab1d82a
被攻击合约:0x6bc9b4976ba6f8c9574326375204ee469993d038
No.11
11月30日,BSC链MBC和ZZSH合约遭受漏洞攻击,黑客获利约5600BUSD。MBC合约与ZZSH合约代码实现相同,黑客利用闪电贷借出BUSD后,首先购买MBC和ZZSH代币,然后利用swapAndLiquifyStepv1函数添加流动性,该函数将token合约内资产添加到pair合约,黑客最后将之前购买的MBC和ZZSH代币售出获利。漏洞核心在于swapAndLiquifyStepv1没有权限控制,导致黑客可以通过swap将代币价格推高后,再利用该函数将代币合约内资产添加流动性,再将代币卖出获利。
攻击交易:0xdc53a6b5bf8e2962cf0e0eada6451f10956f4c0845a3ce134ddb050365f15c86
攻击者地址:0x9cc3270de4a3948449c1a73eabff5d0275f60785
攻击合约:0x0b13d2b0d8571c3e8689158f6db1eedf6e9602d3
被攻击合约:0x4e87880a72f6896e7e0a635a5838ffc89b13bd17
0xee04a3f9795897fd74b7f04bb299ba25521606e6
1.2 RugPull盘点
No.1
11月1日,BSC链项目FITE项目疑似RugPull,攻击者转移1900枚BNB,获利约62.2万美元。
合约地址:0xe4182e57eeb29fbc2b3469e45c9e385cea8995ab
No.2
11月3日,MetFX项目疑似发生Rug pull,部署者获利约13万美元。
No.3
11月8日,BSC链项目Defi Wz Token (DEFIWZ) 发生RugPull,攻击者获利约20.8万美元。
合约地址:0x418db510b4f1cf33565c459cfb6d838bbbbff8f9
No.4
11月8日,BSC链项目 DeFi Safe (dSafe) 发生RugPull,攻击者获利约12.7万美元。
合约地址:0x761776f726168c9df6dc63d5864880801e21f403
No.5
11月8日,BSC链项目SSIDToken (SSID) 发生RugPull,攻击者获利约15.8万美元。
合约地址:0xC3241e111CCd9CF6c5a11dADE9498070082F2ed3
No.5
11月11日,ETH链项目DefiForge (FORGE)发生RugPull,攻击者获利约6.5万美元。
合约地址:0x5198625a8abf34a0d2a1f262861ff3b3079302bf
No.7
11月13日,BNBChain项目DeFiAI项目发生Rug pull,合约部署者获利约4000万美元。
合约地址:0x6548a320d3736920cad8a2cfbfefdb14db6376ea
No.8
11月15日,BNBChain项目Ranger发生RugPull,攻击者获利约8万美元。
合约地址:0xc9efd09c8170e5ce43219967a0564a9b610e5ea2
No.9
11月16日,BNBChain项目FLARE发生RugPull,攻击者获利约1800万美元。
合约地址:0x192e9321b6244d204d4301afa507eb29ca84d9ef
No.10
11月17日,BNBChain项目BoxerInu Finance发生RugPull,攻击者获利约14万美元。
合约地址:0x6867d4a17f3ff5602024b7c2a33df2fd9aeafcfe
No.11
11月17日,BNBChain项目META项目发生RugPull,合约部署者获利约6万美元。
合约地址:0x40Be57E8910dA65f5B98746C730E26941aB3824A
No.12
11月29日,BNBChain项目Trust Bridge (TWG)发生RugPull,合约部署者获利约7万美元。
合约地址:0x737F5942D70f8F433d65823535e7Ae1DE1950d8e
No.13
11月28日,BNBChain项目IOTN发生RugPull,合约部署者卖出4.3亿IOTN代币。
合约地址:0xabe6efdefa75c18bd0f6b65abddcd8dda3992caf
No.14
11月29日,BNBChain项目BTC-POR发生RugPull,合约部署者获利约7万美元。
合约地址:0x7e20fec0e64e81e4b9812bd4886cd1fd3ad4df45
1.3 社媒诈骗与钓鱼盘点
No.1
11月1日,Generativemasks项目Discord服务器遭攻击,攻击者发布虚假消息。
No.2
11月1日,KUMALEON项目Discord遭攻击,111枚NFT被盗,包括 BAYC #5313, ENS, ALIENFRENS和Art Blocks。
No.3
11月12日,Play AFAR项目Discord服务器遭攻击,攻击者发布虚假消息。
No.4
11月19日,MitsubishiNFT项目Discord服务器遭受攻击,攻击者发布虚假消息。
No.5
11月23日,Sensi Labs项目Discord服务器遭受攻击,攻击者发布虚假消息。
No.6
11月28日,Shamanzs项目Discord服务器遭受攻击,攻击者发布虚假消息。
1.4 其他
No.1
11月2日,Deribit热钱包被盗2800万美元,损失将由公司储备金弥补。
No.2
11月2日,Rubic项目管理员地址私钥疑被泄露,攻击者已出售约3400万RBC/BRBC。
No.3
11月12日,FTX疑似遭遇攻击,大量资产开始持续发送到0x59A开头地址。
No.4
11月23日:Fenbushi Capital创始合伙人价值4200万美元个人资产被盗,FBI已介入调查。
二、安全总结
2022年11月智能合约相关漏洞涉及价格操纵、奖励机制、注入攻击等类型,均为常见攻击手法,如项目上线前,经专业智能合约审计机构进行审计,可避免相关漏洞攻击发生。另外,本月RugPull类项目依旧层出不穷,用户参与相关项目时,需要保持警惕,多方验证项目质量,远离可疑项目。最后,应增强钱包私钥安全意识,避免私钥泄露造成资产损失。