OKLink 2023年度安全事件盘点
链上卫士:2022年12月安全事件盘点
一、基本信息
2022年12月安全事件共造成约8327万美元损失,金额数量较上月有所下降。本月RugPull数量基本与上月持平。但临近年底,熊市社媒诈骗等较上个月有所增加,Discord攻击诈骗成为重灾区。另外本月依然有钱包(BitKeep)出现新的安全问题,影响了不少用户。
1.1 REKT盘点
No.1
12月2日,Ankr遭黑客攻击,数万亿aBNBc被铸造,黑客获利约500 万枚 USDC;另有匿名套利者以10BNB成本在借贷平台 helio 抵押 aBNBc获利超1550万美元;
攻击者使用Ankr: Deployer私钥对受害合约进行恶意升级,并增发10万亿枚aBNBc代币进行抛售兑换成 USDC 和 BNB,直至流动性枯竭,价格代币归零。其中少量BNB存入Tornado Cash,USDC 跨链到 Ethereum 兑换为 ETH。
Ankr合约部署者地址:
https://www.oklink.com/zh-cn/bsc/address/0x2ffc59d32a524611bb891cab759112a51f9e33c0
黑客地址:
https://www.oklink.com/zh-cn/bsc/address/0xf3a465c9fa6663ff50794c698f600faa4b05c777
被攻击合约aBNBc:
https://www.oklink.com/zh-cn/bsc/address/0xe85afccdafbe7f2b096f268e31cce3da8da2990a
攻击交易:
恶意aBNBc合约:https://www.oklink.com/zh-cn/bsc/address/0xd99955B615EF66F9Ee1430B02538a2eA52b14Ce4
套利者地址:
https://www.oklink.com/zh-cn/bsc/address/0x8d11f5b4d351396ce41813dce5a32962aa48e217
No.2
12月2日,Avax链上的overnight.fi项目遭到攻击。黑客用950万闪贷操纵Synapse资金池的USDC.e价格下跌,然后铸造USD+,使USDC.e 进入池子的价格低于1,从而为攻击者创造利润。攻击者获利约17.5万美元。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/avax/address/0xfe2c4cb637830b3f1cdc626b99f31b1ff4842e2c
攻击合约:
https://www.oklink.com/zh-cn/avax/address/0x7b673ee8ddf78348612132ad4559c5b8185c9331
No.3
12月6日,Roast Football(RFB)项目疑似遭到交易回滚攻击。Roast Football 存在一个抽奖机制,用户在购买RFB代币时有一定概率获得10倍的奖励。攻击者利用彩票函数中的弱伪随机数生成漏洞,在中奖时才执行交易,否则回滚。攻击者最终获利12BNB,约3500美元。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x5f7db41e2196080f397cdcf8dd58e8adfdaf2ade
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0xd5de2914bc6d2f005228a04289e8d518c710a049
No.4
12 月 6 日,如果用户将 APE 质押在 NFT 池中,一旦出售该 NFT,用户将同时失去质押的 APE 所有权。有套利者从 dYdX 借入 82 ETH 购买 BAYC #6762,从而获得卖方质押的 6400 枚 APE。套利者将 APE 卖出获得 20 ETH,并以 68 ETH 的价格卖出 BAYC #6762。获利6ETH,价值约7600美元。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0x1aacc25d571da598a363dec671c9de13fdc4b17d
No.5
12月10日,AVAX链项目MU 和 MUG项目代币疑似遭遇闪电贷攻击,攻击者利用LP池中的代币与债券价格的差异套利,共获利约5.7万美元。
攻击者从 MUG-MU 池子闪电贷获取初始代币,在MU- USDC池子中进行兑换。由于闪电贷使池子的价格发生偏差,之后攻击者可以以较低的价格调用 mu_bond
方法和mu_gold_bond
方法铸造出 Mu 代币和Mu gold给自己。从池子中套利并归还闪电贷资金。
合约地址:
https://www.oklink.com/zh-cn/avax/address/0xd036414fa2bcbb802691491e323bff1348c5f4ba
https://www.oklink.com/zh-cn/avax/address/0xF7ed17f0Fb2B7C9D3DDBc9F0679b2e1098993e81
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/avax/address/0xd46b44a0e0b90e0136cf456df633cd15a87de77e
攻击合约:
https://www.oklink.com/zh-cn/avax/address/0xe6c17763ca304d70a3fb334d05b2d29c2bb251e9
被攻击合约:
MuBank:https://www.oklink.com/zh-cn/avax/address/0x4aa679402c6afce1e0f7eb99ca4f09a30ce228ab
MUG-MU Pair:https://www.oklink.com/zh-cn/avax/address/0x67d9aab77beda392b1ed0276e70598bf2a22945d
MU-USDC Pair:https://www.oklink.com/zh-cn/avax/address/0xfacb3892f9a8d55eb50fdeee00f2b3fa8a85ded5
No.6
12 月 10 日,TiFi Token遭攻击,被转移529,570,181,341枚TiFi Token,攻击者获利2.5万美元。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0xd3455773c44bf0809e2aeff140e029c632985c50
No.7
12月11日, BSC上TRQ项目遭闪电贷攻击,攻击者获利约7.5万美元。
攻击交易:
获利地址:
https://www.oklink.com/zh-cn/bsc/address/0x0e7da0a26749adb7b5b448a8e0787edd3bb1adba
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0xb86e85ba0dd8afd39cfbdfdb4b1a45c4808607e5
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0xddd71682fdd34b79e59cb58ed47658cd2b3b5dec
No.8
12月11日,基于 Arbitrum 的 DeFi 协议 Lodestar Finance 遭到攻击,协议被黑客利用,攻击者获利约 650 万美元,存款被耗尽。
Lodestar Finance 团队已将所有利率设置为 0。攻击者将 plvGLP 合约的汇率操纵为 1.83 GLP/plvGLP 获利,并且销毁 300 多万枚 GLP。攻击者利用该漏洞的利润是 Lodestar 上被盗资金减去其销毁的 GLP,其中 280 万枚 GLP 是可以收回的,价值约 240 万美元。Lodestar Finance尝试联系黑客,协商是否可以通过提供漏洞赏金的方式来收回更多资金。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/arbitrum/address/0xc29d94386ff784006ff8461c170d1953cc9e2b5c
攻击合约:
https://www.oklink.com/zh-cn/arbitrum/address/0x7596acadf6c93f01b877f5a44b49407fffc53508
No.9
12月13日,去中心化交易所 ElasticSwap 被攻击,攻击者获利约85万美元;
由于合约中的添加流动性与移除流动性的计算方式不一致,在添加流动性功能中使用常规的恒定 K 值算法,但在移除流动性功能中直接获取了当前池子中两种代币的余额进行计算,攻击者首先添加流动性,之后再将一定数量的 USDC.E 转入 TIC-USDC 交易池中,此时计算出应转给攻击者的 USDC.E 数量已经在基础上乘以了 LP 代币数量即数倍,之后攻击者再调用移除流动性方法获利。
攻击交易:
ETH攻击:
AVAX攻击:
攻击者地址:
ETH:
https://www.oklink.com/zh-cn/eth/address/0xbeadedbabed6a353c9caa4894aa7e5f883e32967
AVAX:
https://www.oklink.com/zh-cn/avax/address/0x25fde76a52d01c83e31d2d3d5e1d2011ff103c56
被攻击合约:
Contract AVAX: https://www.oklink.com/zh-cn/avax/address/0x75739a693459f33b1fbcc02099eea3ebcf150cbe
No.10
2022 年 12 月 14 日, BNB Chain 上项目 NimbusPlatform 遭到攻击,攻击者获利约 278 枚 BNB(价值约7.4w美元)。攻击者首先在 8 天前执行了一笔交易,把 20 枚 BNB 换成 NBU_WBNB 再换成 GNIMB 代币,然后把 GNIMB 代币转入 Staking 合约作质押,为攻击作准备。正式发起攻击时先通过闪电贷借出 75477 枚 BNB 并换成 NBU_WBNB,然后再用这些 NBU_WBNB 代币将池子里的绝大部分 NIMB 代币兑换出。接着调用 Staking 合约的 getReward 函数进行奖励的提取,由于闪电贷兑换出大量的代币而变高,最后计算的奖励也会更多。攻击者最后将最后获得的 GNIMB 代币和拥有的 NIMB 代币换成 NBU_WBNB 代币后再换成 BNB,归还闪电贷获利。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x86aa1c46f2ae35ba1b228dc69fb726813d95b597
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x3c4e5b099f3c02122079d124138377e1b9048629
No.11
12 月 16 日,Solana上的Raydium项目遭到攻击,漏洞似乎源于木马攻击和流动性资金池所有者帐户的私钥泄露。攻击者访问了资金池所有者帐户,然后能够调用 withdrawPNL
函数,该函数用于收集池中掉期所赚取的交易/协议费用。总损失约为440万美元。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/sol/account/AgJddDJLt17nHyXDCpyGELxwsZZQPqfUsuwzoiqVGJwD
No.12
12月23日, Avalanche生态原生稳定币项目Defrost Finance协议V2遭遇重入攻击,由于合约闪电贷及存款函数缺乏重入锁,黑客得以用来操纵LSW/USDC价格。黑客获约 17万美元。
12月25日,Defrost Finance被爆出再次出现问题,其V1协议被添加了假的抵押代币,并使用恶意价格预言机清算当前用户,大户损失估计超过1200万美元。
V2攻击者地址:
https://www.oklink.com/zh-cn/avax/address/0x7373dca267bdc623dfba228696c9d4e8234469f6
LSWUSDC合约地址:
https://www.oklink.com/zh-cn/avax/address/0xff152e21c5a511c478ed23d1b89bb9391be6de96
No.13
12月25日,Rubic 跨链聚合器项目遭到攻击,用户账户中的 USDC 被窃取。损失近 140 万美元
用户可以通过 RubicProxy 合约中的 routerCallNative 函数进行 Native Token 兑换。在进行兑换前,会先检查用户传入的所需调用的目标 Router 是否在协议的白名单中。此次攻击的根本原因在于 Rubic 协议错误的将 USDC 添加进 Router 白名单中,导致已授权给 RubicProxy 合约的用户的 USDC 被窃取。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0x001b91c794dfeecf00124d3f9525dd32870b6ee9
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x253dd81d642220267ccac1d8202c0b96a92b299e
被攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x3335a88bb18fd3b6824b59af62b50ce494143333
添加 USDC 到白名单交易:
No.14
12 月 26 日,Amun 的产品——PECO 和 DFI 遭到破坏,导致基础资金损失约 30 万美元。攻击者能够控制rebalance-manager 地址,从而将 Amun 的产品再平衡为假的抵押物。
No.15
12月29日,以太坊上JAY项目遭遇闪电贷攻击。JAY代币价格是由合约ETH余额除以总供应量决定。且buyJayWith721
方法可以传递任意ERC-721代币。攻击者通过伪造恶意ERC-721代币调用buyJayWith721
,通过恶意的ERC-721代币转账逻辑重入sell
方法,而由于ETH余额的增加导致JAY代币价格被抬高,攻击者再卖出JAY代币进行套利,最终获利约15ETH,价值约1.79万美元。
攻击者地址:https://www.oklink.com/zh-cn/eth/address/0x0348d20b74ddc0ac9bfc3626e06d30bb6fac213b
攻击合约:https://www.oklink.com/zh-cn/eth/address/0xed42cb11b9d03c807ed1ba9c2ed1d3ba5bf37340
被攻击合约:https://www.oklink.com/zh-cn/eth/address/0xf2919D1D80Aff2940274014bef534f7791906FF2
1.2 RugPull盘点
No.1
12月2日,BSC链项目BGE项目疑似RugPull,部署者获利约42.6万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xbD7afa932F59F0e451D57BA523bA379e7545a4b3
No.2
12月2日,BSC链项目WWE项目疑似RugPull,攻击者从相关特权铸币地址接收大量代币进行抛售,获利约超6万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x421F9D1B2147F534e3AeFc6AF95EdD4Cf2430874
No.3
12月2日,BSC链项目Utopia(UTO)疑似RugPull,攻击者获利约7万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x2487EA50e96A6cE632B3C44df89f42838C4D0955
No.4
12月5日,BSC链项目LymexPr疑似RugPull,合约部署者获利约 30 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x448F861728F4Ed28914f42B4C8C0ff70b8bD637B
No.5
12月6日,BSC链项目ROOM疑似RugPull,部署者获利13.4万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x3c45a24d36ab6fc1925533c1f57bc7e1b6fba8a4
No.6
12月9日,BSC链项目BOB疑似RugPull,与部署者相关的账户出售代币,导致11万美元的损失。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x62de2f28fb09c7359648c34c33f4c5a26a0b5834
No.7
12月9日,BSC链项目Nova Exchange疑似RugPull,部署者帐号通过特权函数铸币并出售,获利363BNB约10.5万美元后发送到Tornado Cash。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xB5B27564D05Db32CF4F25813D35b6E6de9210941
No.8
12月10日,BSC链项目RabbitKing疑似RugPull,攻击者出售大量代币获利约6.1万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x6CB585E4bc6354CD0d457b4393F0AC3EF3d48Da9
No.9
12月11日,BSC链项目WOG疑似RugPull,攻击者出售大量代币获利约17.7万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x3AF747Ac92BEb9405e78ebd74cD70Eb61C3aB379
No.10
12月14日,BSC链项目BTDog疑似RugPull,部署者帐号转移出售大量代币获利约2.6万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x552B574A6879E29DdE03606ef3CE68DE052B3f63
No.11
12月15日,BSC链项目FPR疑似RugPull,攻击者获利约3万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xA9c7ec037797DC6E3F9255fFDe422DA6bF96024d
No.12
12月18日,BSC链项目CBCLUB疑似RugPull,攻击者出售大量代币获利约15万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x007Ba354ba7018e548C9a78158FdC24fF9630D35
No.13
12月20日,BSC链项目LOONG DAO (LD)疑似RugPull,部署者出售大量代币获利约3k美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x612d7E0eF4a5726c100730CA57e6a48D94ee18e2
No.14
12月24日,BSC链项目Chain Life (LIFE)疑似RugPull,部署者转移大量代币出售获利约3.8k美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x5EC40E9Fb6804f0CBE223246AfE4685908edc8BB
No.15
11月28日,BNBChain项目Black Hole King (BHK)发生RugPull,攻击者获利约18.6万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xbe35550189C378e35Ac7533bbEd3C66CE51CD6D2
No.16
11月29日,BNBChain项目BTC-POR发生RugPull,合约部署者获利约7万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x7e20fec0e64e81e4b9812bd4886cd1fd3ad4df45
No.17
11月29日,BNBChain项目Picture (Pit)发生RugPull,合约部署者移除流动性,相关地址获利约8万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x5a603F685C090d0e68f7E0D4A1BC451eCA7aD725
1.3 社媒诈骗与钓鱼盘点
No.1
12月1日,TheSmircs项目Discord服务器遭攻击,攻击者发布虚假消息。
No.2
12月1日,BrainlesSpikes项目Discord服务器遭攻击,攻击者发布虚假消息。
No.3
12月1日,SmallBrosNFT项目Discord服务器遭攻击,攻击者发布虚假消息。
No.4
12月5日,ShinnokiNFT项目Discord服务器遭攻击,攻击者发布虚假消息。
No.5
12月8日,CreepyFrendsNFT项目Discord服务器遭攻击,攻击者发布虚假消息。
No.6
12月8日,SUPERNORMAL项目Discord服务器遭攻击,攻击者发布虚假消息。
No.7
12月11日,BotBuddyznft项目Discord服务器遭攻击,攻击者发布虚假消息。
No.8
12月11日,CryptoCannaClub项目Discord服务器遭攻击,攻击者发布虚假消息。
No.9
12月12日,Sui 上的Baby Apes Society项目Discord服务器遭攻击,攻击者发布虚假消息。
No.10
12月13日,Degen Bunnies 项目Discord服务器遭攻击,攻击者发布虚假消息。
No.11
12月13日,Whoopsies Doopsies 项目Discord服务器遭攻击,攻击者发布虚假消息。
No.12
12月14日,ONEMINNFT项目Discord服务器及推特帐号遭攻击,攻击者发布虚假消息。
No.13
12月16日,MekawaiiNFT项目Discord服务器遭攻击,攻击者发布虚假消息。
No.14
12月18日,NeoTokyoCode项目Discord服务器遭攻击,攻击者发布虚假消息。
No.14
12月19日,xHamsterNFTcom项目Discord服务器遭攻击,攻击者发布虚假消息。
No.15
12月20日,SplattrCatGames项目Discord服务器及推特帐号遭攻击,攻击者发布虚假消息。
No.16
12月21日,SCPokerClub项目Discord服务器遭攻击,攻击者发布虚假消息。
No.17
12月21日,DavidDiFranco项目Discord服务器及推特帐号遭攻击,攻击者发布虚假消息。
No.18
12月22日,drivrsnft项目Discord服务器遭攻击,攻击者发布虚假消息。
No.19
12月23日,F1Dog_Official项目Discord服务器遭攻击,攻击者发布虚假消息。
No.20
12月29日,Gummys_io项目Discord服务器遭攻击,攻击者发布虚假消息。
No.21
12月30日,Mutant Hounds NFT项目Twitter帐号遭攻击,攻击者发布虚假消息。
No.22
12月30日,PartisiansNFT项目Discord服务器遭攻击,攻击者发布虚假消息。
No.23
12月31日,KenomiNFT项目Discord服务器遭攻击,攻击者发布虚假消息。
1.4 其他
No.1
12月6日,BSC上项目Option Room (ROOM)疑似私钥泄漏,攻击者获利约22.5万美元。
No.2
12 月 26 日, Web3 多链钱包 BitKeep 疑似出现安全漏洞,多名用户在其官方 Telegarm 群反馈资金被盗。 BitKeep 团队当即表示正在紧急排查原因,如因平台原因导致的资产损失,Bitkeep 安全基金承诺将进行全额赔付。总损失已达800万美元。
No.3
加密交易平台3Commas的API承认遭泄露,自今年10月起便有用户称API被盗,导致价值2200万美元代币被盗。
二、安全总结
2022年12月智能合约相关漏洞大部分与关键私钥泄露及价格操纵有关。本月由于平台方的疏忽导致的钱包安全及API泄露问题也对用户造成了巨大损失。在Web3领域链上及链下安全同样重要,平台方也应该加强安全意识,不仅仅是私钥的安全,相关关键服务也应保证安全。保证对用户负责,增强安全意识,避免关键信息泄露造成资产损失。另外,本月RugPull及社媒诈骗钓鱼项目依旧层出不穷,用户参与相关项目时,需要保持警惕,多方验证项目质量,远离可疑项目。