学院 安全深度 文章

OKLink:2023年7月安全事件盘点

2023.08.05 oker

一、基本信息

2023年7月REKT和RugPull事件累计造成约8000万美元损失,相比上月1000万美元损失有显著上升。REKT和RugPull事件中,由于Vyper个别版本重入锁失效,给Curve相关流动性池造成重大损失,虽然在此次事件中,白帽黑客以及抢跑机器人帮忙挽回部分损失,损失金额仍超5000万美元;曾被攻击过的Polynetwork本月再次发生安全事件,造成约1000万美元损失;BSC链的GMETA以及zkSync链的Kannagi发生RugPull,给用户造成数百万美元损失。此外,月初的Multichain事件,用户受损资金高达1.26亿美元。最后,社交媒体钓鱼事件依旧层出不穷,项目方Discord和Twitter权限被控制,攻击者发布钓鱼链接的事件时有发生。

1.1 REKT盘点

No.1

7月1日,ETH链上AzukiDao治理代币BEAN遭遇攻击。BEAN智能合约的Claim函数虽然利用变量signatureClaimed记录了已领取交易的签名数据,但并没有对重复申领进行检查。攻击者重复调用Claim函数九百多次,每次获得6250个BEAN代币,最终卖出得到35个ETH,获利约7万美元。

攻击交易:https://www.oklink.com/cn/eth/tx/0x7fef7c0da501130a44e87c0cd0aeb2da38cc49cd0228c7fcc601be747733064d

攻击者地址:https://www.oklink.com/cn/eth/address/0x85d231c204b82915c909a05847cca8557164c75e

相关链接:

https://twitter.com/MetaSleuth/status/1675783742231805954

No.2

7月2日,Polynetwork 被攻击,攻击者在目标链调用EthCrossChainManager合约的verifyHeaderAndExecuteTx函数,直接提取或增发大量资产,总价值超过420亿美元,但因链上流动性不足以及项目方及时冻结项目代币,攻击者不能全部变现。攻击者在ETH链将部分代币兑换为约5000多个ETH,获利约1000万美元。从源链和目标链相关攻击交易可以看到,目标链解锁资产的数据与源链锁定资产的数据相比发生了变化,攻击者在源链锁定小额资产就可以在目标链解锁大额资产。链上智能合约代码实现没有问题,怀疑是私钥泄漏或链下服务漏洞导致的攻击。

攻击交易:https://www.oklink.com/cn/eth/tx/0xc580a21ff9798288145a92e9c0eead32ffc28f7ce9b28ed1c0275838a56edff9https://docs.google.com/spreadsheets/d/1vGOXrb79rB1gNWz1IJjWt8SBxH02yb_kwzeX6YKvxjk/edit#gid=0

攻击者地址:https://www.oklink.com/cn/eth/address/0xe0afadad1d93704761c8550f21a53de3468ba599https://www.oklink.com/cn/eth/address/0xc8a65fadf0e0ddaf421f28feab69bf6e2e589963https://www.oklink.com/cn/eth/address/0xa87fb85a93ca072cd4e5f0d4f178bc831df8a00b

相关链接:

https://twitter.com/WuBlockchain/status/1675331243972624385

https://dedaub.com/blog/poly-chain-hack-postmortemhttps://twitter.com/BeosinAlert/status/1675773135755546625

No.3

7月4号,BSC链项目Bamboo AI (BAMBOO)被攻击,攻击者获利216个BNB,价值约为5.3万美元。BAMBOO代币在transfer函数中,会燃烧流动性池持有的部分代币,攻击者闪电贷4042个WBNB,并兑换成137M BAMBOO代币,然后将代币转移到流动性池,触发代币燃烧机制,并调用skim取出流动性池多余代币,重复transfer和skim操作拉高BAMBOO代币价格,最后卖出BAMBOO代币获利。

攻击交易:https://www.oklink.com/cn/bsc/tx/0x88a6c2c3ce86d4e0b1356861b749175884293f4302dbfdbfb16a5e373ab58a10

攻击者地址:https://www.oklink.com/cn/bsc/address/0x00703face6621bd207d3b4ac9867058190c0bb09https://www.oklink.com/cn/bsc/address/0xcdf0eb202cfd1f502f3fdca9006a4b5729aadebc

相关链接:

https://twitter.com/BeosinAlert/status/1676235288320827393

No.4

7月8日,ETH链上合约CIVNFT遭受授权攻击,造成约18万美元损失。漏洞核心原因是签名为0x7ca06d68的函数缺乏权限控制,使得攻击者通过操纵_uniswapV3MintCallback成功调用到攻击合约,攻击合约利用transferFrom转移用户授权资产。

攻击交易:https://www.oklink.com/cn/eth/tx/0x93a033917fcdbd5fe8ae24e9fe22f002949cba2f621a1c43a54f6519479caceb

攻击者地址:https://www.oklink.com/cn/eth/address/0xf169bd68ed72b2fdc3c9234833197171aa000580

相关链接:

https://twitter.com/Phalcon_xyz/status/1677722208893022210

No.5

7月10日,Arcadia Finance项目在Ethereum和Optimism链遭受攻击,攻击者获利约78万美元。攻击者闪电贷WETH和USDC代币存入ArcadiaFi协议,并通过doActionWithLeverage调用将资产放大5倍后存入合约ActionMultiCall。攻击者利用可以控制的输入参数actionData,使ActionMultiCall合约将WETH和USDC授权给攻击者,然后通过transferFrom调用转移走相应资金。但因协议会进行资产价值检查,攻击者还利用重入漏洞,对账号进行清算,使得检查正常通过,完成攻击。

攻击交易:

https://www.oklink.com/cn/eth/tx/0xefc4ac015069fdf9946997be0459db44c0491221159220be782454c32ec2d651

攻击者地址:

https://www.oklink.com/cn/eth/address/0x5c75e94dd0ab9c10bfd1b8073dafef031d3c050d

相关链接:

https://twitter.com/BeosinAlert/status/1678302670040498179

No.6

7月11日,Polygon链合约LibertiVault遭受攻击,攻击者获利约29万美元。攻击者首先闪电贷5M个USDT,然后调用LibertiVault的deposit函数存入2.5M,在此过程中,协议会拿deposit的部分代币进行swap,从而调用到攻击者合约。攻击者合约重入LibertiVault的depoist函数,再次存入2.5M USDT,从而获得更多比例的凭证代币并最终获利。攻击交易:https://www.oklink.com/cn/polygon/tx/0x7320accea0ef1d7abca8100c82223533b624c82d3e8d445954731495d4388483

攻击者地址:https://www.oklink.com/cn/polygon/address/0xfd2d3ffb05ad00e61e3c8d8701cb9036b7a16d02https://www.oklink.com/cn/polygon/address/0xdfcdb5a86b167b3a418f3909d6f7a2f2873f2969相关链接:https://twitter.com/BeosinAlert/status/1678787311142854665

No.7

7月11日,Aribtrum链Rodeo Finance项目被攻击,攻击者获利约88万美元。攻击者从Rodeo pool借出400k的USDC,然后通过CamelotPair兑换成WETH,再兑换成unshETH,并放入StrategyLong合约。由于unshETH预言机被操纵,使得获取的unshETH的价格被拉高近1倍,导致计算出来的USDC可以兑换的unshETH的数量减少,进行swap时滑点设置不合理,导致本应revert的swap操作得以执行。攻击者通过在CamelotPair造成的价格差,然后通过在Camelot和Uniswap这两个DEX之间进行套利来获利。

攻击交易:https://www.oklink.com/cn/arbitrum/tx/0xb1be5dee3852c818af742f5dd44def285b497ffc5c2eda0d893af542a09fb25a

攻击者地址:https://www.oklink.com/cn/arbitrum/address/0x2f3788f2396127061c46fc07bd0fcb91faace328

相关链接:

https://twitter.com/peckshield/status/1678700465587130368

No.8

7月12日,Avalanche链上Platypus项目遭受攻击,攻击者获利约5万美元。攻击者首先从AAVE闪电贷获得USDC,然后通过deposit调用将USDC存入协议,再调用withdrawFromOtherAsset取出USDC.e,协议关于USDC.e的兑换比例计算逻辑错误,攻击者可以提取出更多的USDC.e,最后将USDC.e卖出获利。

攻击交易:https://www.oklink.com/cn/avax/tx/0x5e785b87e62252b1fff3283ce260d74cb5b3efc4588d7a0297f505482cbab388

攻击者地址:https://www.oklink.com/cn/avax/address/0xc64afc460290ed3df848f378621b96cb7179521ahttps://www.oklink.com/cn/avax/address/0x16a3c9e492dee1503f46dea84c52c6a0608f1ed8

相关链接:

https://twitter.com/BeosinAlert/status/1678943417974378496

No.9

7月12日,BSC链上WGPT代币遭受攻击,攻击者获利约8万美元。WGPT代币合约实现中的transferFrom函数,会使用合约中的USDT去流动性池购买WGPT代币,攻击者调用transferFrom函数,将代币转账到流动性池,再通过skim取回,重复该步骤使得合约内USDT持续购买WGPT代币,从而提升WGPT代币价格,最后攻击者将持有的WGPT卖出获利。

攻击交易:https://www.oklink.com/cn/bsc/tx/0x258e53526e5a48feb1e4beadbf7ee53e07e816681ea297332533371032446bfd

攻击者地址:https://www.oklink.com/cn/bsc/address/0xdc459596aed13b9a52fb31e20176a7d430be8b94https://www.oklink.com/cn/bsc/address/0x5336a15f27b74f62cc182388c005df419ffb58b8

相关链接:

https://twitter.com/Phalcon_xyz/status/1679042549946933248

No.10

7月18日,BSC链上BNO代币遭受攻击,攻击者获利约50万美元。BNO合约的emergencyWithdrawal函数允许用户提取ERC20 代币权益,会重置userInfo的allStake和rewardDebt字段为0,但函数并没有处理NFT权益记录,即不会重置nftAddtion,攻击者重复stakeNft,emergencyWithdraw及unstakeNft操作,重复获得BNO代币奖励从而获利。

攻击交易:https://www.oklink.com/cn/bsc/tx/0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9

攻击者地址:https://www.oklink.com/cn/bsc/address/0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd

相关链接:

https://twitter.com/BeosinAlert/status/1681116206663876610

No.11

7月18日,BSC链APEDAO项目遭受攻击,项目方损失约0.7万美元。攻击者将APEDAO代币转移到Pair合约,再通过skim调用取回,在这个过程中,变量amountToDead会累积准备从pair销毁到APEDAO数量。攻击者重复transfer/skim操作,最后调用goDead使Pair合约燃烧一定数量APEDAO代币,从而拉高其价格,反向卖出APEDAO获利。

攻击交易:https://www.oklink.com/cn/bsc/tx/0x8d35dfd9968ce61fb969ffe8dcc29eeeae864e466d2cb0b7d26ce63644691994

攻击者地址:

https://www.oklink.com/cn/bsc/address/0x10703f7114dce7beaf8d23cde4bf72130bb0f56a

相关链接:

https://twitter.com/BeosinAlert/status/1681316257034035201

No.12

7月18日,BSC链Carson项目遭受攻击,项目方损失约14.5万美元。攻击者首先闪电贷150万个BUSD,购买Carson代币,然后分多笔卖出。由于Carson在transfer过程存在收税及销毁,导致买入卖出间存在价格差从而获利。

攻击交易:https://www.oklink.com/cn/bsc/tx/0x37d921a6bb0ecdd8f1ec918d795f9c354727a3ff6b0dba98a512fceb9662a3ac

攻击者地址:https://www.oklink.com/cn/bsc/address/0x25bcbbb92c2ae9d0c6f4db814e46fd5c632e2bd3

相关链接:

https://twitter.com/PeckShieldAlert/status/1684378929937911811

No.13

7月20日,BSC链上一系列airdrop函数实现有问题的代币被攻击,相关损失达23万美元,包括FFIST,QX,Utopia代币等项目。这些代币的transfer动作中,会调用到airdrop函数,即给一个随机地址空投代币。该随机地址通过上一次空投地址、当前区块编号、transfer的to地址等参数进行计算。攻击者通过控制to地址,使计算出的随机地址为该代币对应的流动性池地址。而airdrop函数实现错误地将目标地址balance设置为airdropAmount,而非累加。导致攻击者控制了流动性池代币数量,变相拉高了代币价格,从而可以进行卖出获利。

攻击交易:https://www.oklink.com/cn/bsc/tx/0x199c4b88cab6b4b495b9d91af98e746811dd8f82f43117c48205e6332db9f0e0https://www.oklink.com/cn/bsc/tx/0xeb4eb487f58d39c05778fed30cd001b986d3c52279e44f46b2de2773e7ee1d5e

攻击者地址:

https://www.oklink.com/cn/bsc/address/0xe84ef3615b8df94c52e5b6ef21acbf0039b29113

https://www.oklink.com/cn/bsc/address/0xcc8617331849962c27f91859578dc91922f6f050

相关链接:

https://twitter.com/BeosinAlert/status/1681864948186505217

No.14

7月21日,ETH链Conic Finance项目ETH omnipool 遭受一系列黑客攻击,造成损失约 330 万美元。攻击的根本原因是CurveLPOracleV2合约存在只读重入问题。攻击者从AAVE,Balancer闪电贷获得stETH/cbETH/rETH/wETH等资产合计约7万枚,存入ConicEthPool,然后操纵steCRV、cbETH/ETH-f、rETH-f等代币的价格,并利用只读重入漏洞来绕过价格预言机对代币价格合理性的检查,从而使得攻击者可以转移比他们存入要更多的流动性代币来获利。

攻击交易:https://www.oklink.com/cn/eth/tx/0x8b74995d1d61d3d7547575649136b8765acb22882960f0636941c44ec7bbe146

攻击者地址:https://www.oklink.com/cn/eth/address/0x8d67db0b205e32a5dd96145f022fa18aae7dc8aa

相关链接:https://twitter.com/danielvf/status/1682496333540741121https://twitter.com/BlockSecTeam/status/1682356244299010049

No.15

7月25日,zksync链上项目EraLend遭受攻击,项目方损失约270万美元。本次漏洞为价格预言机只读重入,池子提取出流动性之后,触发了回调事件但是没有立即更新池子中的Token数量,导致价格没有更新。然后在回调事件中执行合约处理逻辑,读取了一个不正确的价格,从而导致EraLend项目的cToken合约借贷价值计算和清算价值计算不一致,借贷的数量高于偿还的数量,使得攻击者可以在借贷并清算后获利。攻击交易:https://www.oklink.com/cn/zksync/tx/0x99efebacb3edaa3ac34f7ef462fd8eed85b46be281bd1329abfb215a494ab0ef

攻击者地址:https://www.oklink.com/cn/zksync/address/0xf1d076c9be4533086f967e14ee6aff204d5ece7a

相关链接:

https://twitter.com/peckshield/status/1683830339637219328

No.16

7月25日,BSC链上的Palmswap项目遭到攻击,攻击者获利超 90 万美元。攻击者首先通过闪电贷借出三百万个 USDT,使用其中一百万个USDT铸造 PLP 代币,攻击者接着调用金库合约中的 buyUSDP函数,直接用两百万个 USDT购买USDP代币,增加了金库合约中的USDT代币数量。攻击者接着移除流动性,燃烧掉持有的PLP代币并卖出USDP代币。由于PLP代币的价格是基于金库中USDT的余额进行计算的,因此 PLP 代币的价格被拉高,使得攻击者获取了超出预期的 USDP 代币,最后卖出USDP并归还闪电贷获利离场。后经项目方与攻击者沟通,攻击者返还80%的资产。

攻击交易:https://www.oklink.com/cn/bsc/tx/0x62dba55054fa628845fecded658ff5b1ec1c5823f1a5e0118601aa455a30eac9

攻击者地址:

https://www.oklink.com/cn/bsc/address/0xf84efa8a9f7e68855cf17eaac9c2f97a9d131366

https://www.oklink.com/cn/bsc/address/0x55252a6d50bfad0e5f1009541284c783686f7f25

相关链接:

https://mp.weixin.qq.com/s/qoZaQbPZMx4nuP-I8EgCEA

No.17

7月25日,BSC链MetaLabz项目新部署的锁仓合约被攻击,项目方损失约7万美元。合约实现的isAuthorized权限校验函数有问题,相当于没有任何权限校验,攻击者调用clearStuckTokens转移走合约内的MLZ代币。

攻击交易:https://www.oklink.com/cn/bsc/tx/0x6d14276f14d7b7f72f201c72b6cf54689211ccb2d295d19e4bb5e9006fda177c

攻击者地址:

https://www.oklink.com/cn/bsc/address/0xf576c7f17bc5a834f8bfe6f810a09eb44818c739

相关链接:

https://twitter.com/Meta_labz/status/1683576178039308288

No.18

7月30日,ETH链及BNB链多个项目遭受攻击,原因是Vyper语言的0.2.15、0.2.16 和 0.3.0 版本的重入锁失效。Curve Finance上的多个稳定币池遭受攻击,DeFi借贷协议Alchemix、DeFi公共产品JPEG’d、DeFi合成资产协议Metronome、跨链桥deBridge、采用Curve机制的BNB链上DEX Ellipsis 和 Curve CRV-ETH交易池,累计损失约5200 万美元。攻击发生后,有许多白帽黑客和抢跑机器人有相关交易,这部分交易获利已经有部分返还项目方。

攻击交易:https://www.oklink.com/cn/eth/tx/0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c

https://www.oklink.com/cn/eth/tx/0xb676d789bb8b66a08105c844a49c2bcffb400e5c1cfabd4bc30cca4bff3c9801

https://www.oklink.com/cn/eth/tx/0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

https://www.oklink.com/cn/eth/tx/0xc93eb238ff42632525e990119d3edc7775299a70b56e54d83ec4f53736400964

攻击者地址:

https://www.oklink.com/cn/eth/address/0xb752def3a1fded45d6c4b9f4a8f18e645b41b324

https://www.oklink.com/cn/eth/address/0xdce5d6b41c32f578f875efffc0d422c57a75d7d8

https://www.oklink.com/cn/eth/address/0x6ec21d1868743a44318c3c259a6d4953f9978538(FrontRunner)https://www.oklink.com/cn/eth/address/0xc0ffeebabe5d496b2dde509f9fa189c25cf29671(c0ffeebabe.eth WhiteHat)

相关链接:

https://twitter.com/BlockSecTeam/status/1685741725103583233

https://twitter.com/tayvano_/status/1685789453556846592

1.2 RugPull盘点

No.1

7月1日,Dogecoin 3.0 项目部署者通过合约后门增发大量代币,实施Rugpull,获利约$70K。项目部署者初始资金来自ChangeNow。

相关链接:

https://www.web3rekt.com/hacksandscams/dogecoin-3-0-1658

No.2

7月15日,ETH链上的GDKCOINETH项目发生RugPull,项目方卖出大量代币,获利约$44k。

相关链接:

https://twitter.com/CertiKAlert/status/1679961132134461443

No.3

7月17日,BSC链上的DMD项目发生RugPull,项目方卖出大量代币,获利约$100k。

相关链接:

https://twitter.com/CertiKAlert/status/1680657569289846784

No.4

7月18日,BSC链上的GMETA项目发生RugPull,项目方卖出大量代币,获利约$3.6M。

相关链接:

https://mp.weixin.qq.com/s/yGSkcLEytPtZWOMMPKxTCQ

No.5

7月19日,ETH链Blockper项目方通过移除流动性实施RugPull,项目方获利约$30k。

相关链接:

https://twitter.com/CertiKAlert/status/1684512967855931392

No.6

7月20日,BSC链IPO项目方通过移除流动性实施RugPull,项目方获利约$483k。

相关链接:

https://twitter.com/CertiKAlert/status/1684512967855931392

No.7

7月22日,BSC链IEGT项目方通过增发代币实施RugPull,项目方获利约$1.1M。

相关链接:

https://twitter.com/BeosinAlert/status/1682709231508639745

No.8

7月22日,BSC链VDon-Key项目方通过移除流动性实施RugPull,项目方获利约$70k。

相关链接:

https://twitter.com/BeosinAlert/status/1682709231508639745

No.9

7月24日,BSC链DeltaProtocol项目方通过移除流动性实施RugPull,项目方获利约$40k。

相关链接:

https://twitter.com/CertiKAlert/status/1683493108841959426

No.10

7月27日,BSC链假LayeZero代币项目移除流动性实施RugPull,项目方获利约$116k。

相关链接:

https://twitter.com/CertiKAlert/status/1684818335836327936

No.11

7月28日,ETH链假IRL代币项目移除流动性实施RugPull,项目方获利约$24k。

相关链接:

https://twitter.com/CertiKAlert/status/1684818335836327936

No.12

7月28日,BSC链ElonPepe项目移除流动性实施RugPull,项目方获利约$184k。

相关链接:

https://twitter.com/CertiKAlert/status/1684850865708871680?s=20

No.13

7月28日,BSC链DefiLabs项目通过withdrawFunds直接提取池内BUSD,项目方获利约$1.4M。

相关链接:

https://twitter.com/BeosinAlert/status/1684736475815157760

No.14

7月29日,zksync链Kannagi项目发生RugPull,项目方从金库移除资产并从跨链桥转移,获利约$1M。

相关链接:

https://twitter.com/CertiKAlert/status/1685172497988165632?s=20

1.3 社媒诈骗与钓鱼盘点

No.1

7月1日 ,多个BoredApeYachtClub,MutantApeYachtClub,BoredApeKennelClub系列NFT被钓鱼后售出,受害用户合计损失约135个ETH。

相关链接:

https://twitter.com/PeckShieldAlert/status/1675089906232868864

No.2

7月2日,Polkadex官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1675275909136281600?s=20

No.3

7月5日,Waterfall_mkt官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1676337444998791169

No.4

7月5日,LayerZero项目CEO推特账号@PrimordialAA遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1676347689594650626

No.5

7月8日,Phi_xyz官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1677439635763388419

No.6

7月8日,PorkiesNFT官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1677494827485655040

No.7

7月8日,Thetanuts Finance官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1677533751117578242

No.8

7月8日,Redacted Money官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1677621848979243009

No.9

7月9日,Paribus官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1678051235964899328

No.10

7月9日,SenSei DeFi官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1678053801985449984

No.11

7月10日,Holoride官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1678194890490904578

No.12

7月10日,OvernightFi官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1678300241554993152

No.13

7月10日,Releap Protocol官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1678322900309254145

No.14

7月10日,UFO Gaming官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1678403217091174404

No.15

7月11日,Star Protocol官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1678568965373669376

No.16

7月12日,Superlotls官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1678982500972986368

No.17

7月13日,SwapdexO官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1679495799099609090

No.18

7月14日,TapioFinance官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1679677229842743296

No.19

7月15日,HouseHaeds官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1679900204303101952

No.20

7月17日,AikoDeshoBTC官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1680692824348454912

No.21

7月17日,Bansheenfts官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1680803391881068546

No.22

7月19日,Flex官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1681066050845114368

No.23

7月19日,Arbitrum 上的 Shell Protocol 项目官方推特账号疑似被盗,发布 SHELL 代币申领相关虚假消息并关闭评论区,攻击者为 PinkDrainer 钓鱼团伙。

相关链接:

https://twitter.com/nftroyalgallery/status/1683138065328644096

No.24

7月19日,去中心化自治组织 PleasrDAO 推特账号被盗,官方推特账号发布虚假代币 PLEASR 申领的相关推文,该组织由 DeFi 领袖、早期 NFT 收藏家及数位艺术家组成。

相关链接:

https://twitter.com/Stunning_Roy/status/1682836489682518017

No.25

7月19日,ElCafeCartel官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1681426505157451776

No.26

7月19日,Swisstronik官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1681386880279904273

No.27

7月19日,ElseVerseWorld官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1681464914592817152

No.28

7月21日,Uniswap 创始人 Hayden Adams 的 Twitter 账号遭到黑客攻击,该账号发送的多条推文包含诈骗网站的链接。

相关链接:

https://twitter.com/CertiKAlert/status/1682133784899072002

No.29

7月22日,GrizzlyFi官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1682517580865585163

No.30

7月26日,Optim Finance官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1684001005745184768

No.31

7月29日,QuasarFi官方Discord遭受攻击,攻击者发布钓鱼链接。

相关链接:

https://twitter.com/CertiKAlert/status/1683572566361792512

1.4 其他

No.1

7月7日,跨链桥项目Multichain的Fantom桥通过transfer转移大量资产到EOA地址,7月11日又有价值超过103M的资产被转移到0x1eed63efba5f81d95bfe37d82c8e736b974f477b,7月14日 Multichain 项目方发布声明解释事情经过,目前用户资金损失高达1.26亿美元。

No.2

7月12日,钱包提供商Klever发布报告,称已知的低熵助记词漏洞影响了部分钱包。该随机生成算法由Bip39实现的,被许多加密货币钱包提供商使用。Klever建议立即迁移到在 Klever 钱包 K5 或 Klever Safe 上创建的新钱包。

No.3

7月23日,加密货币支付服务商 Alphapo 热钱包被盗,包括 TRON, ETH, BTC 链,损失超 2300 万美元,Alphapo 客户 HypeDrop 已经禁用取款功能。

二、安全总结

2023年7月,安全事件所引发的损失比上个月大幅度上升。从导致这些攻击的智能合约漏洞来看,重入攻击依然频繁出现。此外,价格操控,权限控制以及业务逻辑问题也与多起安全事件有关。重入攻击的类型包括只读重入,涉及Conic Finance和Eralend等项目,以及经典重入,影响了与Curve池相关的多个项目。这些事件提醒我们,完成开发后的单元测试不能只流于形式,而应考虑到复杂场景的测试。智能合约的安全审计能够发掘出潜在的安全问题,但项目的安全性还需要日常维护,如Bug Bounty项目。项目方也需要预先设想出应急处理流程,以在发生安全事件时最大程度地减少项目损失。此外,除了REKT和RugPull事件,本月发生的Multichain事件也给我们敲响了警钟:我们不能盲目地信任项目方声称的去中心化管理方式。最后,本月社媒诈骗钓鱼依旧保持多发态势,用户参与项目时,需多方验证信息真实性,不能随意点击可疑链接。

免责声明:OKLink学院仅提供信息参考,不构成任何投资建议。

相关推荐

security-insight