OKLink:2023年7月安全事件盘点
OKLink:2023年7月安全事件盘点
2023.08.05
一、基本信息
2023年7月REKT和RugPull事件累计造成约8000万美元损失,相比上月1000万美元损失有显著上升。REKT和RugPull事件中,由于Vyper个别版本重入锁失效,给Curve相关流动性池造成重大损失,虽然在此次事件中,白帽黑客以及抢跑机器人帮忙挽回部分损失,损失金额仍超5000万美元;曾被攻击过的Polynetwork本月再次发生安全事件,造成约1000万美元损失;BSC链的GMETA以及zkSync链的Kannagi发生RugPull,给用户造成数百万美元损失。此外,月初的Multichain事件,用户受损资金高达1.26亿美元。最后,社交媒体钓鱼事件依旧层出不穷,项目方Discord和Twitter权限被控制,攻击者发布钓鱼链接的事件时有发生。
1.1 REKT盘点
No.1
7月1日,ETH链上AzukiDao治理代币BEAN遭遇攻击。BEAN智能合约的Claim函数虽然利用变量signatureClaimed记录了已领取交易的签名数据,但并没有对重复申领进行检查。攻击者重复调用Claim函数九百多次,每次获得6250个BEAN代币,最终卖出得到35个ETH,获利约7万美元。
攻击交易:https://www.oklink.com/cn/eth/tx/0x7fef7c0da501130a44e87c0cd0aeb2da38cc49cd0228c7fcc601be747733064d
攻击者地址:https://www.oklink.com/cn/eth/address/0x85d231c204b82915c909a05847cca8557164c75e
相关链接:
https://twitter.com/MetaSleuth/status/1675783742231805954
No.2
7月2日,Polynetwork 被攻击,攻击者在目标链调用EthCrossChainManager合约的verifyHeaderAndExecuteTx函数,直接提取或增发大量资产,总价值超过420亿美元,但因链上流动性不足以及项目方及时冻结项目代币,攻击者不能全部变现。攻击者在ETH链将部分代币兑换为约5000多个ETH,获利约1000万美元。从源链和目标链相关攻击交易可以看到,目标链解锁资产的数据与源链锁定资产的数据相比发生了变化,攻击者在源链锁定小额资产就可以在目标链解锁大额资产。链上智能合约代码实现没有问题,怀疑是私钥泄漏或链下服务漏洞导致的攻击。
相关链接:
https://twitter.com/WuBlockchain/status/1675331243972624385
No.3
7月4号,BSC链项目Bamboo AI (BAMBOO)被攻击,攻击者获利216个BNB,价值约为5.3万美元。BAMBOO代币在transfer函数中,会燃烧流动性池持有的部分代币,攻击者闪电贷4042个WBNB,并兑换成137M BAMBOO代币,然后将代币转移到流动性池,触发代币燃烧机制,并调用skim取出流动性池多余代币,重复transfer和skim操作拉高BAMBOO代币价格,最后卖出BAMBOO代币获利。
攻击交易:https://www.oklink.com/cn/bsc/tx/0x88a6c2c3ce86d4e0b1356861b749175884293f4302dbfdbfb16a5e373ab58a10
相关链接:
https://twitter.com/BeosinAlert/status/1676235288320827393
No.4
7月8日,ETH链上合约CIVNFT遭受授权攻击,造成约18万美元损失。漏洞核心原因是签名为0x7ca06d68的函数缺乏权限控制,使得攻击者通过操纵_uniswapV3MintCallback成功调用到攻击合约,攻击合约利用transferFrom转移用户授权资产。
攻击交易:https://www.oklink.com/cn/eth/tx/0x93a033917fcdbd5fe8ae24e9fe22f002949cba2f621a1c43a54f6519479caceb
攻击者地址:https://www.oklink.com/cn/eth/address/0xf169bd68ed72b2fdc3c9234833197171aa000580
相关链接:
https://twitter.com/Phalcon_xyz/status/1677722208893022210
No.5
7月10日,Arcadia Finance项目在Ethereum和Optimism链遭受攻击,攻击者获利约78万美元。攻击者闪电贷WETH和USDC代币存入ArcadiaFi协议,并通过doActionWithLeverage调用将资产放大5倍后存入合约ActionMultiCall。攻击者利用可以控制的输入参数actionData,使ActionMultiCall合约将WETH和USDC授权给攻击者,然后通过transferFrom调用转移走相应资金。但因协议会进行资产价值检查,攻击者还利用重入漏洞,对账号进行清算,使得检查正常通过,完成攻击。
攻击交易:
https://www.oklink.com/cn/eth/tx/0xefc4ac015069fdf9946997be0459db44c0491221159220be782454c32ec2d651
攻击者地址:
https://www.oklink.com/cn/eth/address/0x5c75e94dd0ab9c10bfd1b8073dafef031d3c050d
相关链接:
https://twitter.com/BeosinAlert/status/1678302670040498179
No.6
7月11日,Polygon链合约LibertiVault遭受攻击,攻击者获利约29万美元。攻击者首先闪电贷5M个USDT,然后调用LibertiVault的deposit函数存入2.5M,在此过程中,协议会拿deposit的部分代币进行swap,从而调用到攻击者合约。攻击者合约重入LibertiVault的depoist函数,再次存入2.5M USDT,从而获得更多比例的凭证代币并最终获利。攻击交易:https://www.oklink.com/cn/polygon/tx/0x7320accea0ef1d7abca8100c82223533b624c82d3e8d445954731495d4388483
攻击者地址:https://www.oklink.com/cn/polygon/address/0xfd2d3ffb05ad00e61e3c8d8701cb9036b7a16d02https://www.oklink.com/cn/polygon/address/0xdfcdb5a86b167b3a418f3909d6f7a2f2873f2969相关链接:https://twitter.com/BeosinAlert/status/1678787311142854665
No.7
7月11日,Aribtrum链Rodeo Finance项目被攻击,攻击者获利约88万美元。攻击者从Rodeo pool借出400k的USDC,然后通过CamelotPair兑换成WETH,再兑换成unshETH,并放入StrategyLong合约。由于unshETH预言机被操纵,使得获取的unshETH的价格被拉高近1倍,导致计算出来的USDC可以兑换的unshETH的数量减少,进行swap时滑点设置不合理,导致本应revert的swap操作得以执行。攻击者通过在CamelotPair造成的价格差,然后通过在Camelot和Uniswap这两个DEX之间进行套利来获利。
攻击者地址:https://www.oklink.com/cn/arbitrum/address/0x2f3788f2396127061c46fc07bd0fcb91faace328
相关链接:
https://twitter.com/peckshield/status/1678700465587130368
No.8
7月12日,Avalanche链上Platypus项目遭受攻击,攻击者获利约5万美元。攻击者首先从AAVE闪电贷获得USDC,然后通过deposit调用将USDC存入协议,再调用withdrawFromOtherAsset取出USDC.e,协议关于USDC.e的兑换比例计算逻辑错误,攻击者可以提取出更多的USDC.e,最后将USDC.e卖出获利。
攻击交易:https://www.oklink.com/cn/avax/tx/0x5e785b87e62252b1fff3283ce260d74cb5b3efc4588d7a0297f505482cbab388
相关链接:
https://twitter.com/BeosinAlert/status/1678943417974378496
No.9
7月12日,BSC链上WGPT代币遭受攻击,攻击者获利约8万美元。WGPT代币合约实现中的transferFrom函数,会使用合约中的USDT去流动性池购买WGPT代币,攻击者调用transferFrom函数,将代币转账到流动性池,再通过skim取回,重复该步骤使得合约内USDT持续购买WGPT代币,从而提升WGPT代币价格,最后攻击者将持有的WGPT卖出获利。
攻击交易:https://www.oklink.com/cn/bsc/tx/0x258e53526e5a48feb1e4beadbf7ee53e07e816681ea297332533371032446bfd
相关链接:
https://twitter.com/Phalcon_xyz/status/1679042549946933248
No.10
7月18日,BSC链上BNO代币遭受攻击,攻击者获利约50万美元。BNO合约的emergencyWithdrawal函数允许用户提取ERC20 代币权益,会重置userInfo的allStake和rewardDebt字段为0,但函数并没有处理NFT权益记录,即不会重置nftAddtion,攻击者重复stakeNft,emergencyWithdraw及unstakeNft操作,重复获得BNO代币奖励从而获利。
攻击交易:https://www.oklink.com/cn/bsc/tx/0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9
攻击者地址:https://www.oklink.com/cn/bsc/address/0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd
相关链接:
https://twitter.com/BeosinAlert/status/1681116206663876610
No.11
7月18日,BSC链APEDAO项目遭受攻击,项目方损失约0.7万美元。攻击者将APEDAO代币转移到Pair合约,再通过skim调用取回,在这个过程中,变量amountToDead会累积准备从pair销毁到APEDAO数量。攻击者重复transfer/skim操作,最后调用goDead使Pair合约燃烧一定数量APEDAO代币,从而拉高其价格,反向卖出APEDAO获利。
攻击交易:https://www.oklink.com/cn/bsc/tx/0x8d35dfd9968ce61fb969ffe8dcc29eeeae864e466d2cb0b7d26ce63644691994
攻击者地址:
https://www.oklink.com/cn/bsc/address/0x10703f7114dce7beaf8d23cde4bf72130bb0f56a
相关链接:
https://twitter.com/BeosinAlert/status/1681316257034035201
No.12
7月18日,BSC链Carson项目遭受攻击,项目方损失约14.5万美元。攻击者首先闪电贷150万个BUSD,购买Carson代币,然后分多笔卖出。由于Carson在transfer过程存在收税及销毁,导致买入卖出间存在价格差从而获利。
攻击交易:https://www.oklink.com/cn/bsc/tx/0x37d921a6bb0ecdd8f1ec918d795f9c354727a3ff6b0dba98a512fceb9662a3ac
攻击者地址:https://www.oklink.com/cn/bsc/address/0x25bcbbb92c2ae9d0c6f4db814e46fd5c632e2bd3
相关链接:
https://twitter.com/PeckShieldAlert/status/1684378929937911811
No.13
7月20日,BSC链上一系列airdrop函数实现有问题的代币被攻击,相关损失达23万美元,包括FFIST,QX,Utopia代币等项目。这些代币的transfer动作中,会调用到airdrop函数,即给一个随机地址空投代币。该随机地址通过上一次空投地址、当前区块编号、transfer的to地址等参数进行计算。攻击者通过控制to地址,使计算出的随机地址为该代币对应的流动性池地址。而airdrop函数实现错误地将目标地址balance设置为airdropAmount,而非累加。导致攻击者控制了流动性池代币数量,变相拉高了代币价格,从而可以进行卖出获利。
攻击者地址:
https://www.oklink.com/cn/bsc/address/0xe84ef3615b8df94c52e5b6ef21acbf0039b29113
https://www.oklink.com/cn/bsc/address/0xcc8617331849962c27f91859578dc91922f6f050
相关链接:
https://twitter.com/BeosinAlert/status/1681864948186505217
No.14
7月21日,ETH链Conic Finance项目ETH omnipool 遭受一系列黑客攻击,造成损失约 330 万美元。攻击的根本原因是CurveLPOracleV2合约存在只读重入问题。攻击者从AAVE,Balancer闪电贷获得stETH/cbETH/rETH/wETH等资产合计约7万枚,存入ConicEthPool,然后操纵steCRV、cbETH/ETH-f、rETH-f等代币的价格,并利用只读重入漏洞来绕过价格预言机对代币价格合理性的检查,从而使得攻击者可以转移比他们存入要更多的流动性代币来获利。
攻击交易:https://www.oklink.com/cn/eth/tx/0x8b74995d1d61d3d7547575649136b8765acb22882960f0636941c44ec7bbe146
攻击者地址:https://www.oklink.com/cn/eth/address/0x8d67db0b205e32a5dd96145f022fa18aae7dc8aa
No.15
7月25日,zksync链上项目EraLend遭受攻击,项目方损失约270万美元。本次漏洞为价格预言机只读重入,池子提取出流动性之后,触发了回调事件但是没有立即更新池子中的Token数量,导致价格没有更新。然后在回调事件中执行合约处理逻辑,读取了一个不正确的价格,从而导致EraLend项目的cToken合约借贷价值计算和清算价值计算不一致,借贷的数量高于偿还的数量,使得攻击者可以在借贷并清算后获利。攻击交易:https://www.oklink.com/cn/zksync/tx/0x99efebacb3edaa3ac34f7ef462fd8eed85b46be281bd1329abfb215a494ab0ef
攻击者地址:https://www.oklink.com/cn/zksync/address/0xf1d076c9be4533086f967e14ee6aff204d5ece7a
相关链接:
https://twitter.com/peckshield/status/1683830339637219328
No.16
7月25日,BSC链上的Palmswap项目遭到攻击,攻击者获利超 90 万美元。攻击者首先通过闪电贷借出三百万个 USDT,使用其中一百万个USDT铸造 PLP 代币,攻击者接着调用金库合约中的 buyUSDP函数,直接用两百万个 USDT购买USDP代币,增加了金库合约中的USDT代币数量。攻击者接着移除流动性,燃烧掉持有的PLP代币并卖出USDP代币。由于PLP代币的价格是基于金库中USDT的余额进行计算的,因此 PLP 代币的价格被拉高,使得攻击者获取了超出预期的 USDP 代币,最后卖出USDP并归还闪电贷获利离场。后经项目方与攻击者沟通,攻击者返还80%的资产。
攻击交易:https://www.oklink.com/cn/bsc/tx/0x62dba55054fa628845fecded658ff5b1ec1c5823f1a5e0118601aa455a30eac9
攻击者地址:
https://www.oklink.com/cn/bsc/address/0xf84efa8a9f7e68855cf17eaac9c2f97a9d131366
https://www.oklink.com/cn/bsc/address/0x55252a6d50bfad0e5f1009541284c783686f7f25
相关链接:
https://mp.weixin.qq.com/s/qoZaQbPZMx4nuP-I8EgCEA
No.17
7月25日,BSC链MetaLabz项目新部署的锁仓合约被攻击,项目方损失约7万美元。合约实现的isAuthorized权限校验函数有问题,相当于没有任何权限校验,攻击者调用clearStuckTokens转移走合约内的MLZ代币。
攻击交易:https://www.oklink.com/cn/bsc/tx/0x6d14276f14d7b7f72f201c72b6cf54689211ccb2d295d19e4bb5e9006fda177c
攻击者地址:
https://www.oklink.com/cn/bsc/address/0xf576c7f17bc5a834f8bfe6f810a09eb44818c739
相关链接:
https://twitter.com/Meta_labz/status/1683576178039308288
No.18
7月30日,ETH链及BNB链多个项目遭受攻击,原因是Vyper语言的0.2.15、0.2.16 和 0.3.0 版本的重入锁失效。Curve Finance上的多个稳定币池遭受攻击,DeFi借贷协议Alchemix、DeFi公共产品JPEG’d、DeFi合成资产协议Metronome、跨链桥deBridge、采用Curve机制的BNB链上DEX Ellipsis 和 Curve CRV-ETH交易池,累计损失约5200 万美元。攻击发生后,有许多白帽黑客和抢跑机器人有相关交易,这部分交易获利已经有部分返还项目方。
攻击交易:https://www.oklink.com/cn/eth/tx/0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c
https://www.oklink.com/cn/eth/tx/0xb676d789bb8b66a08105c844a49c2bcffb400e5c1cfabd4bc30cca4bff3c9801
https://www.oklink.com/cn/eth/tx/0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c
https://www.oklink.com/cn/eth/tx/0xc93eb238ff42632525e990119d3edc7775299a70b56e54d83ec4f53736400964
攻击者地址:
https://www.oklink.com/cn/eth/address/0xb752def3a1fded45d6c4b9f4a8f18e645b41b324
https://www.oklink.com/cn/eth/address/0xdce5d6b41c32f578f875efffc0d422c57a75d7d8
https://www.oklink.com/cn/eth/address/0x6ec21d1868743a44318c3c259a6d4953f9978538(FrontRunner)https://www.oklink.com/cn/eth/address/0xc0ffeebabe5d496b2dde509f9fa189c25cf29671(c0ffeebabe.eth WhiteHat)
相关链接:
https://twitter.com/BlockSecTeam/status/1685741725103583233
https://twitter.com/tayvano_/status/1685789453556846592
1.2 RugPull盘点
No.1
7月1日,Dogecoin 3.0 项目部署者通过合约后门增发大量代币,实施Rugpull,获利约$70K。项目部署者初始资金来自ChangeNow。
相关链接:
https://www.web3rekt.com/hacksandscams/dogecoin-3-0-1658
No.2
7月15日,ETH链上的GDKCOINETH项目发生RugPull,项目方卖出大量代币,获利约$44k。
相关链接:
https://twitter.com/CertiKAlert/status/1679961132134461443
No.3
7月17日,BSC链上的DMD项目发生RugPull,项目方卖出大量代币,获利约$100k。
相关链接:
https://twitter.com/CertiKAlert/status/1680657569289846784
No.4
7月18日,BSC链上的GMETA项目发生RugPull,项目方卖出大量代币,获利约$3.6M。
相关链接:
https://mp.weixin.qq.com/s/yGSkcLEytPtZWOMMPKxTCQ
No.5
7月19日,ETH链Blockper项目方通过移除流动性实施RugPull,项目方获利约$30k。
相关链接:
https://twitter.com/CertiKAlert/status/1684512967855931392
No.6
7月20日,BSC链IPO项目方通过移除流动性实施RugPull,项目方获利约$483k。
相关链接:
https://twitter.com/CertiKAlert/status/1684512967855931392
No.7
7月22日,BSC链IEGT项目方通过增发代币实施RugPull,项目方获利约$1.1M。
相关链接:
https://twitter.com/BeosinAlert/status/1682709231508639745
No.8
7月22日,BSC链VDon-Key项目方通过移除流动性实施RugPull,项目方获利约$70k。
相关链接:
https://twitter.com/BeosinAlert/status/1682709231508639745
No.9
7月24日,BSC链DeltaProtocol项目方通过移除流动性实施RugPull,项目方获利约$40k。
相关链接:
https://twitter.com/CertiKAlert/status/1683493108841959426
No.10
7月27日,BSC链假LayeZero代币项目移除流动性实施RugPull,项目方获利约$116k。
相关链接:
https://twitter.com/CertiKAlert/status/1684818335836327936
No.11
7月28日,ETH链假IRL代币项目移除流动性实施RugPull,项目方获利约$24k。
相关链接:
https://twitter.com/CertiKAlert/status/1684818335836327936
No.12
7月28日,BSC链ElonPepe项目移除流动性实施RugPull,项目方获利约$184k。
相关链接:
https://twitter.com/CertiKAlert/status/1684850865708871680?s=20
No.13
7月28日,BSC链DefiLabs项目通过withdrawFunds直接提取池内BUSD,项目方获利约$1.4M。
相关链接:
https://twitter.com/BeosinAlert/status/1684736475815157760
No.14
7月29日,zksync链Kannagi项目发生RugPull,项目方从金库移除资产并从跨链桥转移,获利约$1M。
相关链接:
https://twitter.com/CertiKAlert/status/1685172497988165632?s=20
1.3 社媒诈骗与钓鱼盘点
No.1
7月1日 ,多个BoredApeYachtClub,MutantApeYachtClub,BoredApeKennelClub系列NFT被钓鱼后售出,受害用户合计损失约135个ETH。
相关链接:
https://twitter.com/PeckShieldAlert/status/1675089906232868864
No.2
7月2日,Polkadex官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1675275909136281600?s=20
No.3
7月5日,Waterfall_mkt官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1676337444998791169
No.4
7月5日,LayerZero项目CEO推特账号@PrimordialAA遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1676347689594650626
No.5
7月8日,Phi_xyz官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1677439635763388419
No.6
7月8日,PorkiesNFT官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1677494827485655040
No.7
7月8日,Thetanuts Finance官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1677533751117578242
No.8
7月8日,Redacted Money官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1677621848979243009
No.9
7月9日,Paribus官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1678051235964899328
No.10
7月9日,SenSei DeFi官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1678053801985449984
No.11
7月10日,Holoride官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1678194890490904578
No.12
7月10日,OvernightFi官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1678300241554993152
No.13
7月10日,Releap Protocol官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1678322900309254145
No.14
7月10日,UFO Gaming官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1678403217091174404
No.15
7月11日,Star Protocol官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1678568965373669376
No.16
7月12日,Superlotls官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1678982500972986368
No.17
7月13日,SwapdexO官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1679495799099609090
No.18
7月14日,TapioFinance官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1679677229842743296
No.19
7月15日,HouseHaeds官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1679900204303101952
No.20
7月17日,AikoDeshoBTC官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1680692824348454912
No.21
7月17日,Bansheenfts官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1680803391881068546
No.22
7月19日,Flex官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1681066050845114368
No.23
7月19日,Arbitrum 上的 Shell Protocol 项目官方推特账号疑似被盗,发布 SHELL 代币申领相关虚假消息并关闭评论区,攻击者为 PinkDrainer 钓鱼团伙。
相关链接:
https://twitter.com/nftroyalgallery/status/1683138065328644096
No.24
7月19日,去中心化自治组织 PleasrDAO 推特账号被盗,官方推特账号发布虚假代币 PLEASR 申领的相关推文,该组织由 DeFi 领袖、早期 NFT 收藏家及数位艺术家组成。
相关链接:
https://twitter.com/Stunning_Roy/status/1682836489682518017
No.25
7月19日,ElCafeCartel官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1681426505157451776
No.26
7月19日,Swisstronik官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1681386880279904273
No.27
7月19日,ElseVerseWorld官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1681464914592817152
No.28
7月21日,Uniswap 创始人 Hayden Adams 的 Twitter 账号遭到黑客攻击,该账号发送的多条推文包含诈骗网站的链接。
相关链接:
https://twitter.com/CertiKAlert/status/1682133784899072002
No.29
7月22日,GrizzlyFi官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1682517580865585163
No.30
7月26日,Optim Finance官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1684001005745184768
No.31
7月29日,QuasarFi官方Discord遭受攻击,攻击者发布钓鱼链接。
相关链接:
https://twitter.com/CertiKAlert/status/1683572566361792512
1.4 其他
No.1
7月7日,跨链桥项目Multichain的Fantom桥通过transfer转移大量资产到EOA地址,7月11日又有价值超过103M的资产被转移到0x1eed63efba5f81d95bfe37d82c8e736b974f477b,7月14日 Multichain 项目方发布声明解释事情经过,目前用户资金损失高达1.26亿美元。
No.2
7月12日,钱包提供商Klever发布报告,称已知的低熵助记词漏洞影响了部分钱包。该随机生成算法由Bip39实现的,被许多加密货币钱包提供商使用。Klever建议立即迁移到在 Klever 钱包 K5 或 Klever Safe 上创建的新钱包。
No.3
7月23日,加密货币支付服务商 Alphapo 热钱包被盗,包括 TRON, ETH, BTC 链,损失超 2300 万美元,Alphapo 客户 HypeDrop 已经禁用取款功能。
二、安全总结
2023年7月,安全事件所引发的损失比上个月大幅度上升。从导致这些攻击的智能合约漏洞来看,重入攻击依然频繁出现。此外,价格操控,权限控制以及业务逻辑问题也与多起安全事件有关。重入攻击的类型包括只读重入,涉及Conic Finance和Eralend等项目,以及经典重入,影响了与Curve池相关的多个项目。这些事件提醒我们,完成开发后的单元测试不能只流于形式,而应考虑到复杂场景的测试。智能合约的安全审计能够发掘出潜在的安全问题,但项目的安全性还需要日常维护,如Bug Bounty项目。项目方也需要预先设想出应急处理流程,以在发生安全事件时最大程度地减少项目损失。此外,除了REKT和RugPull事件,本月发生的Multichain事件也给我们敲响了警钟:我们不能盲目地信任项目方声称的去中心化管理方式。最后,本月社媒诈骗钓鱼依旧保持多发态势,用户参与项目时,需多方验证信息真实性,不能随意点击可疑链接。
