OKLink 2023年度安全事件盘点
OKLink:2023年8月安全事件盘点
一、基本信息
2023 年 8 月 REKT 和 RugPull 事件累计造成约 4182 万美元损失,比上月 8000 万损失额下降明显,事件数量基本持平。在上月 Curve 被盗数千万美元之后,另一个老牌头部项目 Balancer 也出现问题,其多个 V2 池存在严重漏洞。但由于项目方收到漏洞反馈后紧急处理,公开时仅有占TVL 4%的资金面临风险,大大降低了损失,给其他项目的应急程序提供了借鉴经验。本月损失最大的为 ExactlyProtocol,其输入参数缺乏验证也是常见的问题,事后分析报告也强调了进行全面审计的重要性。本月 RugPull 事件数量较上月增加了几倍,损失金额也超过了 REKT 部分。在本月 RugPull 事件中,除了 BSC,在新公链 BASE 及 Linea 生态上也出现多起案例,对用户造成了巨大损失。最后社交媒体钓鱼事件依旧层出不穷,项目方 Discord 和 Twitter 权限被控制,发布钓鱼链接的事件仍旧时有发生。
1.1 REKT盘点
No.1
8 月 1 日,Base 链上的去中心化交易平台 @LeetSwap 遭到攻击,攻击者获利约 $624K。本次被攻击的主要原因是在 Pair 合约中,_transferFeesSupportingTaxTokens() 函数外部可调用,该函数可以转移合约中的任意数量的指定代币到收取手续费的地址。于是攻击者首先进行一次正常的小额 swap 操作以获取下一次 swap 时所需的代币,紧接着调用 _transferFeesSupportingTaxTokens() 函数将 Pair 中的其中一方代币几乎全部转移给了收取手续费的地址,从而使得 Pair 的流动性失衡。最后再调用 sync() 函数平衡池子后反向 swap 套取超出预期的 ETH。
攻击交易:
https://basescan.org/tx/0xbb837d417b76dd237b4418e1695a50941a69259a1c4dee561ea57d982b9f10ec
攻击者地址:
https://basescan.org/address/0x5B030F90DB67190373DBF3422436DF4C62F60A60
No.2
8 月 1 日,ETH 链上 0x786b374b 合约被攻击,根本原因是它有一个公共函数 execute() 为 DAI/USDC/USDT 池增加流动性。由于缺少权限控制,攻击者可以构造恶意参数获得所添加的代币。攻击者获利约$36.8K。
攻击交易:
https://www.oklink.com/cn/eth/tx/0xd493c73397952049644c531309df3dd4134bf3db1e64eb6f0b68b016ee0bffde
攻击者地址:
https://www.oklink.com/cn/eth/address/0xccc526e2433db1eebb9cbf6acd7f03a19408278c
No.3
8 月 2 日,ETH 链上 @uwerx_network 项目遭到攻击,损失约 175 个 ETH,价值约$322K。根本原因是在 _transfer()函数中,余额被扣除了两次。
攻击交易:
https://www.oklink.com/cn/eth/tx/0x3b19e152943f31fe0830b67315ddc89be9a066dc89174256e17bc8c2d35b5af8
攻击者地址:
https://www.oklink.com/cn/eth/address/0x6057a831d43c395198a10cf2d7d6d6a063b1fce4
No.4
8 月 2 日,Arbitrum 链上的 @Neutrafinance 项目遭到攻击,损失 ~23.5 ETH,价值约$43K。根本原因是转换函数使用的现货价格与另一个同名的池子冲突。可以通过 convert() 方法将其中一个(CMLT-LP-65eb)转换为另一个(CMLT-LP-2ea3)。
攻击交易:
攻击者地址:
https://www.oklink.com/cn/arbitrum/address/0x39b842bb7287afc516db176b76c5cbbd8caa1e84
No.5
8 月 2 日,Arbitrum 链上的未开源合约( 0xd614927Ac )遭到攻击,损失 461 ETH,价值约 $846K。根本原因是在受害者合约中的闪电贷方法中对攻击者合约进行了 approve 操作,从而使攻击者能够通过调用 transferFrom()将资产转移出去。
攻击交易:
攻击者地址:
https://www.oklink.com/cn/arbitrum/address/0x826b180cd3d6fd0a646875f920bb2cf52b7f0b0b
No.6
8 月 7 日,Steadefi 遭到攻击,资金从 Arbitrum 和 Avalanche 流出,损失约 $1.14M。根本原因是恶意软件注入和操作安全不当。
攻击者地址:
https://www.oklink.com/cn/arbitrum/address/0x9cf71f2ff126b9743319b60d2d873f0e508810dc
No.7
8 月 7 日,Solana 上的 Cypher 程序遭到黑客攻击,损失约 $1M 美元。 Cypher 存在两个账户用于储存用户数据,使用户能够用保证金进行借贷和交易。漏洞根本原因是在修改子账户(CypherSubAccount)的抵押模式时,没有在主账户(CypherAccount)中更新新的抵押模式,导致主账户与子账户之间存在数值不一致的情况,使得连接到该抵押子账户的主账户处于损坏状态,攻击者能够借款并绕过抵押比率检查。
攻击交易:
https://www.oklink.com/cn/sol/tx/tiwo6s8LxN3HvNMUWX2t5CrXeWpDXmhKURwMf7m4XeKCDSGaQmvy6iTJ6fR4R3byiQZEGBrrSDXeYQUqEMnUAuz(USDC Transfer)
https://www.oklink.com/cn/sol/tx/4ZqYRfvPePGLpZCb6t1iq7gNMUwsrkcQoSAiDHq9gEYUve9t3b598Qf63uErtaoB1onScKf7VcmM3u8qVbAd3XK6(USDC transfer2)
攻击者地址:
https://www.oklink.com/cn/sol/account/HHm4wK91XvL3hhEC4hQHo544rtvkaKohQPc59TvZeC71
No.8
8 月 7 日,ETH 链上 Earning Farm 项目遭到攻击,根本原因是代码逻辑错误,对 shares 和 LP token 进行了错误的处理。导致攻击者可以 burn 少量 LP 获取大量 ETH。损失约$528K。
攻击交易:
攻击者地址:
https://www.oklink.com/cn/eth/tx/0x6e6e556a5685980317cb2afdb628ed4a845b3cbd1c98bdaffd0561cb2c4790fa(之一)
https://www.oklink.com/cn/eth/address/0xee4b3dd20902fa3539706f25005fa51d3b7bdf1b
No.9
8 月 10 日,ETH 链上 Infinity 项目遭到攻击,根本原因是 regenerateMany() 函数实际上用户不需要拥有任何代币,就可以为自己重新铸造任意数量的代币。损失约$71K。
攻击交易:
https://www.oklink.com/cn/eth/tx/0xe06960e423066113a54de8cf3c8fcfcd2bfe9fbef7d3b32d24ea8a55b7dff567
https://www.oklink.com/cn/eth/tx/0x3104984bc5f71dd86a6cd4f25a860354d0eaa62603b9c51c9e6f29c6b4a707a5
攻击者地址:
https://www.oklink.com/cn/eth/address/0x78767df0e5ebe44dd4ed7de89dfea99368eea844
No.10
8 月 10 日,Coredao 生态上 Aquarius Lending Protocol 上遭到攻击,根本原因是其 USDT 市场创建和管理过程中的疏忽。项目方所创建的旧 USDT 市场初始汇率设置错误,抵押系数设置为 80%。通过重新部署了新的 USDT 市场纠正了汇率问题。然而未将旧 USDT 市场的抵押品系数设为 0,攻击者从而能够获利。损失约$253K。
攻击交易:
https://scan.coredao.org/tx/0x14aff21ea3255a1bf0b44bab7cb7250683a6ba4be6eaf237a08e877b71c37aa4
攻击者地址:
https://scan.coredao.org/address/0xc46dfc9b073af2e89896ba82599b5260639a3958
No.11
8 月 13 日,ETH 链上 Zunami Protocol 遭到攻击。其根本原因是价格操纵,攻击者利用闪贷操纵 SDT SushiSwap 池子中的储备金数量,从而影响 UZD 合约中的资产价格进行攻击。攻击者获利约$2.18M。
攻击交易:
https://www.oklink.com/cn/eth/tx/0x2aec4fdb2a09ad4269a410f2c770737626fb62c54e0fa8ac25e8582d4b690cca
https://www.oklink.com/cn/eth/tx/0x0788ba222970c7c68a738b0e08fb197e669e61f9b226ceec4cab9b85abe8cceb
攻击者地址:
https://www.oklink.com/cn/eth/address/0x5f4c21c9bb73c8b4a296cc256c0cde324db146df
No.12
8 月 14 日,BASE 链上 RocketSwap 项目遭到攻击,其根本原因是私钥泄漏。在部署 Launchpad 时需要使用离线签名项目方将私钥放在服务器上,服务器被暴力破解。攻击者获利约 $1.54M。
攻击交易:
https://basescan.org/tx/0x9b384f72d0817c99d2829c1226729de0c2ae29aa8ae7d32f1feaa6fc358de026
https://basescan.org/tx/0xfbd44b6ebc97095eef5793af40d7c5eb6241065f42f3128f6732c2f6c06a298c
https://basescan.org/tx/0x427b57aeecce13b1ae32e4c8aa552446452e65dc64295c226d40155532caf34c
https://basescan.org/tx/0x330edb831110ba2f05616e389becd29d183dd5d31648df258931dbfb2db21af0
https://basescan.org/tx/0xd9f062b32bb7094d91910b551ee7ddbc658e3b3f11b5c31dbc4dc6d53534dab3
https://basescan.org/tx/0x6594045cf4c94e674028fed79f62bfefee2dc5d71f22e8be1856ec9ac0f7be8c
攻击者地址:
https://www.oklink.com/cn/eth/address/0x96c0876f573e27636612cf306c9db072d2b13de8
No.13
8 月 14 日,BSC 上的 Atlanverse 项目遭到攻击,损失约 $5.4K 。
攻击交易:
https://www.oklink.com/cn/bsc/tx/0x32cc7084715d2d30b049d8321a74d642e92e386df6d889c0ab7809b1d91ab333
https://www.oklink.com/cn/bsc/tx/0xf58bed3bb09a3099db847c01565d0819982e943cbdc55b0d280071b63cbce2a7
攻击者地址:
https://www.oklink.com/cn/bsc/address/0x9d92db2faf5ce6e058e25c65593b63da2e7f9bfd
No.14
8 月 18 日,Harbor Protocol 遭到攻击,攻击者通过在 Comdex 上的 AMM cSwap 操纵 Luna、stOsmo 和 wMATIC 三种抵押资产的价格,然后利用这些资产在 Comdex 链上的 Harbor 协议中铸造稳定币 CMST。由于攻击者拉高了这些资产在 cSwap 上的价格,可以更高的抵押价格从这三个资产存储库借取 CMST。攻击的总损失目前估计约为$250K。
攻击者地址:
https://www.mintscan.io/comdex/accounts/comdex1sma0ntw7fq3fpux8suxkm9h8y642fuqt0ujwt5
https://www.mintscan.io/comdex/accounts/comdex1y70akwhauhxaxf5fl70qk3t76c84ulmsff8j9g
No.15
8 月 18 日,Optimism 链上的 ExactlyProtocol 项目遭到攻击,根本原因是检查不充分,导致 DebtManager 中的市场地址被替换为恶意地址,从而窃取用户资金。损失约$7.6M。
攻击交易:
攻击者地址:
https://www.oklink.com/cn/optimism/address/0x3747dbbcb5c07786a4c59883e473a2e38f571af9
No.16
8 月 19 日,Thales Market 项目在 BSC 上受到攻击。根本原本是项目方核心贡献者的电脑/Metamask 可能被黑客入侵,导致部分热钱包资金丢失。损失约$38K。
攻击交易:
https://www.oklink.com/cn/bsc/tx/0x2fd26d3a973aac49e8331d0c5783a1da1ef67920fb0983f2f8f4a818e11416e1
https://www.oklink.com/cn/bsc/tx/0xca046d6126b11eea07a0f1df5c2a12c1e54a49aa41ebf878defbd5131758d3d3
https://www.oklink.com/cn/bsc/tx/0x708f8c79519fad46277e682a07c1ff9d87d8dc300b2d0d8c70847678a1513b9d
攻击者地址:
https://www.oklink.com/cn/bsc/address/0xca1c859a40f39b0bac46551fa5e9fb969898ae70
No.17
Balancer 在 8 月 22 日报告了一个严重漏洞,对几个 V2 池采取紧急程序,移除绝大部分流动性,并提醒用户立即撤回受影响的 LP。 后续仍遭到一些闪电贷攻击,损失约$2.1M。
攻击者地址:
ETH:
https://www.oklink.com/cn/eth/address/0xb23711b9d92c0f1c7b211c4e2dc69791c2df38c1
https://www.oklink.com/cn/eth/address/0xed187f37e5ad87d5b3b2624c01de56c5862b7a9b
https://www.oklink.com/cn/eth/address/0x429313e53a220c4a5693cad1da26ae5045b5762f
https://www.oklink.com/cn/ftm/address/0x64e08fa89c2bae9f123cc8a293775f0e6cc86760
https://www.oklink.com/cn/optimism/address/0xbc794f1ff9ad7711a9d2e69be5b499e290b8fd3c
No.18
8 月 26 日,BSC 上的 STV 项目遭到攻击,该合约未开源。损失约$500K
攻击交易:
https://www.oklink.com/cn/bsc/tx/0xf2a0c957fef493af44f55b201fbc6d82db2e4a045c5c856bfe3d8cb80fa30c12
攻击者地址:
https://www.oklink.com/cn/bsc/address/0x4b44b52ef15f7aab9a0a6cfdfa8d2c5eeeb6d8c3
No.19
8 月 26 日,Linea 上的借贷协议 Mendi Finance 质押合约遭到攻击,损失 93 万枚 Mendi 代币,价值约$25K。根本原因是 StakedDistributor 合约中错误地设置了延迟提取时间和 _editRecipientInternal() 方法未正确更新对应的奖励。
攻击交易:
https://lineascan.build/tx/0xd5b41c3d9cb766448697cce1af26e03dee557a46d8f149f107c2e2d00b49a656
攻击者地址:
https://lineascan.build/address/0x69cd776d8b37ee991362cad27fac2fbab2d0dce4
1.2 RugPull盘点
No.1
8 月 1 日,BASE 链上 BALD 项目发生 RugPull,合约部署者共添加了 6077 个 ETH 流动性,移除了 11077 个 ETH 流动性。获利约 5000 ETH ,价值$9.28M。
No.2
8 月 2 日,BSC 链上 DRAC_Network(DRAC) 项目方部署者地址通过抛售代币进行 RugPull,损失约$74K。
No.3
8 月 2 日,BSC 链上部署的代币 TT 项目是个退出骗局,已实施 RugPull,278 个 BNB 被利用,损失约 $68.3K。
No.5
8 月 2 日,BSC 链上 DeriTrade 项目方部署者地址通过直接铸造DUSD代币进行RugPull,损失约$13.2K。
No.6
8 月 2 日,BSC 链上 Apache NFT SalesRoom 项目方铸造了 1M ASN 并出售为 BUSD 进行 RugPull,损失约$670K。
No.7
8 月 5 日,BSC 链上的 MotherOfAllMemes (MOAM) 项目通过移除流动性发生 RugPull,损失约 $40K。
No.8
8 月 5 日,BSC 链上的 fake SeaPad token 项目通过移除流动性发生 RugPull,损失约 $77.8K。
No.9
8 月 5 日,ETH 链上的 Clown Coin 项目通过移除流动性发生 RugPull,损失约 $35K。
No.10
8 月 6 日,ETH 链上的 Bitlord (BITLORD) 项目通过移除流动性发生 RugPull,损失约 $567K。
No.11
8 月 6 日,ETH 链上的 Coin token 项目通过移除流动性发生 RugPull,损失约 $31K。
No.12
8 月 6 日,BSC 链上的 Satori token 项目通过移除流动性发生 RugPull,损失约 $43K。
No.13
8 月 7 日,BSC 链上的 fake X[.]AI 项目通过移除流动性发生 RugPull,损失约 $12K。
No.14
8 月 7 日,ETH 链上的 fake LK-99 token 项目通过移除流动性发生 RugPull,损失约$261K。
No.15
8 月 8 日,Linea 生态上 Peko Protocol 项目删除其社交帐户与群组进行RugPull,此前 Peko Protocol 从 12 位天使投资人处筹集到 $700K。
No.16
8 月 8 日,ETH 链上的 TOSHI 项目通过移除流动性发生 RugPull,损失约 $56.6K。
No.17
8 月 8 日,ETH 链上的 ShitCoinC3ntral 项目通过移除流动性发生 RugPull,损失约 $57K。
No.18
8 月 9 日,Linea 链上 PekoProtocol(PEKO) 项目是个退出骗局,已进行 RugPull,损失约$57K。
No.19
8 月 9 日,Cardano 生态上 Blockchainmages 项目发生RugPull,损失了 60K 个 ADA 代币,价值约$14K。
No.20
8 月 10 日,ETH 链上的 Deez Nuts (DEEZ) 项目通过移除流动性发生RugPull,损失约 $57.5K。
No.21
8 月 10 日,BSC 链上的 fake X Token 项目通过移除流动性发生RugPull,损失约 $19K。
No.22
8 月 12 日,ETH 链上的 @PayPalUSDFanETH 项目通过移除流动性发生 RugPull,损失约 $43.8K。
No.23
8 月 12 日,ETH 链上的 GGBOND (GGBOND) 项目通过移除流动性发生 RugPull,损失约 $151K。
No.24
8 月 13 日,BSC 链上的 fake zkSync token 项目通过移除流动性发生RugPull,损失约 $106.4K。
No.25
8 月 13 日,ETH 链上的 KUKUCoin 项目通过移除流动性发生RugPull,损失约 $173K。
No.26
8 月 14 日,BSC 链上的 fake Tarality Token 项目通过移除流动性发生RugPull,损失约 $67K。
No.27
8 月 15 日,BSC 链上的 fake CIRCLE token 项目通过移除流动性发生RugPull,损失约 $216.3K。
No.28
8 月 16 日,Base 和 Linea 生态上的 SwirlLend 项目发生RugPull,损失约 $500K。
No.29
8 月 17 日,BSC 上的合约 $CCASH 通过抛售代币进行RugPull,损失约 $166K。
No.30
8 月 19 日,BSC 链上 fake Friend Tech token 项目移除代币流动性进行 RugPull,损失约$30K。
No.31
8 月 19 日,BSC 链上 fake Frontfanz token 项目移除代币流动性进行 RugPull,损失约$226.5K。
No.32
8 月 21 日,BSC 链上 fake LayerZero token 项目移除代币流动性进行 RugPull,损失约$1M。
No.33
8 月 21 日,BSC 链上 WPC token 项目移除代币流动性进行 RugPull,损失约$162K。
No.34
8 月 23 日,ETH 链上 HarryPotterObamaJustinHuobiSun 项目通过移除流动性进行 RugPull,损失约$50K。
No.35
8 月 23 日,ETH 链上 Towelie (TOWELIE) 项目通过移除流动性进行 RugPull,损失约$89K。
No.36
8 月 23 日,BSC 链上 aspiring cooperation community (ACC) token 项目通过移除流动性进行 RugPull,损失约$224K。
No.37
8 月 23 日,BSC 链上 Reflex Staking Bot (REFLEX) 项目通过移除流动性进行 RugPull,损失约$90K。
No.38
8 月 24 日,ETH 链上 Hachiko 项目移除代币流动性进行 RugPull,损失约$123.7k。
No.39
8 月 25 日,BASE 链上 Magnate Finance 项目部署者操纵了预言机价格,移除相关资产进行 RugPull,损失约$6.4M
No.40
8 月 26 日,BSC 链上 fake CIRCLE token 项目移除代币流动性进行 RugPull,损失约$265K。
No.41
8 月 26 日,ETH 链上 @MagicBlocksEth 项目是个退出骗局,已进行 RugPull,损失约$57K。
No.42
8 月 31 日,ETH 链上 babyshiatoken 项目是个退出骗局,已进行 RugPull,损失约$226K。
No.43
8 月 31 日,ETH 链上 genswap_dex 项目特权地址利用溢出漏洞增加代币余额抛售进行 RugPull,损失约$65K。
No.44
8 月 31 日,ETH 链上 fake Symbiosis Finance token 项目移除流动性进行 RugPull,损失约$24K。
No.45
8 月 31 日,ETH 链上 KIZUNA 项目移除流动性进行 RugPull,损失约$135K。
1.3 社媒诈骗与钓鱼盘点
No.1
8月2日,@bondexapp 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.2
8月4日,@MERGEZ_NFT 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.3
8月5日,@AvalaunchApp 官方Twitter遭受攻击,攻击者发布钓鱼链接。
No.4
8月5日,@alt_layer 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.5
8月7日,@Clique2046 官方Discord遭受攻击。
No.6
8月7日,@SparkadiaGG 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.7
8月7日,@LinkageFinance 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.8
8月7日,@BrawlersNFT_ 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.9
8月7日,@palindromes_io 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.10
8月8日,@Pandaverse_Base 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.11
8月8日,@fraxfinance 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.12
8月10日,@bitsCrunch 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.13
8月10日,@crypto_banter 和 @CbCryptoschool 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.14
8月10日,@ZeitgeistPM 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.15
8月10日,@WealthPass_NFT 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.16
8月12日,@QuaiNetwork 官方Twitter帐号遭受攻击,攻击者发布钓鱼链接。
No.17
8月12日,@alanorwick 官方Twitter帐号遭受攻击,攻击者发布钓鱼链接。
No.18
8月12日,@Fetch_ai 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.19
8月12日,@LearnWeb3DAO 和 @Haezurath 官方Twitter帐号遭受攻击,攻击者发布钓鱼链接。
No.20
8月12日,BASE 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.21
8月17日,@elmonx_official 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.22
8月15日,@MetisDAO官方Twitter遭受攻击,攻击者发布钓鱼链接。
No.23
8月16日,@ceramicnetwork 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.24
8月17日,@Rodeo_Finance 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.25
8月17日,@Sagaxyz__ 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.26
8月19日,@PiraFinance 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.27
8月22日,@marginlycom官方Discord遭受攻击,攻击者发布钓鱼链接。
No.28
8月29日,@JasmyMGT官方Discord遭受攻击,攻击者发布钓鱼链接。
No.29
8月29日,@atoms_res 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.30
8月29日,@RhinosRebellion 官方Discord遭受攻击,攻击者发布钓鱼链接。
No.31
8月31日,@finance_ref官方Discord遭受攻击,攻击者发布钓鱼链接。
1.4 其他
No.1
CoinsPaid 披露遭到朝鲜 Lazarus 集团社会工程学攻击的细节。一名工程师以为自己正在接受 Cryptocom 利润丰厚的工作的面试,因此下载了恶意软件,作为技术测试的一部分。下载恶意代码使朝鲜黑客能够访问 CoinsPaid 的系统,利用软件漏洞成功伪造从 CoinsPaid 热钱包提取资金的授权请求,盗走了约 3700 万美元。
No.2
Distrust 发现了一个严重的漏洞,该漏洞影响使用 Libbitcoin Explorer 3.x 版本的加密货币钱包。攻击者可以通过破解 Mersenne Twister 伪随机数生成器(PRNG)来获取钱包私钥,这已经在现实世界中造成实际损失。受影响的加密货币包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。由于漏洞存在,攻击者可以访问并控制用户的钱包,窃取资金。已有 90 万美元资产被盗。
二、安全总结
2023 年 8 月,尽管安全事件 REKT 的数量并未下降,但其造成的经济损失却减少到了上月的一半。这一改善主要得益于 Balancer 项目的成熟应急响应机制,避免了像上月因 Vyper 编译器漏洞导致的对 Curve 相关项目的大规模攻击。然而,其他类型的安全问题,如重入攻击、价格操控、业务逻辑错误和输入验证不足等,依然频繁出现。
值得注意的是,新上线的公链因 RugPull 事件造成的损失甚至超过了 REKT 事件,这为用户敲响了警钟,提醒大家不应因短暂的热情而忽视安全风险。与此同时,Distrust 发布的关于 Libbitcoin 的漏洞信息,可追溯至 2022 年,这与 Vyper 编译器漏洞相似,再次强调了安全威胁可能一直潜伏在我们周围。
这些事件都提醒我们不能放松警惕,因为安全隐患永远不会完全消失,只能依靠其他手段尽量减少攻击面。项目方应全方位关注协议安全,不仅要进行代码审计和设置 Bug Bounty 机制,还需要预先建立健全的应急响应流程。在进行安全审计时,应尽可能覆盖所有相关协议和合约。对于新公链上的热门项目,用户也需要提高警觉,不能仅凭项目的用户数量或总价值锁定(TVL)就盲目信任。
最后,社交媒体上的诈骗和钓鱼攻击依然活跃,因此项目方和用户都需要提升社群安全防护意识。