撰文:OKLink
一、基本信息
2023 年 9 月 REKT 和 RugPull 事件累计造成约 11434 万美元损失,比上月 4182 万损失额上涨明显,且被报道的事件数量大幅度减少。老牌头部项目 Balancer 继上个月出现问题后,本月也出现了前端页面的安全问题,其遭遇 BGP 或 DNS 劫持攻击。但由于项目方收到漏洞反馈后紧急处理,大大降低了损失。本月损失最大的为加密交易所 CoinEx ,损失高达 7000 万美元。本月 RugPull 事件数量较上月有所减少。在本月 RugPull 事件中,主要发生在 ETH 和 BSC 链上,对用户造成了 232 万美元的损失。最后社交媒体钓鱼事件依旧层出不穷,项目方 Discord 和 Twitter 权限被控制,发布钓鱼链接的事件仍旧时有发生。
1.1 REKT 盘点
No.1
9 月 4 日,ETH 链上的全球最大的加密货币赌场 Stake.com 遭受黑客攻击,造成 4130 万美元的损失。该平台已暂停所有存款和取款,导致许多用户无法提取资金。官方发表公告表示 Stake 的 ETH/BSC 热钱包进行了未经授权的交易。
攻击交易:
https://www.oklink.com/cn/eth/tx/0x53a2955e4d332c9fde95e20576851971132fe6b41df3474dcff5820b683d11b2
https://www.oklink.com/cn/eth/tx/0xfc62e5c5370bea0608ca1861dded21829298b5b84a37ba92f8de65db5d1da244
https://www.oklink.com/cn/eth/tx/0xdd0e92f674778aca4eb36db9c247b6316eacb2277e15ba3c41dd3a2f51f41ef9
https://www.oklink.com/cn/eth/tx/0x8f442f4411eb566d3bb64e7816cc73e8b8f4016dd793bab9981a483864ddacd1
https://www.oklink.com/cn/eth/tx/0x22d556dcd9e49552041b27b79b871b7c0c8de9ed9cac0260738666145ff82188
https://www.oklink.com/cn/eth/tx/0x557306497d98878e4f460e8350531a851443150728a06afd8a719a5bfe4560b6
https://www.oklink.com/cn/eth/tx/0xdec634997b4219d3498dc40c41fe41e53d62fa2f323e308b6d1bde1efd244f5f
https://www.oklink.com/cn/eth/tx/0x7462907580bfb3244a167bd02aefa87bcec0f5ae4c2514006f6d61c59d64a757
https://www.oklink.com/cn/eth/tx/0x61a46b1828477c9860742f2a4ff47369f59d79a768277dc8852d330d66e88a6d
攻击者地址:
https://www.oklink.com/cn/eth/address/0x3130662aece32f05753d00a7b95c0444150bcd3c
No.2
9 月 5 日, NFT-Fi 流动性层 FloorDAO 遭受黑客攻击,损失了约 40 WETH,价值约 65,000 美元。造成此次攻击的原因是「distribute」和「rebase」功能的设计缺陷。
攻击交易:
https://www.oklink.com/cn/eth/tx/0x1274b32d4dfacd2703ad032e8bd669a83f012dde9d27ed92e4e7da0387adafe4
No.3
9 月 10 日,BFCToken 遭受闪贷攻击,损失约 38,000 美元。造成本次事件的原因是攻击者可以利用「_transfer」函数从池中销毁 BFCTokens。
被攻击合约: https://www.oklink.com/cn/bsc/address/0x595eac4a0ce9b7175a99094680fbe55a774b5464
No.4
9 月 11 日,OxODexPool 项目合约遭受闪贷攻击,攻击者获利约 6.1 万美元。攻击者创建了一个恶意合约,并在单笔交易中执行了闪贷攻击,获得 39.45 ETH。
攻击交易: https://www.oklink.com/cn/eth/tx/0x00b375f8e90fc54c1345b33c686977ebec26877e2c8cac165429927a6c9bdbec
被攻击合约: https://www.oklink.com/cn/eth/address/0x6128d5f7c64dab48a1c66f9d62eaefa1d5aa03ed
攻击合约: https://www.oklink.com/cn/eth/address/0xC44ea7650B27f83A6B310A8Fed9E9Daf2864a65B
No.5
9 月 12 日,Banana gun 项目发文称遭受到了黑客攻击,但未公布损失金额。造成此次攻击事件的原因是 Banana 代币进行转账时内部_transfer () 的手续费没有从发送者处扣除,导致账户余额计算出现错误。
相关链接:
https://twitter.com/BananaGunBot/status/1701322684313817459https://twitter.com/MetaTrustAlert/status/1701436883392422208https://twitter.com/Phalcon_xyz/status/1701518882631295269
No.6
9 月 12 日,0x0Audits 项目疑似遭受黑客攻击,损失 39.9 ETH,价值约 61K 美元。
攻击交易:
https://www.oklink.com/cn/eth/tx/0x00b375f8e90fc54c1345b33c686977ebec26877e2c8cac165429927a6c9bdbec
No.7
9 月 13 日,加密交易所 CoinEx 遭受黑客攻击,据官方公告称本次事件是私钥泄露所导致的。黑客已窃取价值超 7000 万美元的代币。同时称该金额仅占其管理的总资产的一小部分,受影响的用户将获得所有资金损失的全额赔偿。
No.8
9 月 14 日,ETH 链上的 Remitano 项目方疑似遭受黑客攻击,损失约 270 万美元。
攻击合约:
https://www.oklink.com/cn/eth/address/0x74530e81E9f4715c720b6b237f682CD0e298B66C
No.9
9 月 20 日, ETH 上的 XSDWETHpool 项目在闪贷攻击中被盗取约 4.34 WETH 。漏洞原因在于 router 合约提供的 swapXSDForETH() 函数实现没有遵循 Checks-Effects-Interactions 模式,导致发送 ETH 给用户时发生了重入攻击。
攻击者地址:
https://www.oklink.com/cn/eth/address/0x42abe1f4ded3498ea539d429fbce74bdb52d961a
攻击交易:
https://www.oklink.com/cn/eth/tx/0x10e3388dc801fbeb9be80687803034047f787cfe78ada237db65a027afb1ca9e
No.10
9 月 21 日, ETH 上的 Sunflower 项目被攻击,攻击者获利约 $500。漏洞原因在于 SunflowerV2 的代码实现逻辑存在缺陷,导致用户可以通过在 SunflowerV1 deposit 一次资产,但是可以分别在 SunflowerV2 和 SunflowerV1 来 withdraw
两次资产。
攻击者地址:
https://www.oklink.com/cn/eth/address/0x0000f7848F682C69404721A3f7B5070c46D80000
攻击交易:
https://www.oklink.com/cn/eth/tx/0x6e133d36636819be29cc3cc8d349de3ecae09a802c0b8d15a2cd67cd3c42b1ad
No.11
9 月 24 日, BSC 上的 KUB/KUB-Split 代币在闪贷攻击中被盗取约 78,400 美元。攻击者创建了一个恶意合约来与被攻击合约交互,并使用虚假的 USDC 代币操纵矿池。
相关地址:
KUB-SPLIT 代币合约:https://www.oklink.com/cn/bsc/address/0xc98E183D2e975F0567115CB13AF893F0E3c0d0bD
KUB 代币合约:https://www.oklink.com/cn/bsc/address/0x808602d91e58f2d58D7C09306044b88234ab4628
攻击者合约地址:https://www.oklink.com/cn/bsc/address/0xa7Fe9c5D4b87b0d03E9bB99F4B4E76785de26b5D
攻击者地址:https://www.oklink.com/cn/bsc/address/0x7Ccf451D3c48C8bb747f42F29A0CdE4209FF863e
假 USDC 代币:https://www.oklink.com/cn/bsc/address/0xa88D48a4c6D8dD6a166A71CC159A2c588Fa882BB
No.12
9 月 24 日,BSC 链上的 siriSwap 项目遭受闪电贷攻击,攻击者获利约 $22K。
攻击交易:
https://www.oklink.com/cn/bsc/tx/0x2b0877b5495065e90d956e44ffde6aaee5e0fcf99dd3c86f5ff53e33774ea52d
No.13
9 月 27 日, BSC 上的 XSDWETHpool 项目在闪贷攻击中被盗取约 56.96 WBNB 。攻击者创建了一个恶意合约来与被攻击合约交互,获利 $12.1K。漏洞原因在于 router 合约提供的 swapXSDForETH() 函数实现没有遵循 Checks-Effects-Interactions 模式,导致发送 BNB 给用户时发生了重入攻击。
被攻击合约: https://www.oklink.com/cn/bsc/address/0xbfBcB8BDE20cc6886877DD551b337833F3e0d96d
恶意合约: https://www.oklink.com/cn/bsc/address/0x202E059a16D29a2F6aE0307AE3D574746b2B6305
攻击交易: https://www.oklink.com/cn/bsc/tx/0xbdf76f22c41fe212f07e24ca7266d436ef4517dc1395077fabf8125ebe304442
1.2 RugPull 盘点
No.1
9 月 2 日,ETH 链上 CoredeFinance 项目发生 RugPull,EOA 地址 (0x18500) 获利约 27 ETH ,价值 $43.9K。
No.2
9 月 5 日,ETH 链上虚假 Lybra Finance 代币的部署者地址通过添加 60 WETH 作为 LP,然后提取出 83 WETH,从而获利 23 WETH ,价值 $37K
No.3
9 月 5 日,ETH 链上部署的虚假 Base 代币被合约部署者移除大量流动性, 获利 $544K。BSC 链上部署的虚假 Base 代币被合约部署者移除大量流动性, 获利 $71.6K
No.4
9 月 5 日,ETH 链上部署的 Haribo 代币被合约部署者移除大量流动性,获利 24 ETH ,价值 $35.4K。
No.5
9 月 7 日,BSC 链上虚假的 Patex 代币被合约部署者移除大量流动性, 获利 $97.5K
No.6
9 月 8 日,BSC 链上虚假的 Helio Protocol 代币被合约部署者移除大量流动性, 获利 $127K。
No.7
9 月 15 日,ETH 链上部署的 FriendChipsTech 代币被合约部署者铸造大量代币并卖出, 获利 $77.5K。
No.8
9 月 16 日,BSC 链上的 MED 代币项目被合约部署者铸造大量代币并卖出,获利约 $53K。
No.9
9 月 17 日,BSC 链上的虚假 BitGo 代币发生 RugPull,损失约 $194.3K。
No.10
9 月 20 日,BSC 链上的 Baka Casino (BAKAC) 项目发生 RugPull,损失约 $57K。
No.11
9 月 21 日,ETH 链上的 PEPEP 项目发生 RugPull,损失约 $45K。
No.12
9 月 21 日,ETH 链上的 YZER 项目通过移除流动性发生 RugPull,损失约 $28.6K
No.13
9 月 21 日,BSC 链上的 BNBpay 项目通过移除流动性发生 RugPull,损失约 $114K。
No.14
9 月 22 日,BSC 链上的 BEAST 项目通过移除流动性发生 RugPull,损失约 $55.3K
No.15
9 月 23 日,ETH 链上 CAT 项目通过移除流动性发生 RugPull,获利 18.7 WETH ,价值 $29.7
No.16
9 月 23 日,BSC 链上的 DUO 项目通过移除流动性发生 RugPull,损失约 $352.9
No.17
9 月 25 日,BSC 链上的虚假 Justus 项目发生 RugPull,损失约 $59K。
1.3 社媒诈骗与钓鱼盘点
No.1
9 月 1 日,@lamasfinance 官方 Discord 遭受攻击,攻击者发布钓鱼链接。
No.2
9 月 2 日,@BalthazarDao 官方 Discord 遭受攻击,攻击者操控了官方频道。
No.3
9 月 3 日,@ParasHQ 官方 Twitter 遭受攻击,攻击者发布钓鱼链接。
No.4
9 月 4 日,@The_Saber_DAO 官方 Discord 遭受攻击,攻击者发布钓鱼链接。
No.5
9 月 6 日,@BigB_NFTs 官方 Discord 遭受攻击。
No.6
9 月 7 日,@VictoryPoint_io 官方 Discord 遭受攻击,攻击者发布钓鱼链接。
No.7
9 月 9 日,@ACGWORLDS_META 官方 Discord 遭受攻击,攻击者发布钓鱼链接。
No.8
9 月 10 日,@VitalikButerin 官方 Twitter 账号遭受攻击,攻击者发布钓鱼链接。
No.9
9 月 11 日,@witnet_io 官方 Discord 遭受攻击,攻击者发布钓鱼链接。
No.10
9 月 17 日,@OneMintNFT 官方 Discord 遭受攻击,攻击者发布钓鱼链接。
No.11
9 月 23 日,@timesoulcom 官方 Discord 遭受攻击,攻击者发布钓鱼链接。
No.12
9 月 23 日,@D3STAB1LIZED 官方 Discord 遭受攻击,攻击者发布钓鱼链接。
No.13
9 月 23 日,@bedu_io 官方 Discord 遭受攻击,攻击者发布钓鱼链接。
No.14
9 月 26 日,@Entanglefi 官方 Discord 遭受攻击,攻击者发布钓鱼链接。
1.4 其他
No.1
9 月 16 日,亿万富翁企业家兼达拉斯小牛队老板马克·库班 (Mark Cuban) 证实,他在周五晚些时候遭遇黑客攻击,损失了约 87 万美元。(包括 ETH 在内的共计 10 种代币资产)
No.2
9 月 20 日,DeFi 流动性协议 Balancer 遭遇 BGP 或 DNS 劫持攻击,攻击者已获利约 23.8 万美元。这是一次针对 EuroDNS(用于 .fi 顶级域名的域名注册商)的社会工程攻击,Balancer 正在探索弃用 .fi TLD,以便转向更安全的注册商,并建议使用 TLD 的其他项目也这样做。
No.3
9 月 23 日,Mixin Network 遭遇大规模安全漏洞。据称,此次漏洞造成的损失约为 2 亿美元。 该漏洞发生在 MixinKernel 的云服务提供商数据库中,导致主网资金损失。
No.4
9 月 24 日,由于 Upbit 系统出现技术故障,韩国最大的加密货币交易所 Upbit 遭到攻击,损失金额未知。问题在于存款时代币识别过程中存在缺陷,该事件影响了平台上 Aptos 代币($APT)的存款和取款。
No.5
9 月 25 日,HTX 顾问兼波场创始人孙宇晨表示,HTX(原火币)已遭到黑客攻击,总共损失了 5000 个 ETH,价值约 800 万美元。
该事件发生在周日,并立即得到确认。孙宇晨在社交媒体平台 X(前身为 Twitter)上补充道,HTX 已全额弥补损失,客户资金安全。
二、安全总结
2023 年 9 月,尽管安全事件 REKT 的数量与 RugPull 数量大幅下降,但其造成的经济损失却有了大幅度的上升。受损金额主要部分是全球最大的加密货币赌场 Stake 项目和加密交易所 CoinEx 遭受的攻击产生的。然而,其他类型的安全问题,如重入攻击、价格操控、私钥泄露等,依然频繁出现。
面对上述的种种安全问题和挑战,我们必须进一步加强安全防范措施,提升系统的抵御攻击能力。首先,我们强烈建议所有的加密货币平台和项目方加强对项目的安全检查和风险评估,以便及时发现并修复潜在的安全漏洞。其次,普通用户也应提高安全意识,加强个人信息保护,避免因为不慎泄露私钥或密码而遭受不必要的经济损失。
最后,社交媒体上的诈骗和钓鱼攻击依然活跃,因此项目方和用户都需要提升社群安全防护意识。