有黑客用一千万“撬动”Solana 生态上亿资金,也有黑客铤而走险,薅起了交易所的羊毛,同时也有一些Web3项目遭遇私钥泄露、闪电贷攻击。
Beosin EagleEye Web3安全预警与监控平台监测显示,截止发稿时,本周共发生8起攻击类相关的安全事件,累计受影响金额约1.2亿美元,和Beosin安全团队一起来盘点一下吧。
10月9日
1. XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍
10月9日,XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍。本次攻击是攻击者通过调用DaoModule合约的executeProposalWithIndex()函数执行了攻击者的恶意提案,使得意外铸造了100,000,000,000,000个RNBW,并将ownership权限转移给攻击者。最后黑客将其兑换为xRNBW。
Rodeo发布黑客攻击事件事后声明及计划:7月12日消息,Rodeo发布黑客攻击事件事后声明及计划,该声明主要内容包括:攻击原因分析及损失说明(共计88万美元),安全响应措施及恢复计划,进一步安全措施和收益池整合计划,更新路线图。[2023/7/12 10:50:08]
2. Jumpnfinance项目发生Rugpull,涉及金额约115万美元
Jumpnfinance项目Rugpull。攻击者调用0xe156合约的0x6b1d9018()函数,提取了该合约中的用户资产,存放在攻击者地址上。目前被盗资金中2100 BNB ($581,700)已转入Tornado.Cash,剩余部分2058 BNB($571,128)还存放在攻击者地址。
130万Clubhouse用户数据被发布在某黑客论坛上:130万Clubhouse的用户数据被发布在一个黑客论坛上,包括用户名、关联的社交媒体账号等信息,cybernews称这些公开数据可能会导致通过钓鱼或身份盗取进行恶意行为。Clubhouse发布推特回复称,Clubhouse并未遭到黑客入侵或数据泄露,这些发布的信息来自该应用程序的用户个人档案,任何人都可以通过该应用程序或ClubhouseAPI进行访问。(cybernews)[2021/4/12 20:09:13]
1. QANplatform跨链桥遭受黑客攻击,疑似项目方私钥泄露,涉及金额约189万美元
本次事件交易的发起地址是一个疑似项目方的地址,攻击者通过该地址调用跨链桥合约中的bridgeWithdraw函数提取QANX代币,然后把QANX代币兑换为相应平台币,目前被盗资金依然存放在攻击者地址上。
增长型黑客使用加密货币帮助无房者:据消息称,增长型黑客Giacomo Arcaro上周末向纽约市部分无家可归者发放了价值2万多美元的以太坊,以帮助那些由于持续的COVID-19大流行而陷入财务困境的人们。[2021/3/30 19:28:20]
2. Rabby项目遭受黑客攻击,请用户取消对相应合约的授权
本次事件是因为RabbyRouter的_swap函数存在外部调用漏洞,导致任何人都可以通过调用该函数,将授权到该合约用户的资金转走。目前攻击者已在Ethereum,BSC链,polygon,avax,Fantom,optimistic,Arbitrum发起攻击,请用户取消对相应合约的授权。
3. TempleDAO项目遭受黑客攻击,涉及金额约236万美元
动态 | 高级APT攻击频现 多家数字货币交易所成为黑客攻击目标:据降维安全实验室(johnwick.io)报道,近日高级黑客团队甚至国家级黑客组织再度活跃,多家数字货币交易所遭到针对性的APT攻击,具体资产损失尚在统计中。据悉,自年初起至今已有数家交易所遭到高级APT攻击造成巨额资产损失,主要原因在于对外服务人员的安全意识缺失。降维安全专家表示针对APT攻击可采取以下防御措施:1、做好内网网段隔离。2、对外服务人员进行内外网物理机隔离。3、使用成熟有效的陷阱类安全防御产品,e.g.面壁人陷阱防御系统。4、可采用有针对性的渗透测试,对交易所网站和客服进行安全检查。[2019/8/30]
本次事件是因为StaxLPStaking合约中的migrateStake函数缺少权限校验,导致任何人都可以通过调用该函数提取合约中的StaxLP。攻击者攻击成功后,把获得的全部StaxLP代币兑换为了ETH。
1. Journey of awakening (ATK)项目遭受闪电贷攻击
本次事件攻击者通过闪电贷攻击的方式攻击了ATK项目的策略合约,从合约中获取了大量的ATK代币,之后攻击者把获得的全部ATK代币兑换为约12万美元的BSC-USD。
2. Solana 生态去中心化交易平台 Mango遭遇黑客攻击,影响高达 1.16 亿美元。
黑客使用了两个账户,一共1000万USDT起始资金。
第一步,攻击者向Mango市场存入了500万USDC。
第二步,攻击者在MNGO-ERP市场创建了一个4.83亿的PlacePerpOrder2头寸。
第三步,MNGO的价格被操纵,从0.0382美元到0.91美元,通过使用一个单独的账户(账户2)对其头寸进行对手交易。
账户2现在有4.83亿*(0.91-0.03298美元)=4.23亿美元,这使得攻击者可以借出1.16亿美元的资金。
1. FTX交易所遭到gas窃取攻击
FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。本次事件攻击者通过FTX热钱包多次少量的提取以太坊,FTX热钱包地址会向攻击合约地址多次转入小额的资金,随后会调用到攻击合约的fallback()函数,通过该函数攻击者向Xen合约发起铸币请求。而Xen合约仅需传入一个时间期限,便可支持无成本铸币,只需支付交易Gas费,但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址,达到攻击的目的。
Beosin
企业专栏
阅读更多
白话区块链
金色财经Maxwell
NFT中文社区
CoinDesk中文
达瓴智库
去中心化金融社区
金色荐读
肖飒lawyer
CT中文
ETH中文
ForesightNews
标签:FTXOUSECLUBSTAGameStop tokenized stock FTXAHOUSE币Seed ClubSTARC币
我们知道最近有个火爆的token,叫做XEN,只需要付出gas费就能铸造大量代币,那有没有办法让别人替我们支付gas费呢,最近就有一个黑客正在让 FTX 帮他付钱.
1900/1/1 0:00:00元宇宙正在兴起。在2022年上半年,元宇宙一词在美国证券交易委员会的监管文件中出现了1100多次.
1900/1/1 0:00:00【1002 - 1008】周报概要:1、上周NFT总交易额:208,532,583(美元)2、上周NFT总交易笔数:998,6263、上周NFT总用户数280.
1900/1/1 0:00:00文章作者:Hassan Karimi 文章编译:Block unicorn创新的扩散随着连续的消费者群体采用新技术(蓝色显示),其市场份额(黄色)将最终达到饱和水平.
1900/1/1 0:00:00金色财经推出《金色Web3.0日报》,为用户提供每日DeFi、NFT等行业新闻。1、DeFi代币总市值:414.5亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去.
1900/1/1 0:00:00原文标题:《Some trends for Quarter 4》原文作者:The DeFi Edge原文编译:Captain Hiro我们终于迎来了 2022 年的第四季度.
1900/1/1 0:00:00