以太坊:黑客超额完成KPI？受影响金额约1.2亿美元本周Web3安全事件回顾

作者：

时间：1900/1/1 0:00:00

有黑客用一千万“撬动”Solana生态上亿资金，也有黑客铤而走险，薅起了交易所的羊毛，同时也有一些Web3项目遭遇私钥泄露、闪电贷攻击。

BeosinEagleEyeWeb3安全预警与监控平台监测显示，截止发稿时，本周共发生8起攻击类相关的安全事件，累计受影响金额约1.2亿美元，和Beosin安全团队一起来盘点一下吧。

10月9日?

1.XaveFinance项目遭受黑客攻击，导致RNBW增发了1000倍

10月9日，XaveFinance项目遭受黑客攻击，导致RNBW增发了1000倍。本次攻击是攻击者通过调用DaoModule合约的executeProposalWithIndex()函数执行了攻击者的恶意提案，使得意外铸造了100,000,000,000,000个RNBW，并将ownership权限转移给攻击者。最后黑客将其兑换为xRNBW。

派盾：推特账户@TheViralFever遭黑客攻击，发布虚假ENS空投链接:金色财经报道，据派盾PeckShield监测，其社区贡献者报告推特账户@TheViralFever遭到黑客攻击，并且已被攻击者用于发布虚假ENS空投链接，mainnet-ens[.]domains为钓鱼网站。请用户提高警惕。[2023/1/6 15:39:26]

2.Jumpnfinance项目发生Rugpull，涉及金额约115万美元

Jumpnfinance项目Rugpull。攻击者调用0xe156合约的0x6b1d9018()函数，提取了该合约中的用户资产，存放在攻击者地址上。目前被盗资金中2100BNB($581,700)已转入Tornado.Cash，剩余部分2058BNB还存放在攻击者地址。

攻击Ronin的黑客向中间地址转入3302.6枚以太坊，并将1400枚以太坊转入Tornado Cash:4月14日消息，攻击 Ronin 的黑客向中间地址（0x1Bf53ce80FF2ed5711b8A2DB8f7EA5b38DA118d6）转入 3302.6 枚以太坊，并将 1400 枚以太坊分 14 次转入 Tornado Cash 中。[2022/4/14 14:23:41]

10月11日?

1.QANplatform跨链桥遭受黑客攻击，疑似项目方私钥泄露，涉及金额约189万美元

报告：随着黑客转向更大的目标，勒索软件攻击相关赎金规模越来越大:2月11日消息，Chainalysis数据显示，去年勒索软件的平均支付规模达到11.8万美元，高于2020年的8.8万美元，2019年仅为2.5万美元。Chainalysis研究负责人Kim Grauer将这一增长归因于勒索软件团队的日益成熟。

在过去的两年里，勒索软件攻击激增。Chainalysis已确定，在2020年与勒索软件团伙有关联的钱包地址收到价值6.92亿美元的款项，2021年则收到6.02亿美元。然而，Grauer强调，随着Chainalysis继续识别与勒索软件相关的钱包，实际数字可能会高得多，2021年勒索软件支付规模创下新纪录。

随着勒索软件团伙不断获利并获得经验，他们正在学习如何适应以避免被发现并追逐更大的目标。Grauer表示，数据显示许多勒索软件团伙正在将更大比例的被盗资金重新投入到其运营中。2021年，从与勒索软件运营者相关的钱包发送的所有资金中，有16%用于工具和服务，例如渗透测试或更安全的网络托管，以使其攻击更有效。（CoinDesk）[2022/2/11 9:43:52]

本次事件交易的发起地址是一个疑似项目方的地址，攻击者通过该地址调用跨链桥合约中的bridgeWithdraw函数提取QANX代币，然后把QANX代币兑换为相应平台币，目前被盗资金依然存放在攻击者地址上。

数据：DeFi平台2020年共遭15次黑客攻击总金额达1.2亿美元:The Block Research数据显示，2020年DeFi平台总共发生了15次黑客攻击，总金额达1.2亿美元。黑客获得的赏金从13.5万美元到2500万美元不等，但只收回了4560万美元。其中一种协议bZx在2月份被利用了两次，原因是一个合同漏洞让黑客执行了一闪电贷攻击，共捕获了大约1200枚ETH。[2021/1/2 16:14:17]

2.Rabby项目遭受黑客攻击，请用户取消对相应合约的授权

动态 | 报告：Upbit被盗以太坊已有20,520枚被黑客完成:1月17日消息，Uppala Security发布的最新报告显示，加密货币交易所Upbit被盗的以太坊中，总计20,520枚已经被黑客小额转移到交易所进行了。黑客的交易平台包括火币、Bittrex、Bitfinex等交易所。报告还称，黑客们仍在试图洗清被偷走的34.2万枚ETH的剩余部分，且没有任何限制。（Crypto Globe ）[2020/1/17]

本次事件是因为RabbyRouter的_swap函数存在外部调用漏洞,导致任何人都可以通过调用该函数，将授权到该合约用户的资金转走。目前攻击者已在Ethereum，BSC链，polygon，avax，Fantom，optimistic，Arbitrum发起攻击，请用户取消对相应合约的授权。

3.TempleDAO项目遭受黑客攻击，涉及金额约236万美元

本次事件是因为StaxLPStaking合约中的migrateStake函数缺少权限校验，导致任何人都可以通过调用该函数提取合约中的StaxLP。攻击者攻击成功后，把获得的全部StaxLP代币兑换为了ETH。

10月12日?

1.Journeyofawakening(ATK)项目遭受闪电贷攻击

本次事件攻击者通过闪电贷攻击的方式攻击了ATK项目的策略合约，从合约中获取了大量的ATK代币，之后攻击者把获得的全部ATK代币兑换为约12万美元的BSC-USD。

2.Solana生态去中心化交易平台Mango遭遇黑客攻击，影响高达1.16亿美元。

黑客使用了两个账户，一共1000万USDT起始资金。

第一步，攻击者向Mango市场存入了500万USDC。

第二步，攻击者在MNGO-ERP市场创建了一个4.83亿的PlacePerpOrder2头寸。

第三步，MNGO的价格被操纵，从0.0382美元到0.91美元，通过使用一个单独的账户对其头寸进行对手交易。

账户2现在有4.83亿*(0.91-0.03298美元)=4.23亿美元，这使得攻击者可以借出1.16亿美元的资金。

10月13日?

1.FTX交易所遭到gas窃取攻击

FTX交易所遭到gas窃取攻击，黑客利用FTX支付的gas费用铸造了大量XENTOKEN。本次事件攻击者通过FTX热钱包多次少量的提取以太坊，FTX热钱包地址会向攻击合约地址多次转入小额的资金，随后会调用到攻击合约的fallback()函数，通过该函数攻击者向Xen合约发起铸币请求。而Xen合约仅需传入一个时间期限，便可支持无成本铸币，只需支付交易Gas费，但在此次调用过程中，交易发起者为FTX热钱包地址，所以整个调用过程的gas都是由FTX热钱包地址所支付，而Xen铸币地址为攻击者地址，达到攻击的目的。