编辑|小欧报告分析|天眼安全审计团队
2022年6月发生较典型安全事件接近『66』起,本月有多个项目方遭遇黑客攻击,其中Optimism的安全事件引起了广泛的关注与讨论。本月Rug Pull事件依旧层出不穷,社媒诈骗和钓鱼的攻击事件大幅增加,主要是通过获取项目Discord的控制权发布钓鱼链接窃取用户资产。
REKT盘点
小知识:加密领域中,REKT源于英文单词“wrecked”,原意是“毁坏”,术语是指项目被攻击。
No.1
6月2日,CoFiXProtocol项目遭受价格操控攻击,攻击者获利约14万美元。攻击者先从先闪电贷借出大量BSC-USD,再用BSC-USD兑换出DCU,然后攻击者通过利用Router合约的swapExactTokensForTokens没有校验to地址是否是msg.sender的漏洞,将对Router合约有大额授权的to地址中的BSC-USD经过BSC-USD -> DCU -> PRC的兑换路径兑换为RPC,导致LP中DCU的价格升高,最后通过前面兑换的DCU重新高价兑换成BSC-USD从而获利。目前攻击者实施了三次攻击,总计获利约145,491 BSC-USD(价值14万美元),已经兑换为BUSD并转移到攻击者的其他地址(0x5443...d7D6)中。
攻击交易:0x927723660249253399e54c192a5f989ceacf46fbb967ab364d4405155539bec8被攻击合约:0xde9972fe2567b7eeb3c015d7dcaefa8580877f7d
No.2
6月 5 日,Elrond网络遭黑客攻击,被盗EGLD价值约1.13亿美元。当天有3个钱包开始大量抛售EGLD,通过Maiar DEX上的EGLD/USDC将大量的EGLD兑换为USDC,然后将Elrond网络上的USDC交换到以太坊上的USDC,使得EGLD在38分钟内价格大跌92%。随后Elrond团队停止了Maiar Dex并对其进行维护,但并没有给出此次安全事件发生的具体细节。
抛售钱包地址:地址1:erd1cura2qq8skel5fsxrpxyysjkaw6durengtkencrezkw78y6y2zhscf854j地址2:erd1yrf9qeuqkcjeh5c4xn628mags7cse4r9ra2p2ggmlgfqq3l3v6pqxfu950地址3:erd16syfkds2faezhqa7pn5n8fyjkst70l5qefpmc0r960467snlgycq4ww0rt
No.3
6 月 7 日,Equalizer Finance遭受闪电贷攻击。此次攻击的主要原因在于Equalizer Finance协议的FlashLoanProvider合约与Vault合约不兼容,导致闪电贷回调操作向Vault提供流动性时能够获得的流动性凭证将多于预期。
No.4
6月 8 日,Osmosis上发现了一个严重错误,可能会耗尽所有流动资金池,任何人都可以向任何池添加流动性,并在移除它时获得额外的50%。Osmosis自区块高度 4713064起暂停出块。官方推特表示流动资金池并未“完全耗尽”,开发人员正在修复错误。此次事件造成的损失金额可能在500万美元左右。
No.5
6月 8 日,GYM Network的GymSinglePool合约遭受黑客攻击,黑客获利约216万美元。本次攻击主要利用了depositFromOtherContract函数仅计入了抵押者的抵押账本,并没有对抵押资产进行转账检查的bug,并且攻击者可以调用depositFromOtherContract函数进行恶意抵押,最后凭空提取GYM资产。
攻击交易:0x8432c1c6613995eeea8a3ae2cfeb9577913db6b7b35dbe26a8c56c02066096e6攻击者地址:0xb2c035eee03b821cbe78644e5da8b8eaa711d2e5攻击合约1:0x7cbfd7bccd0a4a377ec6f6e44857efe42c91b6ea攻击合约2:0xa796406635272448fa30089cd4d71dadae01c169攻击合约3:0xd36Ea4756cf157c1A57BFFC8d3F064a1e0EFBE9f攻击合约4:0x8aedf4e03f70d0680b760a63c1b4acb0eb437874攻击合约5:0x2cdb504CEFE087e00F13F9283F2FcbbdE7C2A28D被攻击合约1:0xA8987285E100A8b557F06A7889F79E0064b359f2被攻击合约2:0x0288fba0bf19072d30490a0f3c81cd9b0634258a
No.6
6 月 8 日,ApolloX项目遭受攻击。由于ApolloX签名系统存在缺陷,攻击者利用签名系统缺陷生成了255个签名,总共从合约中提取了53,946,802 $APX(价值约160万美元)。目前被盗金额通过跨链已打入以太坊0x9e53地址。ApolloX链上资产APX在当日19:00左右从0.054美元快速跌至0.019美元,闪跌约60%。
No.7
6月 9 日Optimism基金会称,分配给加密货币做市商Wintermute的2,000万枚OP资产被盗。Optimism基金会为Wintermute团队提供2,000万OP资产用于提供流动性。此过程中 Wintermute团队向Optimism基金会提供了尚未在Layer2(Optimism)上部署的Layer1(eth)上的收款账户,在Optimism基金会向Layer2账户打款后,攻击者赶在Wintermute团队修复账户之前提前取得了该账户权限,开始抛售账户中的OP资产。所有Gnosis Safe保险箱合约均由Gnosis Safe proxy factory合约部署,要获得目标地址控制权需要调用proxy factory在此地址上部署proxy合约。攻击发生前,Layer2(Optimism)上的proxy factory合约尚未部署,攻击者通过重放Layer1上factory合约的部署交易,在Layer2上部署新的factory合约。在Layer2上通过多次调用factory合约的createProxy方法部署proxy合约,不断累加factory合约的nonce,直到将proxy部署到目标地址。在调用createProxy部署proxy时,将masterCopy参数设置为攻击者控制的合约地址,masterCopy将作为proxy的implementation,至此攻击者得到目标地址的控制权。
攻击合约1:0xe7145dd6287ae53326347f3a6694fcf2954bcd8aProxyFactory:0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b#code攻击者EOA地址1:0x60B28637879B5a09D21B68040020FFbf7dbA5107攻击者EOA地址2:0x8bcfe4f1358e50a1db10025d731c8b3b17f04dbb
No.8
6月11日,treasure swap项目方遭受攻击,由于被攻击合约的swap函数中缺少K值的校验,攻击者仅使用0.000000000000000001 WETH便可将交易池中的WETH资产兑光。目前攻击者累计获利3,945个 BNB。
攻击交易:0xeca63c6d2086514c2fc0e45a99dd1e501c6044716ea3f9078ebbc32fb971426c受攻击合约1:0xe26e436084348edc0d5c7244903dd2cd2c560f88受攻击合约2:0x96f6eb307dcb0225474adf7ed3af58d079a65ec9被盗资金转移合约:0x0FaCB17eFCb6cA6Ff66f272DE6B306DE9fb5931D
No.9
6月13日,BSC链上的FSwap去中心化交易所项目遭到闪电贷攻击,导致损失1,751枚BNB约39万美元。漏洞存在于FSwapPair合约的swap方法中,在每次交易计算手续费时会将pair合约中的储备token当作手续费发送给feeto地址,这将会导致池子中的资产数量减少,从而引起资产价格上涨,攻击者能够从中套利。
攻击地址:0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc攻击合约:0x7437e7a923a5b467a197c6fae991f0f0ced9af57攻击交易:0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbeFSwapPair合约:0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db
No.10
6月16日,DeFi协议Invest Finance遭到攻击。攻击者利用价格操纵使得Invest Finance对于抵押物的价值计算错误,从而借出更多的资产。攻击者获利53枚BTC和1 万枚Tether(约120万美元)。
攻击交易:0x958236266991bc3fe3b77feaacea120f172c0708ad01c7a715b255f218f9313c
No.11
6月16日,Inverse Finance遭受闪电贷攻击,导致了约1,068.215 ETH(约126万美元)的损失。目前1,000枚ETH已被发送到Tornado Cash,黑客的钱包内还余7.5万美元。被攻击的合约使用YVCrv3CryptoFeed作为Inverse Finance DOLA借贷池的价格预言机。YVCrv3CryptoFeed价格预言机返回的价格会根据Curve USDT-WBTC-WETH池中不同资产的余额来决定Yearn的Vault资产价格,因此可被攻击者操纵。
No.12
6月20日,Whale Finance项目遭受攻击,导致损失约12,000美元。原因是Whale Finance Pair合约的K值校验存在问题。每当用户在进行交换时,K值校验中传入的参数量级存在问题,造成K值校验失效。攻击者先通过闪电贷借一笔BSC-USD,之后归还闪电贷时K值校验参数量级为10000^4。而K值校验时采取的参数校验量级为10000^2,导致K校验失效。
攻击者合约:0xd793ff8d744828c25da7f80123b88dd5c2bf7a50攻击者合约1)USDT/BUSD: 0xf95536755732544e41baad22f1c79d1ee529385f2)USDC/BUSD:0xaa85fc75f2534faa2668ef40c88e1dae841be6ba攻击交易1)USDT/BUSD: 0x9f5b02cb1ce2d75ba457a2d152d89b6d3932ff057c03739a0071fb816e0ebab32)USDC/BUSD: 0x43ddb5965733ee71c4b29fe685ae76bfc4d121dc606cbdf317fc59d61fec4fcf被攻击合约1)USDT/BUSD: 0x8Bfee2cAFF6b5D4Ac9F438F4b1f36FeeB5E767942)USDC/BUSD: 0x4000ec3810dfd0a0068b38f64795ae2d521a46f2
No.13
6月22日,PandoraDAO受到了闪电贷价格操纵攻击,损失了128,222美元,被盗资金目前留在黑客的地址。
资产地址:0xe4f1ae07760b985d1a94c6e5fb1589afaf44918c交易地址:0x1fff2189ef23e3c6dd3d643cbb91ee7ae20686fb6584e6d987f7fc55d98923be
No.14
6月24日,Harmony遭受恶意攻击,Harmony的Horizon区块链桥上被窃取了1亿美元,并通过11笔交易提取了存储在桥上的资产(HZ),但Harmony的比特币桥在这次攻击中仍然没有受到影响。本次攻击的确切原因尚未披露,可能与验证节点的私钥泄漏有关。据称Horizon跨链桥由5个多签地址所控制,交易只要获取其中2个地址的签名即可成功验证,黑客可能利用了某个服务器漏洞取得了2个验证节点的私钥,进而成功窃取了跨链桥中的资金。
攻击者地址:0x0d043128146654c7683fbf30ac98d7b2285ded00
No.15
6月25日,Hare Finance项目称其国库钱包已被盗用,并未公开本次事件的更多细节。
No.16
6月26日,XCarnival项目遭到攻击,并暂停了部分协议。黑客获利3,087ETH(约380万美元)。攻击者通过使用撤回的质押NFT作抵押品,然后利用该抵押品从池中提取资产。XCarnival官方通告将给予0xb7CB所有者 1500 ETH 赏金。
攻击交易:0x51cbfd46f21afb44da4fa971f220bd28a14530e1d5da5009cfbdfee012e57e35
No.17
6月29日,币安链项目QUINT的QuintConventionalPool抵押挖矿合约遭受黑客攻击,黑客获利约13万美元。造成本次攻击的根本原因是在执行reStake函数进行reward re-Stake时,LP资产的奖励金额时间没有更新,导致攻击者可以多次索取已发放的奖励。
攻击者地址1:0x82f42c1172ff2dab3129045de05cde0ca8c87fca攻击者地址2:0xcBd00C9A86f3BfD4441693E0D23F5026A648117F攻击者地址3:0xa59D3d8911DbC3Ba7c56A2Bc35c22Cbef759992d
Rug Pull 盘点
小知识:“Rug pull”,原意为拉地毯,延伸意为加密产业中常见的卷款遣逃事件,经常发生于Defi协议中。
No.16月1日,Armadillo Coin发生Rug Pull,663.4枚BNB被转移。
合约地址: 0xc71d244f7ad6c869ecbf13cbd9acae31718be4f8
No.26月2日,AnonPay项目发生Rug Pull,诈骗者已转移200枚BNB。
合约地址: 0x2967Ef0b2BBaa15ACA50028acEBE26e8Ad9Ed4D2
No.36月2日,StarMan项目发生Rug Pull,诈骗者已转移640.4枚BNB。
合约地址: 0xef20505c8b343d12da174bf9d8495c1ce2670989
No.46月8日,BNB Chain上项目BabyElon发生Rug Pull,资产下跌98%。诈骗者已将623枚BNB转入Tornado Cash。
合约地址:0x292e89d5d5bdab3af2f5838c194c1983f0140b43
No.56月13日,ElonMVP资产发生Rug Pull,$ElonMVP资产跌幅达99%。诈骗者已转移622枚BNB到Tornado Cash。
No.66月16日,Starlink2项目发生Rug Pull,$Starlink2资产跌幅达99%。诈骗者已转移626.1枚BNB到Tornado Cash。
合约地址:0xeFdcc23477DcBCcaF29F23a642634a8a3408C865
No.76月20日,Web3社交游戏应用StepUp Games资产STP发生Rug Pull,资产价格下跌84%,部署者铸造大量STP并卖出。
合约地址:0x9af81028b3af6bfaab171479b91caf010eaaa94f
No.86月21日,DHE项目已被确认为Rug Pull项目,DHE资产价格下跌超过91%。目前损失总额约为14.2万美元。
合约地址:0x11CBC781DadAAD13fc3a361772C80B1C027820AF
No.96月22日,LV Metaverse项目已被确认为Rug Pull项目,LVP资产价格下跌超过92%。目前损失总额约为150万美元。
合约地址:0x5927b72440D8A8b8c6ca5A8be60e88975F9063fc
No.106月24日,Pop Angel项目已被确认为Rug Pull项目,PPA资产价格下跌超过69%。目前损失总额约为13.1万美元。
资产地址:0x4eb60fD72EcE2bB75e150a3Eb9BE11c6643dB429
No.116月25日,DMC项目下跌超过94%,DMC创建者在17天前铸造了资产,将它们发送到另一个钱包后出售。
资产地址:0x947e47f01bF2f383Ba4F6FCa9cf7419eA8Ea8936
No.126月24日,Swello项目已被确认为Rug Pull项目,SWLO资产价格下跌100%。目前损失总额约为13.1万美元。
资产地址:0xdd6c57f8403aef4bd9282c81c0d1887222e86710
No.136月29日,LV Metaverse项目发生第二次Rug Pull ,LVP资产价格下跌超过98%。损失额约为5万美元。
合约地址:0x5927b72440D8A8b8c6ca5A8be60e88975F9063fc
No.146月29日,Skate Metaverse Coin项目发生Rug Pull,SMC资产价格下跌88%。损失额约为530 BNB。
合约地址:0x6a6585b7c3def7b8b65c4bc670f2f9713846c9d1
No.156月30日,DarkLight项目发生Rug Pull ,DK资产价格下跌100%,损失额约为611 BNB。
合约地址:0x2d1bec79f2789a454134efaab9c4caa28f3c5828
社媒诈骗与钓鱼盘点
No.16月4日,Bored Ape Yacht Club (BAYC) 和Otherside的Discord服务器受到网络钓鱼攻击的影响。据称,攻击者偷走了价值超过145个以太坊(256,000美元)的资产。攻击事件产生的原因为社区管理员的帐户遭到入侵,攻击者通过服务器上的管理员帐户发布钓鱼链接。
No.26月7日,NFT系列Boss Beauties的Discord疑似被攻击,诈骗者以42.24ETH(约74,145 美元)的底价拿走了69个NFT。
No.36月9日,NFT项目Alpha Kongs Club的Discord遭遇攻击,alphakongsclubnft[.]org是钓鱼网站,请用户不要与该项目Discord发送的任何链接或私信互动。
No.46月12日,ParallelNFT的Discord遭受入侵,官方推特发布告示请用户不要点击任何mint相关链接。
No.56月13日,出现仿冒end of sartoshi项目的钓鱼网站endofsartoshi[.]com ,真正的《end of sartoshi》NFT已经卖完了。
No.66月14日,KnownOrigin的Discord遭受入侵。出现knownoriginpass[.]io的钓鱼网站。官方发布公告提醒用户不要点击任意链接。
No.76月17日,Tasties的Discord遭受入侵,攻击者在Discord发布钓鱼链接。
No.86月17日,TOTEM的Discord遭受入侵,提醒用户不要随意点击不明链接。
No.96月18日,OakParadiseNFT的Discord服务器已被入侵,并发布了网络钓鱼链接。
No.106月18日,DuppiesNFT的Twitter帐户和Discord服务器已被入侵,攻击者在两个平台上发布了网络钓鱼链接。
No.116月19日,goodskellas项目的Discord服务器已被入侵,攻击者在其中发布了网络钓鱼链接。
No.126月19日,Clyde项目的Discord服务器已被入侵,攻击者在其中发布了网络钓鱼链接。
No.136月21日,ChiefToad 项目的Discord服务器已被入侵。
No.146月21日,Neo Hunters项目的Discord服务器已被入侵。
No.156月23日,NICE项目的Discord服务器已被入侵,官方推特发文告知用户不要点击任何链接。
No.166月23日,Project Doggos NFT项目的Discord服务器已被入侵。
No.176月25日,HANGOUT DAO项目的Discord服务器已被入侵,官方推特发文告知用户不要点击任何链接。
No.186月25日,Wallstreet Cyborgs项目的Discord服务器已被入侵,他们已经设法重新获得控制权。
No.196月25日,Fuck Pass项目的Discord服务器已被入侵。
No.206月26日,Ugly Bros项目的Discord服务器已被入侵,攻击者在其中发布了网络钓鱼链接。
No.216月27日,Fat Ape Club项目的Discord服务器已被入侵,攻击者在其中发布了网络钓鱼链接。
No.226月27日,1BLOCK STUDIO项目的Discord服务器已被入侵,攻击者在其中发布了网络钓鱼链接。
No.236月28日,FRENCY BEAR项目的Discord服务器已被入侵,攻击者在其中发布了网络钓鱼链接。
No.246月29日,JRNY CLUB项目的Twitter账户被盗,项目组已通过Discord公告确认了这一点。
No.256月29日,Voltz Labs项目的Discord服务器已被入侵,攻击者在公告频道中发布了钓鱼链接,所有其他频道均已关闭。
No.266月29日,SENSHI项目的Discord服务器已被入侵,攻击者在公告频道中发布了网络钓鱼链接,所有权限均已被剥夺。
No.276月29日,Blood Bats项目的Discord服务器已被入侵,攻击者在公告频道中发布了网络钓鱼链接。
No.286月29日,GENIES项目的Discord服务器已被入侵,攻击者在公告频道中发布了网络钓鱼链接。
No.296月29日,Yugen项目的Discord服务器已被入侵,攻击者在公告频道中发布了网络钓鱼链接。
其他类型盘点
No.16月11日,Wyvern 2.2智能合约中一个严重漏洞被发现。该漏洞在被利用前已被消除,历史区块链日志没有提供任何迹象表明该漏洞曾在野外被利用。Wyvern的订单中一些参数是可变长度的,Wyvern 2.2合约将它们连接在一起,没有适当的域分离,导致卖家之前签好了一个卖单,签署的原数据可以利用字节偏移,重新解释成意义不同的新订单。
No.26月24日,Convex Finance受到了DNS劫持。目前,他们报告说该问题已得到修复,并将进行完整的复盘。此外,他们还为Convex用户设置了备用域:http://convexfinance.fi
No.36 月 24 日,Ribbon Finance发推表示遭遇DNS攻击,导致2名用户批准Vault存款的恶意合约,目前Vault合约中的所有资金都处于安全状态。Ribbon Finance的一用户在攻击中损失了16.5WBTC。
攻击者地址:0xb73261481064f717a63e6f295d917c28385af9aa
No.46 月 27 日,Nickydooodles.eth被骗了17个ETH及其整个Doodles NFT收藏。这个骗局是由于Nickydooodles.eth收到了一份文件,在点击它时窃取了全部NFT净资产。
No.56月30日,据OpenSea官方消息,该NFT交易市场披露其电子邮件递送供应商Customer.io的一名员工滥用其员工访问权限下载了用户电子邮件信息,而且还与未经授权的外部方共享了相关电子邮件地址。
安全总结
2022年6月的安全事件涉及闪电贷攻击、流动性问题、Layer 2以及签名问题等多个方面,建议项目方在项目正式上线前要寻找可靠的安全审计机构对项目进行漏洞审计,以免造成不必要的损失。Rug Pull事件层出不穷,甚至出现单个项目在一周内发生两次Rug Pull的情况,建议用户在参与或投资项目时尽可能选取可靠的项目,避免遭受意外损失。社媒诈骗与钓鱼攻击事件的发生率整体呈快速上升趋势,项目方应注重Discord和Twitter等官方账号的密码安全,同时用户应提防官方通告中类似 “free mint” 的活动,避免落入钓鱼诈骗的圈套。同时也存在DNS劫持以及邮件信息泄露等方式的安全事件,为项目埋下了安全隐患