歐科云鏈鏈上衛士2022年11月安全事件盤點-ODAILY_TPS

一、基本信息

在頭部中心化交易所FTX發生擠兌崩盤，FTX相關資產也遭遇疑似黑客攻擊大背景下，2022年11月安全攻擊事件共造成約5.2億美元損失。本月智能合約漏洞方面發生的攻擊次數與前兩個月相比有所減少，且大部分攻擊造成的資產損失金額較低；RugPull相關安全事件發生依舊比較多，甚至有兩個項目分別造成上千萬美金級別損失；另外，Deribit熱錢包和FenbushiCapital創始合伙人錢包安全問題也造成了合計約7000萬美金的損失。

1.1REKT盤點

No.1

11月2日，借貸協議Solend遭預言機攻擊，攻擊者操縱USDH價格，從HubbleStable,Coin98和Kamino借貸池借出超額資產，從而產生126萬美元壞賬。Solend的USDH價格預言機只有一個數據源，來自Saber協議的USDH-USDC-LP，但是該交易池TVL僅有約$900k，攻擊者使用LoopSwap接口，抬高了USDH價格。

攻擊者地址：

https://www.oklink.com/zh-cn/sol/account/61wJT43nWMUpDR92wC7pmo6xoJRh2s4kCYRBq4d5XQHZ

相關鏈接：

https://twitter.com/solendprotocol/status/1587671511137398784

https://twitter.com/0xSymphony/status/1587937449077940224

https://cryptobriefing.com/why-do-solana-defi-protocols-keep-getting-exploited/

No.2

11月2日，NEAR網絡SkywardFinance協議國庫損失價值約300萬美元的110萬個NEAR代幣。攻擊者從RefFinance購買大量SKYWARD代幣，然后從SkywardFinance國庫協議進行redeem，獲得了比SKYWARD價值多很多的NEAR代幣。分析發現skyward.near合約的redeem_skyward函數沒有正確校驗token_account_ids參數，導致攻擊者傳入相同的token_account_id，并多次領取了WNear獎勵。

攻擊交易：

https://explorer.near.org/transactions/92Gq7zehKPwSSnpoZ7LGGtSmgmBb4wP2XNDVJqUZRGqz

相關鏈接：

https://mobile.twitter.com/sanket_naikwadi/status/1587854474587930624

https://twitter.com/BlockSecTeam/status/1587998109648683010

https://www.odaily.news/newsflash/303711

No.3

11月3日，BSC鏈上的gala.games項目由于pNetwork項目的bridge配置錯誤導致pTokens代幣增發，累計增發55,628,400,000枚pTokens，攻擊者已經把部分pTokens兌換成12,976個BNB，攻擊者累計獲利約434萬美元。

攻擊地址：

https://www.oklink.com/zh-cn/bsc/address/0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1

第一筆攻擊交易：

https://www.oklink.com/zh-cn/bsc/tx/0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e

歐科云鏈胡超：Coinbase上市是數字資產進入主流資本市場的標志:針對Coinbase在納斯達克交易所掛牌，歐科云鏈集團副總裁胡超表示，近半年來，華爾街傳統資本巨頭和新興科技巨頭紛紛斥巨資戰略投資比特幣，甚至有消息說個別國家也將比特幣納入戰略儲備資產的籃子，低調卻大規模地布局比特幣及礦機產業，可以看到以比特幣為代表的區塊鏈數字資產已經進入了主流資產配置的行列，而此次Coinbase的成功上市，無疑將成為這條路上新的重要標志性事件。

?胡超進一步介紹，隨著近十年來比特幣等區塊鏈數字資產在全球范圍逐漸凝聚越來越多的共識，特別是比特幣的價格經歷數輪牛熊轉換后屢創新高，近日更是以6.4萬美元的單價再次刷新了歷史記錄，這在當前全球經濟艱難復蘇、許多國家主權貨幣大幅放水的大背景下，比特幣等區塊鏈數字資產的避險屬性和戰略儲備價值也更被越來越多的機構認可。[2021/4/14 20:19:07]

第二筆攻擊交易：

https://www.oklink.com/zh-cn/bsc/tx/0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d

相關鏈接：

https://www.odaily.news/newsflash/303816

No.4

11月5日，MooCakeCTX合約被閃電貸攻擊，攻擊者獲利14萬美元。該合約在用戶質押前未結算獎勵進行復投，這會導致用戶在質押后就馬上能獲取以前的質押分紅。攻擊者在同一個區塊內使用閃電貸借出50000個cake代幣后，連續兩次進行質押，然后再提取質押的cake代幣，歸還后獲利。

攻擊交易：

https://www.oklink.com/zh-cn/bsc/tx/0x03d363462519029cf9a544d44046cad0c7e64c5fb1f2adf5dd5438a9a0d2ec8e

攻擊者地址：

https://www.oklink.com/zh-cn/bsc/address/0x35700c4a7bd65048f01d6675f09d15771c0facd5

攻擊合約：

https://www.oklink.com/zh-cn/bsc/address/0x71ac864f9388ebd8e55a3cdbc501d79c3810467c

被攻擊合約：

https://www.oklink.com/zh-cn/bsc/address/0x489afbaed0ea796712c9a6d366c16ca3876d8184

相關鏈接：

https://twitter.com/BeosinAlert/status/1589501207181393920

https://twitter.com/CertiKAlert/status/1589428153591615488

No.5

11月9日，ETH鏈項目brahTOPG被攻擊，攻擊者獲利約9萬美元。攻擊者構造惡意token，并在該token的approve函數中，將FRAX代幣轉入被攻擊合約，使得合約能成功執行，但是在zapCall.swapTarget.call(zapCall.callData)調用時，由于參數zapCall為攻擊者傳入參數，使其能夠發起USDC.transferFrom，轉移授權用戶的USDC，從而完成攻擊。

攻擊交易：

https://www.oklink.com/zh-cn/eth/tx/0xeaef2831d4d6bca04e4e9035613be637ae3b0034977673c1c2f10903926f29c0

攻擊者地址：

港股收盤：歐科云鏈收漲5.88%，火幣科技收漲9.77%:今日港股收盤，恒生指數收盤報28907.520，收漲0.47%；歐科集團旗下歐科云鏈（01499.HK）報0.720港元，收漲5.88%；火幣科技（01611.HK）報23.600港元，收漲9.77%。[2021/3/10 18:32:26]

https://www.oklink.com/zh-cn/eth/address/0x6fa00a7324dc293ea8ecf56fe3143104494c4213

攻擊合約：

https://www.oklink.com/zh-cn/eth/address/0x60032a41726241499b0c626c836c9099cb895c05

被攻擊合約：

https://www.oklink.com/zh-cn/eth/address/0xd248b30a3207a766d318c7a87f5cf334a439446d

相關鏈接：

https://twitter.com/SlowMist_Team/status/1590685173477101570

https://mp.weixin.qq.com/s/YqO38TAXBQzXZunmZk6naQ

No.6

11月11日，ETH鏈項目DFXFinance遭到攻擊，損失近400萬美元。DFX中閃電貸合約對于歸還閃電貸的計算方式只與池子中的資金余額有關，Flash方法調用未做同合約同方法和同合約不同方法的重入限制，攻擊者通過將資金借出之后通過添加流動性又將資金轉入了池子中，因此計算的需要歸還的閃電貸資金減少，攻擊者之后可以通過歸還流動性代幣將資金取出。

攻擊交易：

https://www.oklink.com/zh-cn/eth/tx/0x390def749b71f516d8bf4329a4cb07bb3568a3627c25e607556621182a17f1f9

攻擊者地址：

https://www.oklink.com/zh-cn/eth/address/0x14c19962e4a899f29b3dd9ff52ebfb5e4cb9a067

攻擊合約：

https://www.oklink.com/zh-cn/eth/address/0x6cfa86a352339e766ff1ca119c8c40824f41f22d

被攻擊合約：

https://www.oklink.com/zh-cn/eth/address/0x46161158b1947d9149e066d6d31af1283b2d377c

相關鏈接：

https://mp.weixin.qq.com/s/jviwgpwwUpn9AQ36CFEzuQ

https://mp.weixin.qq.com/s/4nLDcPsPRsZGB1c_SH1_qg

No.7

11月16日，BNBChain上的SheepFarm被黑客攻擊，黑客獲利約7.2萬美元。SheepFarm合約的register函數會檢查注冊用戶的timestamp數值為0，確保為新用戶。但是用戶注冊后，該timestamp數值并未更新，攻擊者可以重復調用register接口。每次register調用，都會有GEM_BONUS分配給黑客，黑客最后兌換為BNB獲利。

攻擊交易：

https://www.oklink.com/zh-cn/bsc/tx/0x9c3c513d54d59451ea7b07539aee9132f402d7e8f5bc025d609a16e559ee6ddf

攻擊者地址：

港股收盤：歐科云鏈收漲0.96%，火幣科技收漲4.44%:金色財經報道，今日港股收盤，恒生指數收盤上漲20.04點，漲幅0.08%，報25367.38點，歐科集團旗下歐科云鏈（01499.HK）報0.210港元，收漲0.96%，火幣科技（01611.HK）報4.7港元，收漲4.44%，雄岸科技（01647.HK）報0.229港元，收漲1.78%。[2020/8/18]

https://www.oklink.com/zh-cn/bsc/address/0x2131c67ed7b6aa01b7aa308c71991ef5baedd049

攻擊合約：

https://www.oklink.com/zh-cn/bsc/address/0xf2db8665d82e1a23895ed78b213d36d62eec6bbc

被攻擊合約：

https://www.oklink.com/zh-cn/bsc/address/0x4726010da871f4b57b5031e3ea48bde961f122aa

相關鏈接：

https://twitter.com/BlockSecTeam/status/1592734292727455744

No.8

11月21日，BSC鏈上合約sDAO被攻擊，黑客獲利1.4萬BUSD。黑客從DODO閃電貸500BUSD，部分兌換成sDAO代幣后添加流動性，然后通過withdrawTeam接口將sDAO合約全部的LPtoken取出。由于getReward接口計算是依賴sDAO合約內LPtoken的余額，黑客通過tranfer從攻擊合約轉給sDAO合約0.013個LPtoken，控制該數值為一個很小數值，然后通過getReward接口從sDAO獲得約370萬個sDAO，賣出獲利1.4萬BUSD。

攻擊交易：

https://www.oklink.com/zh-cn/bsc/tx/0xb3ac111d294ea9dedfd99349304a9606df0b572d05da8cedf47ba169d10791ed

攻擊者地址：

https://www.oklink.com/zh-cn/bsc/address/0xa1b6d1f23931911ecd1920df49ee7a79cf7b8983

攻擊合約：

https://www.oklink.com/zh-cn/bsc/address/0x2b9eff2f254662e0f16b9adc249aaa509b1c58d4

被攻擊合約：

https://www.oklink.com/zh-cn/bsc/address/0x6666625ab26131b490e7015333f97306f05bf816

相關鏈接：

20221121-sDAO攻擊事件分析

No.9

11月23日，ETH鏈上的NumbersProtocol代幣項目遭到攻擊，攻擊者獲利約1.4萬美元。攻擊者創建了一個惡意的anyToken代幣，該惡意代幣合約的底層代幣指向NUM代幣地址；接著調用Multichain跨鏈橋的Router合約的anySwapOutUnderlyingWithPermit函數，該函數的功能是傳入anyToken并調用底層代幣的permit函數進行簽名批準，之后兌換出擁有授權的用戶的底層代幣給指定地址。由于NUM代幣中沒有permit函數且擁有回調功能，所以即使攻擊者傳入假簽名也能正常返回使得交易不會失敗，導致受害者地址的NUM代幣最終可以被轉出到指定的攻擊合約中；接著攻擊者將獲利的NUM代幣通過Uniswap換成USDC再換成ETH獲利。

攻擊交易：

https://www.oklink.com/zh-cn/eth/tx/0x8a8145ab28b5d2a2e61d74c02c12350731f479b3175893de2014124f998bff32

歐科云鏈OKLink姜孜龍：機構資本入局礦圈 專業人士與散戶機會并存:7月5日，由杭州市余杭區政府指導，杭州未來科技城管委會、巴比特主辦的2020杭州區塊鏈國際周在杭州舉辦。歐科云鏈OKLink商務負責人姜孜龍在題為《后減半時代礦業進化論》的圓桌分享中表示：OKLink區塊鏈瀏覽器提供包括全網算力、挖礦難度、出塊播報等多幣種鏈上數據。近期數據上的變化基本乏善可陳，這一點與今年的比特幣減產遇到豐水期有關。一般來講，減產相當于打破之前的一個動態平衡。現階段比特幣的定價與交易市場以及礦圈緊密相連，一旦這個平衡被打破，短期來看，市場會進一步陷入沉寂。

他還指出，目前更多機構資本入場參與挖礦，或推出相關金融產品，包括抵押借貸、云算力等。個人認為，礦圈的門檻會逐漸提升，專業人士與散戶可能都會有機會，而兩個市場也會細分得更加明顯。[2020/7/5]

攻擊者地址：

https://www.oklink.com/zh-cn/eth/address/0xb792faf099991f96c5dfef037ae9f248186d9b30

攻擊合約：

https://www.oklink.com/zh-cn/eth/address/0x00000000000747d525e898424e8774f7eb317d00

被攻擊合約：

https://www.oklink.com/zh-cn/eth/address/0x765277eebeca2e31912c9946eae1021199b39c61

相關鏈接：

https://www.odaily.news/newsflash/305776

No.10

11月29日，BSC鏈SEAMAN合約遭受漏洞攻擊，黑客獲利約8000BUSD。SEAMAN合約在transfer函數時中將SEAMAN代幣兌代幣GVC，攻擊者可以利用該函數影響代幣的價格。攻擊者首先將50萬BUSD兌換為GVC代幣，攻擊者通過多次調用transfer函數觸發_splitlpToken()函數，并且會將GVC分發給lpUser，從而消耗BUSD-GVC交易對中GVC的數量，抬高該交易對中GVC的價格。最后攻擊者賣出之前兌換的GVC兌換了50.7萬的BUSD獲利。

攻擊交易：

https://www.oklink.com/zh-cn/bsc/tx/0x6f1af27d08b10caa7e96ec3d580bf39e29fd5ece00abda7d8955715403bf34a8

攻擊者地址：

https://www.oklink.com/zh-cn/bsc/address/0x4b1f47be1f678076f447585beba025e3a046a9fa

攻擊合約：

https://www.oklink.com/zh-cn/bsc/address/0x0e647d34c4caf61d9e377a059a01b5c85ab1d82a

被攻擊合約：

https://www.oklink.com/zh-cn/bsc/address/0x6bc9b4976ba6f8c9574326375204ee469993d038

相關鏈接：

https://www.odaily.news/newsflash/306290

No.11

11月30日，BSC鏈MBC和ZZSH合約遭受漏洞攻擊，黑客獲利約5600BUSD。MBC合約與ZZSH合約代碼實現相同，黑客利用閃電貸借出BUSD后，首先購買MBC和ZZSH代幣，然后利用swapAndLiquifyStepv1函數添加流動性，該函數將token合約內資產添加到pair合約，黑客最后將之前購買的MBC和ZZSH代幣售出獲利。漏洞核心在于swapAndLiquifyStepv1沒有權限控制，導致黑客可以通過swap將代幣價格推高后，再利用該函數將代幣合約內資產添加流動性，再將代幣賣出獲利。

歐科云鏈下跌0.96% 火幣科技下跌2.37%:金色財經報道，今日港股行情，香港恒生指數下跌394.72點，跌幅1.60%，報24207.34點，歐科集團旗下歐科云鏈（01499.HK）報0.206點，下跌0.96%；火幣科技（01611.HK）報3.30點，下跌2.37%，雄岸科技（01647.HK）報0.250點，下跌1.96%。[2020/5/12]

攻擊交易：

https://www.oklink.com/zh-cn/bsc/tx/0xdc53a6b5bf8e2962cf0e0eada6451f10956f4c0845a3ce134ddb050365f15c86

攻擊者地址：

https://www.oklink.com/zh-cn/bsc/address/0x9cc3270de4a3948449c1a73eabff5d0275f60785

攻擊合約：

https://www.oklink.com/zh-cn/bsc/address/0x0b13d2b0d8571c3e8689158f6db1eedf6e9602d3

被攻擊合約：

https://www.oklink.com/zh-cn/bsc/address/0x4e87880a72f6896e7e0a635a5838ffc89b13bd17

https://www.oklink.com/zh-cn/bsc/address/0xee04a3f9795897fd74b7f04bb299ba25521606e6

相關鏈接：

20221129-MBC/ZZSH攻擊案例

1.2RugPull盤點

No.1

11月1日，BSC鏈項目FITE項目疑似RugPull，攻擊者轉移1900枚BNB，獲利約62.2萬美元。

合約地址：

https://www.oklink.com/zh-cn/bsc/address/0xe4182e57eeb29fbc2b3469e45c9e385cea8995ab

相關鏈接：

https://twitter.com/PeckShieldAlert/status/1587368026571436032

No.2

11月3日，MetFX項目疑似發生Rugpull，部署者獲利約13萬美元。

相關鏈接：https://twitter.com/PeckShieldAlert/status/1588037702599200768

No.3

11月8日，BSC鏈項目DefiWzToken(DEFIWZ)發生RugPull，攻擊者獲利約20.8萬美元。

合約地址：

https://www.oklink.com/zh-cn/bsc/address/0x418db510b4f1cf33565c459cfb6d838bbbbff8f9

相關鏈接：

https://twitter.com/CertiKAlert/status/1589722752277045248

No.4

11月8日，BSC鏈項目DeFiSafe(dSafe)發生RugPull，攻擊者獲利約12.7萬美元。

合約地址：

https://www.oklink.com/zh-cn/bsc/address/0x761776f726168c9df6dc63d5864880801e21f403

相關鏈接：

https://twitter.com/CertiKAlert/status/1589650367507271680

No.5

11月8日，BSC鏈項目SSIDToken(SSID)發生RugPull，攻擊者獲利約15.8萬美元。

合約地址：

https://www.oklink.com/zh-cn/bsc/address/0xC3241e111CCd9CF6c5a11dADE9498070082F2ed3

相關鏈接：

https://twitter.com/CertiKAlert/status/1589708844829405184

No.5

11月11日，ETH鏈項目DefiForge(FORGE)發生RugPull，攻擊者獲利約6.5萬美元。\n合約地址：

https://www.oklink.com/zh-cn/eth/address/0x5198625a8abf34a0d2a1f262861ff3b3079302bf

相關鏈接：

https://twitter.com/CertiKAlert/status/1591611068786257920

No.7

11月13日，BNBChain項目DeFiAI項目發生Rugpull，合約部署者獲利約4000萬美元。

合約地址：

https://www.oklink.com/zh-cn/bsc/address/0x6548a320d3736920cad8a2cfbfefdb14db6376ea

相關鏈接：

https://twitter.com/DeFiAiOfficial/status/1591783217040064513

No.8

11月15日，BNBChain項目Ranger發生RugPull，攻擊者獲利約8萬美元。

合約地址：

https://www.oklink.com/zh-cn/bsc/address/0xc9efd09c8170e5ce43219967a0564a9b610e5ea2

相關鏈接：

https://twitter.com/CertiKAlert/status/1592402249523023878

No.9

11月16日，BNBChain項目FLARE發生RugPull，攻擊者獲利約1800萬美元。

合約地址：

https://www.oklink.com/zh-cn/bsc/address/0x192e9321b6244d204d4301afa507eb29ca84d9ef

相關鏈接：

https://mp.weixin.qq.com/s/Ynhc_9TWUY2iGWZWrfzThA

https://twitter.com/lunaray_sec/status/1592790172206526464

No.10

11月17日，BNBChain項目BoxerInuFinance發生RugPull，攻擊者獲利約14萬美元。

合約地址：

https://www.oklink.com/zh-cn/bsc/address/0x6867d4a17f3ff5602024b7c2a33df2fd9aeafcfe

相關鏈接：

https://twitter.com/CertiKAlert/status/1592947070411100160

No.11

11月17日，BNBChain項目META項目發生RugPull，合約部署者獲利約6萬美元。

合約地址：

https://www.oklink.com/zh-cn/bsc/address/0x40Be57E8910dA65f5B98746C730E26941aB3824A

相關鏈接：

https://twitter.com/CertiKAlert/status/1592929004255862786

No.12

11月29日，BNBChain項目TrustBridge(TWG)發生RugPull，合約部署者獲利約7萬美元。

合約地址：

https://www.oklink.com/zh-cn/bsc/address/0x737F5942D70f8F433d65823535e7Ae1DE1950d8e

相關鏈接：

https://twitter.com/CertiKAlert/status/1594409841396678659

No.13

11月28日，BNBChain項目IOTN發生RugPull，合約部署者賣出4.3億IOTN代幣。

合約地址：

https://www.oklink.com/zh-cn/bsc/address/0xabe6efdefa75c18bd0f6b65abddcd8dda3992caf

相關鏈接：

https://twitter.com/CertiKAlert/status/1597031934789652482

No.14

11月29日，BNBChain項目BTC-POR發生RugPull，合約部署者獲利約7萬美元。

合約地址：

https://www.oklink.com/zh-cn/bsc/address/0x7e20fec0e64e81e4b9812bd4886cd1fd3ad4df45

相關鏈接：

https://twitter.com/CertiKAlert/status/1597381475481128961

1.3社媒詐騙與釣魚盤點

No.1

11月1日，Generativemasks項目Discord服務器遭攻擊，攻擊者發布虛假消息。

相關鏈接：https://twitter.com/CertiKAlert/status/1587219096399233027

No.2

11月1日，KUMALEON項目Discord遭攻擊，111枚NFT被盜，包括BAYC#5313,ENS,ALIENFRENS和ArtBlocks。

相關鏈接：https://twitter.com/PeckShieldAlert/status/1587271475475939328

No.3

11月12日，PlayAFAR項目Discord服務器遭攻擊，攻擊者發布虛假消息。

相關鏈接：https://twitter.com/CertiKAlert/status/1591099470036570113

No.4

11月19日，MitsubishiNFT項目Discord服務器遭受攻擊，攻擊者發布虛假消息。

相關鏈接：https://twitter.com/CertiKAlert/status/1593758516602318854

No.5

11月23日，SensiLabs項目Discord服務器遭受攻擊，攻擊者發布虛假消息。

相關鏈接：https://twitter.com/CertiKAlert/status/1595215783654658048

No.6

11月28日，Shamanzs項目Discord服務器遭受攻擊，攻擊者發布虛假消息。

相關鏈接：https://twitter.com/CertiKAlert/status/1597076228749533185

1.4其他

No.1

11月2日，Deribit熱錢包被盜2800萬美元，損失將由公司儲備金彌補。

相關鏈接：https://twitter.com/DeribitExchange/status/1587701883778523136

No.2

11月2日，Rubic項目管理員地址私鑰疑被泄露，攻擊者已出售約3400萬RBC/BRBC。

相關鏈接：https://twitter.com/CryptoRubic/status/1587801263781171203

No.3

11月12日，FTX疑似遭遇攻擊，大量資產開始持續發送到0x59A開頭地址。

相關鏈接：https://twitter.com/CertiKAlert/status/1591265704568709122

No.4

11月23日：FenbushiCapital創始合伙人價值4200萬美元個人資產被盜，FBI已介入調查。

相關鏈接：https://twitter.com/boshen1011/status/1595239850596306944

二、安全總結

2022年11月智能合約相關漏洞涉及價格操縱、獎勵機制、注入攻擊等類型，均為常見攻擊手法，如項目上線前，經專業智能合約審計機構進行審計，可避免相關漏洞攻擊發生。另外，本月RugPull類項目依舊層出不窮，用戶參與相關項目時，需要保持警惕，多方驗證項目質量，遠離可疑項目。最后，應增強錢包私鑰安全意識，避免私鑰泄露造成資產損失。

Tags：HTTTPSCOMWWWhtt幣價格tps幣行情KOACOMBATWWW價格

XMR