黑客超額完成KPI？受影響金額約1.2億美元 本周Web3安全事件回顧_FTX

有黑客用一千萬“撬動”Solana 生態上億資金，也有黑客鋌而走險，薅起了交易所的羊毛，同時也有一些Web3項目遭遇私鑰泄露、閃電貸攻擊。

Beosin EagleEye Web3安全預警與監控平臺監測顯示，截止發稿時，本周共發生8起攻擊類相關的安全事件，累計受影響金額約1.2億美元，和Beosin安全團隊一起來盤點一下吧。

10月9日 

1. XaveFinance項目遭受黑客攻擊，導致RNBW增發了1000倍

10月9日，XaveFinance項目遭受黑客攻擊，導致RNBW增發了1000倍。本次攻擊是攻擊者通過調用DaoModule合約的executeProposalWithIndex()函數執行了攻擊者的惡意提案，使得意外鑄造了100,000,000,000,000個RNBW，并將ownership權限轉移給攻擊者。最后黑客將其兌換為xRNBW。

卡巴斯基：針對bZx的釣魚攻擊可能由Lazarus黑客組織實施，該組織與朝鮮有密切聯系:11月12日消息，美國網絡安全公司卡巴斯基針對保證金交易借貸平臺bZx私鑰泄露事件調查發現，該次針對bZx的網絡釣魚攻擊很可能是由 Lazarus（Bluenoroff Advanced Persistent Group）組織執行，該組織長期以來一直攻擊金融機構和加密貨幣交易所，與朝鮮有密切聯系，被稱為國家支持的黑客組織。卡巴斯基調查分析了Lazarus在2017年、2019年和2020年進行的一些攻擊，發現該次私鑰事件的網絡釣魚郵件與之前攻擊所使用的工具具有相似性。

此前消息，11月5日，保證金交易借貸平臺bZx在Polygon和BSC部署的私鑰被泄露，造成超過5500萬美元資金被盜，該次攻擊是針對bZx開發者的網絡釣魚攻擊。[2021/11/12 21:45:39]

2. Jumpnfinance項目發生Rugpull，涉及金額約115萬美元

印度從被捕黑客手中查獲價值120萬美元的比特幣:印度班加羅爾聯合專員Sandeep Patil宣布，卡納塔克邦從一名被捕的黑客手中查獲了價值9000萬盧比(123萬美元)的比特幣。這名名為Srikrishna的黑客于11月18日被捕，罪名是入侵政府網站。在調查過程中，發現Shreeki還入侵了3個比特幣交易所和10個撲克網站，盜取了30多個比特幣。這名黑客使用惡意軟件攻擊政府網站，他還入侵了在線游戲門戶網站和其他不同的網站，在網上贏取金錢和加密資產。（Finance Magnates）[2021/1/15 16:15:50]

Jumpnfinance項目Rugpull。攻擊者調用0xe156合約的0x6b1d9018()函數，提取了該合約中的用戶資產，存放在攻擊者地址上。目前被盜資金中2100 BNB ($581,700)已轉入Tornado.Cash，剩余部分2058 BNB（$571,128）還存放在攻擊者地址。

黑客網站公開Ledger于今年6月被盜的客戶電子郵件信息:12月21日消息，黑客網站Raidforums上已經公開了一個包含超過百萬份客戶電子郵件的數據庫。這些數據是在2020年6月硬件錢包提供商Ledger的電子商務數據庫遭到黑客攻擊時被盜的。據悉，攻擊中沒有暴露任何財務信息、恢復語句或密鑰。（Decrypt）[2020/12/21 15:54:50]

1. QANplatform跨鏈橋遭受黑客攻擊，疑似項目方私鑰泄露，涉及金額約189萬美元

本次事件交易的發起地址是一個疑似項目方的地址，攻擊者通過該地址調用跨鏈橋合約中的bridgeWithdraw函數提取QANX代幣，然后把QANX代幣兌換為相應平臺幣，目前被盜資金依然存放在攻擊者地址上。

日本交易所Fisco起訴幣安 稱后者在2018年“Zaif黑客事件”中為洗錢提供便利:日本加密貨幣交易所Fisco日前已于美國法院提起了針對幣安（Binance）的訴訟，Fisco聲稱在2018年Zaif（現已被Fisco收購）遭遇黑客入侵丟失6300萬美元的加密貨幣后，幣安為黑客洗錢提供了便利。Fisco在起訴書中指出，通過鏈上分析追蹤到了一個比特幣地址，黑客自這個地址通過幣安清洗了1451.7枚比特幣，幣安本有著凍結該賬戶并組織交易的能力，但由于幣安缺乏行動，Zaif的客戶和交易所本身都遭受了財務損失。Fisco要求獲得幣安的賠償，具體金額將在庭審中確定。（Finance Magnates）[2020/9/15]

2. Rabby項目遭受黑客攻擊，請用戶取消對相應合約的授權

本次事件是因為RabbyRouter的_swap函數存在外部調用漏洞,導致任何人都可以通過調用該函數，將授權到該合約用戶的資金轉走。目前攻擊者已在Ethereum，BSC鏈，polygon，avax，Fantom，optimistic，Arbitrum發起攻擊，請用戶取消對相應合約的授權。

3. TempleDAO項目遭受黑客攻擊，涉及金額約236萬美元

本次事件是因為StaxLPStaking合約中的migrateStake函數缺少權限校驗，導致任何人都可以通過調用該函數提取合約中的StaxLP。攻擊者攻擊成功后，把獲得的全部StaxLP代幣兌換為了ETH。

1. Journey of awakening (ATK)項目遭受閃電貸攻擊

本次事件攻擊者通過閃電貸攻擊的方式攻擊了ATK項目的策略合約，從合約中獲取了大量的ATK代幣，之后攻擊者把獲得的全部ATK代幣兌換為約12萬美元的BSC-USD。

2. Solana 生態去中心化交易平臺 Mango遭遇黑客攻擊，影響高達 1.16 億美元。

黑客使用了兩個賬戶，一共1000萬USDT起始資金。

第一步，攻擊者向Mango市場存入了500萬USDC。

第二步，攻擊者在MNGO-ERP市場創建了一個4.83億的PlacePerpOrder2頭寸。

第三步，MNGO的價格被操縱，從0.0382美元到0.91美元，通過使用一個單獨的賬戶（賬戶2）對其頭寸進行對手交易。

賬戶2現在有4.83億*(0.91-0.03298美元)=4.23億美元，這使得攻擊者可以借出1.16億美元的資金。

1. FTX交易所遭到gas竊取攻擊

FTX交易所遭到gas竊取攻擊，黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。本次事件攻擊者通過FTX熱錢包多次少量的提取以太坊，FTX熱錢包地址會向攻擊合約地址多次轉入小額的資金，隨后會調用到攻擊合約的fallback()函數，通過該函數攻擊者向Xen合約發起鑄幣請求。而Xen合約僅需傳入一個時間期限，便可支持無成本鑄幣，只需支付交易Gas費，但在此次調用過程中，交易發起者為FTX熱錢包地址，所以整個調用過程的gas都是由FTX熱錢包地址所支付，而Xen鑄幣地址為攻擊者地址，達到攻擊的目的。

Beosin

企業專欄

閱讀更多

白話區塊鏈

金色財經Maxwell

NFT中文社區

CoinDesk中文

達瓴智庫

去中心化金融社區

金色薦讀

肖颯lawyer

CT中文

ETH中文

ForesightNews

Tags：NCEANCFTXNANObtain InsuranceLybra FinanceHDPUNK Vault (NFTX)Extend Finance

波場