黑客超額完成KPI？受影響金額約1.2億美元 本周Web3安全事件回顧_IST

有黑客用一千萬“撬動”Solana生態上億資金，也有黑客鋌而走險，薅起了交易所的羊毛，同時也有一些Web3項目遭遇私鑰泄露、閃電貸攻擊。

BeosinEagleEyeWeb3安全預警與監控平臺監測顯示，截止發稿時，本周共發生8起攻擊類相關的安全事件，累計受影響金額約1.2億美元，和Beosin安全團隊一起來盤點一下吧。

10月9日?

1.XaveFinance項目遭受黑客攻擊，導致RNBW增發了1000倍

10月9日，XaveFinance項目遭受黑客攻擊，導致RNBW增發了1000倍。本次攻擊是攻擊者通過調用DaoModule合約的executeProposalWithIndex()函數執行了攻擊者的惡意提案，使得意外鑄造了100,000,000,000,000個RNBW，并將ownership權限轉移給攻擊者。最后黑客將其兌換為xRNBW。

CoinList推出新功能Wallet Link，本周將與Nomad合作向受黑客攻擊影響用戶返還資金:12月14日消息，CoinList宣布推出新功能Wallet Link，支持用戶將其鏈上身份與CoinList的驗證身份相連接。當選擇進入Wallet Link時，用戶驗證其非托管錢包的所有權，可以根據其錢包的活動獲得新的機會，用戶可以在任何時候刪除與其賬戶相關的錢包地址。作為與Nomad合作的一項活動的一部分，CoinList將于本周推出Wallet Link，以向受Nomad跨鏈橋黑客攻擊影響的用戶恢復和返還資金。受影響的用戶將能夠驗證與Nomad橋相關的錢包的所有權，以便有資格獲得資金返還。[2022/12/14 21:43:44]

2.Jumpnfinance項目發生Rugpull，涉及金額約115萬美元

朝鮮譴責美國關于其通過黑客組織盜取加密貨幣為國家謀取收入的言論:7月23日消息，朝鮮周六譴責白宮一位高級官員關于平壤網絡攻擊能力的言論，并表示將繼續反對所謂的美國對朝鮮的侵略。一位外交部發言人說，將朝鮮定性為“犯罪集團”揭示了華盛頓對朝鮮敵對政策的真實性質。據報道，美國負責網絡和新興技術的副國家安全顧問Anne Neuberger周三表示，朝鮮是一個“以國家名義”謀取收入的犯罪集團。一種普遍觀點認為，朝鮮有數千名訓練有素的黑客，盜取加密貨幣已成為這個受到制裁打擊的國家及其武器計劃的主要資金來源。（路透社）[2022/7/23 2:33:19]

Jumpnfinance項目Rugpull。攻擊者調用0xe156合約的0x6b1d9018()函數，提取了該合約中的用戶資產，存放在攻擊者地址上。目前被盜資金中2100BNB($581,700)已轉入Tornado.Cash，剩余部分2058BNB還存放在攻擊者地址。

美國國會議員敦促國會調查加密貨幣在勒索軟件黑客攻擊中的作用:在黑客組織攻擊200余家美國公司，要求使用門羅幣支付贖金之后，美國民主黨議員Eric Swalwell敦促國會調查加密貨幣在勒索軟件黑客攻擊中的作用并迅速采取行動。此前在2019年，Eric Swalwell曾表示接受加密貨幣捐款。[2021/7/4 0:26:41]

10月11日?

1.QANplatform跨鏈橋遭受黑客攻擊，疑似項目方私鑰泄露，涉及金額約189萬美元

本次事件交易的發起地址是一個疑似項目方的地址，攻擊者通過該地址調用跨鏈橋合約中的bridgeWithdraw函數提取QANX代幣，然后把QANX代幣兌換為相應平臺幣，目前被盜資金依然存放在攻擊者地址上。

V神：區塊鏈是一種自衛技術，可減少黑客攻擊和DoS攻擊:5月3日，V神發推文稱，有一個很有道理的例子是，提高自衛技術從長遠來看，是強烈支持自由的；其消除了更集中化的替代方案的弱點，這些替代方案通常涉及做更多的調查，并試圖找出世界上所有的壞人。區塊鏈絕對是自衛技術的一個例子；從集中式記錄保存轉移到區塊鏈，減少了黑客攻擊和DoS攻擊。甚至將會議注冊轉移到智能合同就是一個例子：沒有更多的服務器，也沒有更多的非原子性風險。[2020/5/3]

2.Rabby項目遭受黑客攻擊，請用戶取消對相應合約的授權

本次事件是因為RabbyRouter的_swap函數存在外部調用漏洞,導致任何人都可以通過調用該函數，將授權到該合約用戶的資金轉走。目前攻擊者已在Ethereum，BSC鏈，polygon，avax，Fantom，optimistic，Arbitrum發起攻擊，請用戶取消對相應合約的授權。

3.TempleDAO項目遭受黑客攻擊，涉及金額約236萬美元

本次事件是因為StaxLPStaking合約中的migrateStake函數缺少權限校驗，導致任何人都可以通過調用該函數提取合約中的StaxLP。攻擊者攻擊成功后，把獲得的全部StaxLP代幣兌換為了ETH。

10月12日?

1.Journeyofawakening(ATK)項目遭受閃電貸攻擊

本次事件攻擊者通過閃電貸攻擊的方式攻擊了ATK項目的策略合約，從合約中獲取了大量的ATK代幣，之后攻擊者把獲得的全部ATK代幣兌換為約12萬美元的BSC-USD。

2.Solana生態去中心化交易平臺Mango遭遇黑客攻擊，影響高達1.16億美元。

黑客使用了兩個賬戶，一共1000萬USDT起始資金。

第一步，攻擊者向Mango市場存入了500萬USDC。

第二步，攻擊者在MNGO-ERP市場創建了一個4.83億的PlacePerpOrder2頭寸。

第三步，MNGO的價格被操縱，從0.0382美元到0.91美元，通過使用一個單獨的賬戶對其頭寸進行對手交易。

賬戶2現在有4.83億*(0.91-0.03298美元)=4.23億美元，這使得攻擊者可以借出1.16億美元的資金。

10月13日?

1.FTX交易所遭到gas竊取攻擊

FTX交易所遭到gas竊取攻擊，黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。本次事件攻擊者通過FTX熱錢包多次少量的提取以太坊，FTX熱錢包地址會向攻擊合約地址多次轉入小額的資金，隨后會調用到攻擊合約的fallback()函數，通過該函數攻擊者向Xen合約發起鑄幣請求。而Xen合約僅需傳入一個時間期限，便可支持無成本鑄幣，只需支付交易Gas費，但在此次調用過程中，交易發起者為FTX熱錢包地址，所以整個調用過程的gas都是由FTX熱錢包地址所支付，而Xen鑄幣地址為攻擊者地址，達到攻擊的目的。

Tags：FTXWALGASISTFTX Tokenwal幣最新價格ugas幣怎么找不到了BIST價格

TRX