黑客超額完成KPI？受影響金額約1.2億美元 本周Web3安全事件回顧_EOS:SHI

有黑客用一千萬“撬動”Solana 生態上億資金，也有黑客鋌而走險，薅起了交易所的羊毛，同時也有一些Web3項目遭遇私鑰泄露、閃電貸攻擊。

Beosin EagleEye Web3安全預警與監控平臺監測顯示，截止發稿時，本周共發生8起攻擊類相關的安全事件，累計受影響金額約1.2億美元，和Beosin安全團隊一起來盤點一下吧。

10月9日 

1. XaveFinance項目遭受黑客攻擊，導致RNBW增發了1000倍

10月9日，XaveFinance項目遭受黑客攻擊，導致RNBW增發了1000倍。本次攻擊是攻擊者通過調用DaoModule合約的executeProposalWithIndex()函數執行了攻擊者的惡意提案，使得意外鑄造了100,000,000,000,000個RNBW，并將ownership權限轉移給攻擊者。最后黑客將其兌換為xRNBW。

Polygon BUIDLIT Summer 2022黑客松公布獲勝名單:9月16日消息，Polygon BUIDLIT Summer 2022黑客松公布獲勝項目名單，社交媒體平臺Cratch、卡牌游戲Toshimon、Web3游戲共創平臺FindTruman獲得黑客松前三名。

此外，DeFi類別前三名為DeFi for People、Nomis和Fixel。NFT類別前三名為Slise、Rakugaki和Decent Poems。游戲類別前三名為War Alpha Metaverse V2、Mothora和Cozyverse。工具和基礎設施類別前三名為Toolblox、Finity-UI和Universal Adapter Protocol。[2022/9/16 7:00:40]

2. Jumpnfinance項目發生Rugpull，涉及金額約115萬美元

動態 | 美國新奧爾良市遭勒索軟件攻擊，黑客要求比特幣贖金:金色財經報道，美國路易斯安那州新奧爾良市遭到大規模勒索軟件攻擊后宣布進入緊急狀態。該市的計算機系統目前仍在運行。據悉，黑客使用的勒索軟件是Ryuk，會對計算機系統進行加密并要求獲得比特幣資金。[2019/12/19]

Jumpnfinance項目Rugpull。攻擊者調用0xe156合約的0x6b1d9018()函數，提取了該合約中的用戶資產，存放在攻擊者地址上。目前被盜資金中2100 BNB ($581,700)已轉入Tornado.Cash，剩余部分2058 BNB（$571,128）還存放在攻擊者地址。

1. QANplatform跨鏈橋遭受黑客攻擊，疑似項目方私鑰泄露，涉及金額約189萬美元

動態 | 法國交易所Coinhouse遭受黑客釣魚攻擊 已切換到維護模式以保護用戶資金:法國加密貨幣交易所Coinhouse表示，該公司遭受了一次網絡釣魚攻擊，黑客在攻擊期間進入了其客戶端郵件分發數據庫。根據Coinhouse官方推文，黑客成功訪問了包含姓名和電子郵件地址的客戶端數據庫，并利用這些信息開始對用戶進行網絡釣魚攻擊。Coinhouse因此建議其客戶不要點擊或回復有關該交易所的電子郵件，并立即將平臺切換到維護模式以防止黑客獲得用戶資金。該交易所聲稱，他們能夠遏制黑客攻擊，并迅速向客戶發送了一封電子郵件解釋如何避免釣魚攻擊。[2019/9/14]

本次事件交易的發起地址是一個疑似項目方的地址，攻擊者通過該地址調用跨鏈橋合約中的bridgeWithdraw函數提取QANX代幣，然后把QANX代幣兌換為相應平臺幣，目前被盜資金依然存放在攻擊者地址上。

動態 | 今晨多款EOS競猜類游戲遭黑客交易回滾攻擊:據 PeckShield 態勢感知平臺12月12日數據顯示：今晨05:57-08:27之間，黑客（helookitiqas）向EOS競猜類游戲釣魚高手(kittyfishing)發起攻擊，在兩個多小時內，共計發起91次攻擊，總計獲利558.85個EOS。該黑客賬戶（helookitiqas）在攻擊得手后，將大部分所得資金轉向幣安交易所賬號（binancecleos)。

PeckShield 安全人員分析發現，黑客是采用交易回滾攻擊手段對游戲合約實施攻擊。此外，另有兩款競猜類游戲也于今晨遭到了數十次同類型的攻擊，損失數百個EOS，目前還有一款游戲合約尚未修復仍面臨再次被攻擊的風險。PeckShield 安全人員在此提醒：近日，交易回滾攻擊形態仍在頻繁出現，對EOS DApp游戲生態造成了嚴重的威脅，希望廣大游戲開發者持續保持警惕。[2018/12/12]

2. Rabby項目遭受黑客攻擊，請用戶取消對相應合約的授權

本次事件是因為RabbyRouter的_swap函數存在外部調用漏洞,導致任何人都可以通過調用該函數，將授權到該合約用戶的資金轉走。目前攻擊者已在Ethereum，BSC鏈，polygon，avax，Fantom，optimistic，Arbitrum發起攻擊，請用戶取消對相應合約的授權。

3. TempleDAO項目遭受黑客攻擊，涉及金額約236萬美元

本次事件是因為StaxLPStaking合約中的migrateStake函數缺少權限校驗，導致任何人都可以通過調用該函數提取合約中的StaxLP。攻擊者攻擊成功后，把獲得的全部StaxLP代幣兌換為了ETH。

1. Journey of awakening (ATK)項目遭受閃電貸攻擊

本次事件攻擊者通過閃電貸攻擊的方式攻擊了ATK項目的策略合約，從合約中獲取了大量的ATK代幣，之后攻擊者把獲得的全部ATK代幣兌換為約12萬美元的BSC-USD。

2. Solana 生態去中心化交易平臺 Mango遭遇黑客攻擊，影響高達 1.16 億美元。

黑客使用了兩個賬戶，一共1000萬USDT起始資金。

第一步，攻擊者向Mango市場存入了500萬USDC。

第二步，攻擊者在MNGO-ERP市場創建了一個4.83億的PlacePerpOrder2頭寸。

第三步，MNGO的價格被操縱，從0.0382美元到0.91美元，通過使用一個單獨的賬戶（賬戶2）對其頭寸進行對手交易。

賬戶2現在有4.83億*(0.91-0.03298美元)=4.23億美元，這使得攻擊者可以借出1.16億美元的資金。

1. FTX交易所遭到gas竊取攻擊

FTX交易所遭到gas竊取攻擊，黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。本次事件攻擊者通過FTX熱錢包多次少量的提取以太坊，FTX熱錢包地址會向攻擊合約地址多次轉入小額的資金，隨后會調用到攻擊合約的fallback()函數，通過該函數攻擊者向Xen合約發起鑄幣請求。而Xen合約僅需傳入一個時間期限，便可支持無成本鑄幣，只需支付交易Gas費，但在此次調用過程中，交易發起者為FTX熱錢包地址，所以整個調用過程的gas都是由FTX熱錢包地址所支付，而Xen鑄幣地址為攻擊者地址，達到攻擊的目的。

Beosin

企業專欄

閱讀更多

白話區塊鏈

金色財經Maxwell

NFT中文社區

CoinDesk中文

達瓴智庫

去中心化金融社區

金色薦讀

肖颯lawyer

CT中文

ETH中文

ForesightNews

Tags：EOSFTXSHIFINEOS Se7ensFTXT幣Black Shiba InuDiffract Finance

區塊鏈