黑客超額完成KPI？受影響金額約1.2億美元 本周Web3安全事件回顧_FTX:STA

有黑客用一千萬“撬動”Solana生態上億資金，也有黑客鋌而走險，薅起了交易所的羊毛，同時也有一些Web3項目遭遇私鑰泄露、閃電貸攻擊。

BeosinEagleEyeWeb3安全預警與監控平臺監測顯示，截止發稿時，本周共發生8起攻擊類相關的安全事件，累計受影響金額約1.2億美元，和Beosin安全團隊一起來盤點一下吧。

10月9日?

1.XaveFinance項目遭受黑客攻擊，導致RNBW增發了1000倍

10月9日，XaveFinance項目遭受黑客攻擊，導致RNBW增發了1000倍。本次攻擊是攻擊者通過調用DaoModule合約的executeProposalWithIndex()函數執行了攻擊者的惡意提案，使得意外鑄造了100,000,000,000,000個RNBW，并將ownership權限轉移給攻擊者。最后黑客將其兌換為xRNBW。

報告：黑客在2023年Q1的40次攻擊中從竊取了約4億美元:金色財經報道，TRM Labs在一份新報告中表示，黑客在2023年前三個月的40次攻擊中從加密項目中竊取了約4億美元。這比2022年第一季度下降了70%。黑客的平均規模也變小了，從2022年的3000萬美元減少到2023年同期的1050萬美元。黑客也越來越多地歸還他們竊取的資金，從被利用的項目中獲得“白帽”獎勵。TRM Labs估計，黑客攻擊受害者在2023年拿回了將近一半的被盜資金。

TRM Labs表示，一個可能的解釋是監管機構越來越關注加密貨幣黑客攻擊和一些備受矚目的執法案件。首先，加密貨幣交易所正在加強他們的KYC/AML政策，這使得兌現被盜的加密貨幣變得更加困難。與此同時，Tornado Cash自2022年8月以來一直受到美國制裁，該協議自動將所有與Tornado相關的資金重新列入任何受監管交易所。[2023/5/23 15:19:53]

2.Jumpnfinance項目發生Rugpull，涉及金額約115萬美元

Evmos Momentum黑客松獲火幣孵化器50萬美元獎金池支持:金色財經報道，Huobi Global孵化機構火幣孵化器及其附屬的Web3Scholarship平臺宣布將Evmos Momentum Hackathon延長一個月，新截止日期將會是美國東部時間9月20日下午5點，同時火幣孵化器還宣布與Evmos合作，將為黑客松獲勝者提供500,000美元的獎池。 Evmos區塊鏈是Cosmos生態系統中第一個與EVM兼容的區塊鏈，而作為火幣孵化器旗下主要的Web3融資和孵化工具，Web3Scholarship與之合作推出首個黑客馬拉松。（globenewswire）[2022/9/13 13:25:03]

Jumpnfinance項目Rugpull。攻擊者調用0xe156合約的0x6b1d9018()函數，提取了該合約中的用戶資產，存放在攻擊者地址上。目前被盜資金中2100BNB($581,700)已轉入Tornado.Cash，剩余部分2058BNB還存放在攻擊者地址。

動態 | 大規模虛擬貨幣黑客攻擊事件發生7個月后 Zaif將于下周恢復MONA交易:據Cointelegraph4月20日消息，部分BTC，BCH和MONA在去年9月的Zaif黑客事件中被竊取，由于MONA的市場銷量很小，Zaif決定向遭受損害的用戶賠償損失的MONA價值的60％和損失日元的40％。它旨在為接受業務繼承的客戶進行余額調整。[2019/4/20]

10月11日?

1.QANplatform跨鏈橋遭受黑客攻擊，疑似項目方私鑰泄露，涉及金額約189萬美元

本次事件交易的發起地址是一個疑似項目方的地址，攻擊者通過該地址調用跨鏈橋合約中的bridgeWithdraw函數提取QANX代幣，然后把QANX代幣兌換為相應平臺幣，目前被盜資金依然存放在攻擊者地址上。

有黑客大規模獲取服務器權限植入挖礦程序:據慢霧區發布的安全預警消息稱，「阿里云安全」披露，有攻擊者利用 Hadoop Yarn 資源管理系統 REST API 未授權訪問漏洞進行攻擊，大規模獲取服務器最高權限并植入挖礦程序。錢包、交易所應注意防范，對全節點、熱錢包做好隔離，另外，Hadoop 2.X 以上版本提供了安全認證功能，建議開啟 Kerberos 認證。[2018/5/5]

2.Rabby項目遭受黑客攻擊，請用戶取消對相應合約的授權

本次事件是因為RabbyRouter的_swap函數存在外部調用漏洞,導致任何人都可以通過調用該函數，將授權到該合約用戶的資金轉走。目前攻擊者已在Ethereum，BSC鏈，polygon，avax，Fantom，optimistic，Arbitrum發起攻擊，請用戶取消對相應合約的授權。

3.TempleDAO項目遭受黑客攻擊，涉及金額約236萬美元

本次事件是因為StaxLPStaking合約中的migrateStake函數缺少權限校驗，導致任何人都可以通過調用該函數提取合約中的StaxLP。攻擊者攻擊成功后，把獲得的全部StaxLP代幣兌換為了ETH。

10月12日?

1.Journeyofawakening(ATK)項目遭受閃電貸攻擊

本次事件攻擊者通過閃電貸攻擊的方式攻擊了ATK項目的策略合約，從合約中獲取了大量的ATK代幣，之后攻擊者把獲得的全部ATK代幣兌換為約12萬美元的BSC-USD。

2.Solana生態去中心化交易平臺Mango遭遇黑客攻擊，影響高達1.16億美元。

黑客使用了兩個賬戶，一共1000萬USDT起始資金。

第一步，攻擊者向Mango市場存入了500萬USDC。

第二步，攻擊者在MNGO-ERP市場創建了一個4.83億的PlacePerpOrder2頭寸。

第三步，MNGO的價格被操縱，從0.0382美元到0.91美元，通過使用一個單獨的賬戶對其頭寸進行對手交易。

賬戶2現在有4.83億*(0.91-0.03298美元)=4.23億美元，這使得攻擊者可以借出1.16億美元的資金。

10月13日?

1.FTX交易所遭到gas竊取攻擊

FTX交易所遭到gas竊取攻擊，黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。本次事件攻擊者通過FTX熱錢包多次少量的提取以太坊，FTX熱錢包地址會向攻擊合約地址多次轉入小額的資金，隨后會調用到攻擊合約的fallback()函數，通過該函數攻擊者向Xen合約發起鑄幣請求。而Xen合約僅需傳入一個時間期限，便可支持無成本鑄幣，只需支付交易Gas費，但在此次調用過程中，交易發起者為FTX熱錢包地址，所以整個調用過程的gas都是由FTX熱錢包地址所支付，而Xen鑄幣地址為攻擊者地址，達到攻擊的目的。

Tags：FTXWEBSTAADOFTX Tokencoinweb幣投資機構TradeStarsHuobi Polkadot

BNB價格