一、基本信息
2022 年 5 月发生较典型安全事件接近『36』起,本月经历了 Luna/UST 的崩盘事件,400 亿的加密帝国崩塌成为了所有媒体的关注点。由于价格脱锚导致后续引发的清算以及价格预言机的攻击也让许多项目始料未及。另外,本月【诈骗盘 Rug Pull】以及 【社媒诈骗和钓鱼】 相关事件也是层出不穷。其中 Discord 机器人导致服务器攻击的钓鱼事件频发,用户参与项目时需要时刻保持警惕。
1.1 REKT盘点
No.1
5 月 8 日,BistrooIO 项目遭受重入攻击,损失 1,711,569 个 BIST(约 47,000 美元),本次攻击原因是由于 pTokens BIST 代币支持 ERC-777 的代币标准,其合约在实现 transfer 调用的时候,会调用_callTokenToSend,进而调用 tokensToSend ()函数,攻击者在该函数中通过重入方式调用了 EmergencyWithdraw 函数,造成重入攻击。
攻击者地址:0xba31058357ea2f474a2ed0d1b3f9183904ebd38a
恶意合约地址:0x70b31bb9859e88ddb3ac04bc205575992edad3fa
被攻击合约地址(pTokens BIST):0xbd525e51384905c6c0936a431bc7efb6c4903ea0
攻击交易:0x8c96b3314e30cf62bdfd4f94df38a2f040e171e849208b328dcd4ac2cdbcb748
No.2
5 月 9 日,Fortress Loans 遭到攻击。损失约 1,048.1 ETH 和 400,000 DAI(总价值约 298 万美元)。本次事件利用了两个漏洞来进行攻击, 攻击者先从 Tornado Cash 获取资金换成大量的 FTS 以通过恶意提案, 从而改变贷款合约中 FTS 代币的抵押系数。接着通过预言机相关 chain 合约中的非限制性函数 submit() 更新了贷款合约使用的价格预言机, 该函数缺少对签名的有效验证, 因此该更新会被成功执行。通过更新,攻击者的抵押品(FTS)的价值被大幅提高,所以攻击者能够从贷款合约中借到大量的其他代币。
攻击者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
恶意合约地址(已自毁):0xcd337b920678cf35143322ab31ab8977c3463a45
预言机合约地址: 0xc11b687cd6061a6516e23769e4657b6efa25d
预言机攻击交易:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
No.3
Luna 和 UST 在本月初崩盘,造成 Terra 这个大型公链生态的突然死亡,也对整个加密世界造成了非常不利的影响。价值几十亿美元的协议在几天之内倒下。Anchor Protocol 的投资者血本无归,也带来了更大规模的清算事件。
No.4
5 月 13 日,Avalanche 借贷协议 Blizz Finance ,由于 Chainlink 暂停 LUNA 预言机,从而允许几个攻击者存入数百万个 LUNA,并根据 Chainlink 预言机按照 0.1 美元的价格借用所有抵押品。由于时间锁机制,在团队暂停合约功能之前,协议资产已经耗尽。
相关可疑账户:
- 0x1f6d66ba924ebf554883cf84d482394013ed294b
- 0x3b7f525dc67cca55251abb5d04c81a83a6005269
- 0x8d655aaaa0ec224b17972df385e25325b9103332
No.5
多链衍生品协议 DEUS Finance 推出的稳定币 DEI 已严重脱锚。
此前消息,DEUS Finance 曾于今年 3 月和 4 月两次被黑,分别损失 300 万美元和 1700 万美元。
No.6
5 月 16 日,基于 Fantom 的借贷协议 Scream 因稳定币 fUSD 以及 DEI 报价在二者脱锚后仍保持 1 美元的报价,使得攻击者通过存入 fUSD 以及 DEI 借出了其他稳定币,目前协议内 FRAX、DAI、MIM 和 USDC 等稳定币已耗尽。损失达 3500 万美元。
No.7
5 月 16 日,FEG 项目在以太坊和 BNB Chain 上遭遇了 2 次闪电贷攻击,总损失达到 190 万美元
两笔攻击均为闪电贷攻击,合约中的 swapToSwap() 函数没有对传入的参数进行验证检查,攻击者可以输入未验证的 path 参数来使用合约的资产,从而盗取合约资金。
攻击交易(部分)1:0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063 (BNB Chain)
攻击交易(部分)2:0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2 (ETH)
攻击者地址:0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻击合约:0x9a843bb125a3c03f496cb44653741f2cef82f445
被攻击合约(部分)1:0x818e2013dd7d9bf4547aaabf6b617c1262578bc7 (BNB Chain)
被攻击合约(部分)2:0xf2bda964ec2d2fcb1610c886ed4831bf58f64948 (ETH)
No.8
5 月 18 日,基于 BSC 上的 DAO 项目 Feminist Metaverse 的 FmToken 合约遭受黑客闪电贷攻击,黑客获利约 1,838 WBNB(约 54 万美元)。
攻击交易:0xfdc90e060004dd902204673831dce466dcf7e8519a79ccf76b90cd6c1c8b320d
(此处只列举出第一笔攻击交易,本次事件中攻击者反复进行了多次操作)
攻击者地址:0xaaA1634D669dd8aa275BAD6FdF19c7E3B2f1eF50
攻击合约:0x0B8d752252694623766DfB161e1944F233Bca10F
被攻击合约:0x843528746F073638C9e18253ee6078613C0df0f1
No.9
抗量子计算攻击的 Layer1 区块链 QANplatform 此前代币 QANX 跨链桥遭到黑客攻击,被盗资金约 325 枚以太坊,攻击者已将部分被盗资金转入 Tornado Cash。
No.10
5 月 21 日,bDollar 项目遭受价格操控攻击,攻击者获利 2381WBNB(价值约 73 万美元)
攻击交易:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
攻击者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻击合约:0x6877f0d7815b0389396454c58b2118acd0abb79a
被攻击合约:0xeaDa3d1CCBBb1c6B4C40a16D34F64cb0df0225Fd
No.11
5 月 28 日,Terra 研究论坛成员 FatMan 在推特上发文表示,由 Terraform Labs 开发的合成资产协议 Mirror Protocol 长期存在漏洞。自 2021 年 10 月起,攻击者在 7 个月的时间内利用该漏洞多次进行攻击,最高单笔获利超 400 万美元(使用 1 万美元获利 430 万美元),均未被 Terraform Labs 或 Mirror 团队发现。 截止漏洞修复时,攻击者利用该漏洞的总获利可能已超 3,000 万美元。
Mirror Lock 合约中的 unlock 函数对用户持有的头寸 id 没有做重复性检查,攻击者可以用极低的成本创建空头头寸,在 14 天的解锁期后通过该头寸 id 重复窃取资金。
部分攻击交易
No.12
5 月 30 日,在 Terra 新链启动后,LUNC(Luna Classic)的预言机价格达到 5 美元,而实际价格远低于 5 美元,Anchor 平台一名用户注意到该漏洞,存入大约 2000 万个 Lido Bonded Luna Token,并成功借出 4,000 万 UST,最终提取并获利约 80 万美元。 随后 Anchor 团队发现了漏洞并迅速修复,避免了进一步损失。
攻击者地址
No.13
DeFi 项目 Novo 遭遇攻击,黑客将 280 枚 BNB(约 8.96 万美元)转移至 Tornado.cash。攻击者先从先闪电贷借出 17.2WBNB,再用 WBNB 兑换出 NOVO。然后攻击者通过利用合约的 transfrom 没有做验证,从 LP 中转出了大量 NOVO,导致 LP 中 NOVO 的价格升高,最后通过前面兑换的 NOVO 重新高价兑换成 WBNB,从而获利。
攻击交易:0x51e813a5903fdcd64231fa3f9d7e945f9d2a65e9a124a571232720e5f5f95ddd
攻击者地址:0x0376564615ae0f59f425bca748076bc25b7b524b
攻击合约:0x3463a663de4ccc59c8b21190f81027096f18cf2a
No.14
由 Terraform Labs 开发的合成资产协议 Mirror Protocol 再次遭遇攻击,Mirror Protocol 允许用户使用合成资产对科技股进行多头或空头操作,它运行在旧的 Terra 链(现称为 Terra Classic )上。验证器节点 Block Pane 创始人 Todd Garrison 表示,问题是在 Terra Classic 链上运行节点的大多数验证器都在运行过时的价格预言机版本,这些节点给 Mirror Protocol 的 LUNC 价格仍为 5 UST。Todd Garrison 建议修复 LUNC 价格预言机,因为在短时间内,所有流动性池将耗尽,Mirror 将产生无法弥补的坏账,系统将自行崩溃。
1.2 Rug Pull 盘点
No.1
DOD 项目发生 Rug Pull,代币价格暴跌。
合约地址 1:0x2cbfda0600f26514b5715875aa4b273bf5edc775
合约地址 2:0x404bc3bb20cfbea9ec7345f6e8b9321b67ed14d0
No.2
5 月 8 日,BSC 上项目 HUNTER 发生 Rug Pull,损失达 120 万美元。
合约地址:0x1e4402Fa427a7A835fC64ea6d051404ce767A569
No.3
5 月 27 日,BNB Chian 上链游 Pokemoney 发生 Rug Pull,其 Token PMY 已下跌 99.98%%,约 1.18 万枚 BNB(约 350 万美元)被提取转移。
PMY 合约地址:0x32ff5b4C3B1744F0344D96fA2f87799Ed2805749
No.4
BNB Chain 生态 Move to Earn 应用 Sport 为骗局,SPORT Token 跌幅逾 94%。
合约地址:0x254433199984F5f43fFdA965d83a927635AFd300
No.5
BNB Chian 上项目 DecentraWorld 发生 Rug Pull,代币 DEWO 下跌 97%,DecentraWorld 社交账户已注销,约 3200 枚 BNB(价值 100 万美元)从 DecentraWorld 合约部署器中被抽干。
合约地址:0xcdd6494aeb193c8d5541b5b9c5e72a3809a98fdc
No.6
5 月 16 日,BurgersNetwork 发生 Rug Pull, 约有 16.7 万美元(约 530 个 BNB 和约 7K 个 BSC-USD)流动性被移除。
合约地址:0x10de4a650cf4eaf8cbd616508e1fa9774da9b4e6
No.7
5 月 16 日,TOM 代币发生 Rug Pull,目前已下跌 99.94%,大约 1200 BNB 转入了 Tornado Cash。
合约地址:0x7A2A3F2Ea773282c641b078e53cF94E5fCF89052
No.8
5 月 18 日,ALG 代币发生 Rug Pull,损失约 581.5 BNB;
合约地址:0x26ca220fd56dbd03ff3956ac48edee54fad6aa7c
No.9
5 月 30 日,有诈骗者通过部署几十个假冒的 LUNAv2(LUNA)Token,并将其分发至用户钱包,吸引用户交易,进而实现 Rug Pull。截至发稿,诈骗者已获利 730 枚 BNB(约 23.36 万美元)。
诈骗者创建的相关假冒合约列表:
1.3 社媒诈骗与钓鱼盘点
No.1
Cronos 生态 DeFi 协议 MM.Finance 遭前端攻击 损失超 200 万美元。
攻击者地址
No.2
5 月 6 日,OpenSea 官方 Discord 遭黑客攻击,发布与 YouTube 合作相关钓鱼链接。
No.3
5 月 10 日,Honeyswap 前端被篡改导致 approvals 到恶意地址风险。
No.4
5 月 14 日,Etherscan、CoinGecko、DexTools、DeFi Pulse 等加密数据网站出现恶意弹出事件,用户访问之后会自动请求签名,或提示用户连接其 MetaMask 钱包。此后经多个平台调查确认,本次网络钓鱼攻击或因网站广告中的恶意代码引起,可能来自名为 Coinzilla 的加密广告平台。
No.5
5 月 16 日,RPG NFT 游戏 Pixelmon 遭钓鱼网站欺诈攻击。黑客模仿其官方网站 Pixelmon.club 伪造了一个名为 Pixelmon.gw 的网站,钓鱼网站会要求玩家下载游戏,一旦部署可执行文件后,就会窃取用户应用程序的密码,并在计算机上搜索与特定名称匹配的文件,然后将这些文件上传给攻击者。
No.6
5 月 18 日,AxieInfinity Discord 上的 Mee6 机器人 被入侵。攻击者使用该机器人向一个虚假的 Jiho 帐户添加权限,然后该帐户发布了一个关于铸造虚假公告。公告已被删除,但某些用户可能仍会看到该消息,直到重新启动 Discord。Axie Infinity 已经从服务器中删除了 Mee6 机器人,提醒用户主要公告将同时在 Twitter、Discord、Substack 和 Facebook 上公布。
No.7
5 月 18 日消息,美国演员 SethGreen 遭遇钓鱼攻击致 4 个 NFT(包括 1 个 BAYC、2 个 MAYC 和 1 个 Doodle)被盗,钓鱼者地址已将 NFT 全部售出,获利近 160 枚 ETH(约 33 万美元)。
No.8
5 月 23 日,NFT 项目 The Fracture 的 Discord 遭遇攻击,点击其 Discord 发送的链接或私信进行互动即可能造成损失。黑客已获利 455 枚 SOL。
No.9
5 月 23 日,NFT 项目 APIENS 的 Discord 遭遇攻击,130 枚 NFT 已被转移到 0xB3454AB959DFC11A5e668555667CDf590e039134 地址,包括 24 枚 Apiens 及 1 枚 ENS。攻击者通过「premint.to」钓鱼站点进行钓鱼攻击。
No.10
5 月 25 日,NFT 稀有度排名工具 Trait Sniper 的 Discord 遭遇黑客攻击,59 枚 NFT 已被转移到 0x3E8Da 开头的地址。其中包括 3 枚 Otherdeed、1 枚 CloneX、2 枚 RTFKT-MNLTH、1 枚 adidasoriginals 等 NFT。
No.11
5 月 27 日,NFT 项目 Gunslingers 的 Discord 疑似遭遇攻击,Discord 里发布的 「gunslingersnft.org」是一个钓鱼网站链接,提醒用户注意资金安全。
No.12
5 月 30 日,OpenSea 上的 WETH 报价或使用户面临资金被盗风险。
1.4 其他
Quickswap DEX 和 SpiritSwap 由于托管服务商 GoDaddy 的漏洞受到攻击,SpiritSwap 及时发现了这一问题,将损失限制在 18,000 美元,而 QuickSwap 损失了大约 107,000 美元。
二、安全总结
2022 年 5 月攻击类安全事件主要集中在预言机价格攻击和闪电贷方面,除了人为操纵预言机价格外,本月预言机还接受了极端行情下的考验,由于 Luna/UST 的快速崩盘导致相关预言机触发最小精度熔断机制,合约内价格与真实价格相差甚远,一些项目没有及时暂停功能导致被预言机价格攻击套利。预言机协议的安全机制依旧任重而道远,需要吸取经验和教训。而关于算法稳定币的未来及发展,也值得行业重新考量。对于用户来说,要明白高收益永远与高风险共存,需要让自己的投资组合更加多样化,避免将所有积蓄放在一个篮子里。
另外本月 Rug Pull 以及诈骗钓鱼事件依旧层出不穷,手段却是不尽相同,许多大型项目也难以幸免。一些知名的网站由于广告服务商导致恶意弹窗,也有因网站托管服务商的漏洞而遭受攻击。另外 Discord 上广泛使用的机器人服务比如 MEE6 等也遭遇了攻击,许多大型项目也因此牵连。随着行业的发展,许多传统安全攻击也开始渗入进来,一些基础安全知识的普及也显得尤为重要,但最主要还是用户需要加强自身防范意识,学习了解相关知识。
京公网安备 11010802041100号