買以太坊 買以太坊
Ctrl+D 買以太坊
ads

BIT:黑客超額完成KPI?受影響金額約1.2億美元 本周Web3安全事件回顧_FTX Users' Debt

Author:

Time:1900/1/1 0:00:00

有黑客用一千萬“撬動”Solana生態上億資金,也有黑客鋌而走險,薅起了交易所的羊毛,同時也有一些Web3項目遭遇私鑰泄露、閃電貸攻擊。

BeosinEagleEyeWeb3安全預警與監控平臺監測顯示,截止發稿時,本周共發生8起攻擊類相關的安全事件,累計受影響金額約1.2億美元,和Beosin安全團隊一起來盤點一下吧。

10月9日?

1.XaveFinance項目遭受黑客攻擊,導致RNBW增發了1000倍

10月9日,XaveFinance項目遭受黑客攻擊,導致RNBW增發了1000倍。本次攻擊是攻擊者通過調用DaoModule合約的executeProposalWithIndex()函數執行了攻擊者的惡意提案,使得意外鑄造了100,000,000,000,000個RNBW,并將ownership權限轉移給攻擊者。最后黑客將其兌換為xRNBW。

慢霧:CoinsPaid、Atomic與Alphapo攻擊者或均為朝鮮黑客組織Lazarus:7月26日消息,慢霧發推稱,CoinsPaid、Atomic與Alphapo攻擊者或均為朝鮮黑客組織Lazarus Group。慢霧表示,TGGMvM開頭地址收到了與Alphapo事件有關TJF7md開頭地址轉入的近1.2億枚TRX,而TGGMvM開頭地址在7月22日時還收到了通過TNMW5i開頭和TJ6k7a開頭地址轉入的來自Coinspaid熱錢包的資金。而TNMW5i開頭地址則曾收到了來自Atomic攻擊者使用地址的資金。[2023/7/26 16:00:16]

2.Jumpnfinance項目發生Rugpull,涉及金額約115萬美元

Jumpnfinance項目Rugpull。攻擊者調用0xe156合約的0x6b1d9018()函數,提取了該合約中的用戶資產,存放在攻擊者地址上。目前被盜資金中2100BNB($581,700)已轉入Tornado.Cash,剩余部分2058BNB還存放在攻擊者地址。

BitKeep敦促黑客及模仿套利者24小時內歸還盜取資金:10月29日消息,Web3多鏈錢包BitKeep通過鏈上消息對此前攻擊BitKeep Swap的黑客喊話,敦促黑客及模仿套利者在24小時內進行回應并歸還盜取的資金。BitKeep稱,在安全機構和業務合作伙伴的支持下,已掌握黑客的關鍵身份信息。

10月27日,BitKeep曾發布公開信,要求黑客及模仿套利者進行協商歸還盜取的資金,并提供被盜資金的5%作為漏洞賞金/退款獎勵,否則將協助并聯合受影響的用戶訴諸法律手段。此外,BitKeep表示目前已完成99%的賠付工作。[2022/10/29 11:55:55]

CityDAO Discord管理員帳戶遭黑客入侵,被盜95000美元資金:1月15日消息,基于以太坊的社區區塊鏈城市項目CityDAO推特發文稱,CityDAO Discord管理員帳戶已被黑客入侵。黑客使用被盜的管理員賬戶發布虛假的土地空投消息,29.67 ETH(95,000 美元)資金被盜。遭攻擊的管理員“Lyons800”在推特上表示,這次攻擊是“來自 Discord 的荒謬安全漏洞”。CityDAO 的創始人于去年11月在美國懷俄明州購買了40英畝的土地,旨在建設一個“區塊鏈城市”。[2022/1/15 8:50:37]

10月11日?

1.QANplatform跨鏈橋遭受黑客攻擊,疑似項目方私鑰泄露,涉及金額約189萬美元

本次事件交易的發起地址是一個疑似項目方的地址,攻擊者通過該地址調用跨鏈橋合約中的bridgeWithdraw函數提取QANX代幣,然后把QANX代幣兌換為相應平臺幣,目前被盜資金依然存放在攻擊者地址上。

黑客歸還Force DAO資金,FORCE代幣1小時上漲1000.4%:神魚表示,Force DAO黑客還錢,并聲稱自己是白帽子(因為他用的ens的地址qihan.eth做的案)。

CoinGecko行情顯示,FORCE代幣1小時上漲1000.4%。[2021/4/4 19:45:02]

2.Rabby項目遭受黑客攻擊,請用戶取消對相應合約的授權

本次事件是因為RabbyRouter的_swap函數存在外部調用漏洞,導致任何人都可以通過調用該函數,將授權到該合約用戶的資金轉走。目前攻擊者已在Ethereum,BSC鏈,polygon,avax,Fantom,optimistic,Arbitrum發起攻擊,請用戶取消對相應合約的授權。

3.TempleDAO項目遭受黑客攻擊,涉及金額約236萬美元

本次事件是因為StaxLPStaking合約中的migrateStake函數缺少權限校驗,導致任何人都可以通過調用該函數提取合約中的StaxLP。攻擊者攻擊成功后,把獲得的全部StaxLP代幣兌換為了ETH。

10月12日?

1.Journeyofawakening(ATK)項目遭受閃電貸攻擊

本次事件攻擊者通過閃電貸攻擊的方式攻擊了ATK項目的策略合約,從合約中獲取了大量的ATK代幣,之后攻擊者把獲得的全部ATK代幣兌換為約12萬美元的BSC-USD。

2.Solana生態去中心化交易平臺Mango遭遇黑客攻擊,影響高達1.16億美元。

黑客使用了兩個賬戶,一共1000萬USDT起始資金。

第一步,攻擊者向Mango市場存入了500萬USDC。

第二步,攻擊者在MNGO-ERP市場創建了一個4.83億的PlacePerpOrder2頭寸。

第三步,MNGO的價格被操縱,從0.0382美元到0.91美元,通過使用一個單獨的賬戶對其頭寸進行對手交易。

賬戶2現在有4.83億*(0.91-0.03298美元)=4.23億美元,這使得攻擊者可以借出1.16億美元的資金。

10月13日?

1.FTX交易所遭到gas竊取攻擊

FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。本次事件攻擊者通過FTX熱錢包多次少量的提取以太坊,FTX熱錢包地址會向攻擊合約地址多次轉入小額的資金,隨后會調用到攻擊合約的fallback()函數,通過該函數攻擊者向Xen合約發起鑄幣請求。而Xen合約僅需傳入一個時間期限,便可支持無成本鑄幣,只需支付交易Gas費,但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址,達到攻擊的目的。

Tags:DAOBITFTXbitkeepmakerdao官網appbitpie安卓版下載FTX Users' Debtbitkeep下載安卓

比特幣最新價格
區塊鏈:金色觀察 | 跨鏈橋的當前風險和未來發展_LAYER

文/ChiPan,TheTieResearch今天,世界上有180種國家貨幣。每個國家都有不同的法定貨幣,每個經濟體都以本國貨幣進行經濟活動結算。例如,在美國,大多數經濟活動都是以美元結算的.

1900/1/1 0:00:00
AME:Messari:社交代幣能否催化出下一個牛市?_UniWhales

撰文:KelEleje 編譯:Babywhale 要點: 吸引散戶的新型代幣分發機制可以催化牛市,而社交代幣就是這樣一種分發機制.

1900/1/1 0:00:00
UPL:數據分析:比特幣筑底即將完成_vastheyday

最近幾周,比特幣價格異常穩定,與股票、信貸和外匯市場形成鮮明對比,在這些市場中,加息、通貨膨脹和美元強勢繼續造成了劇烈的沖擊。在這種背景下,比特幣一直非常穩定.

1900/1/1 0:00:00
SUI:金色觀察 | 全面比較Aptos和Sui:Aptos已上線 來看看Sui_TOS

文/Cody,GlobalCoinResearch 一、簡介 “L1戰爭”是2020-2021周期中廣為人知的故事,主要的競爭性1層區塊鏈與以太坊一起捕獲了大量的價值和開發人員人才.

1900/1/1 0:00:00
CAD:各自精彩:Aptos、Sui、Caduceus三大公鏈新勢力橫評_APT

原文標題:《三大公鏈新貴對比:Aptos、Sui、Caduceus如何蓄力下一個市場熱點?》原文作者:WebX實驗室本文來自微信公眾號:WebX實驗室在越來越快的行業周期循環中.

1900/1/1 0:00:00
KSY:zkSync 2.0 主網上線:我們都應該知道些什么_zkSync

zk-Rollup一直被視為解決以太坊擴容問題的終極方案,但受限于zk技術的開發難度,導致目前市場上zk-Rollup產品一直沒能推出通用且EVM兼容的擴展方案.

1900/1/1 0:00:00
ads