一、基本信息
2022 年 12 月安全事件共造成约 8327 万美元损失,金额数量较上月有所下降。本月 RugPull 数量基本与上月持平。但临近年底,熊市社媒诈骗等较上个月有所增加,Discord 攻击诈骗成为重灾区。另外本月依然有钱包(BitKeep)出现新的安全问题,影响了不少用户。
1.1 REKT 盘点
No.1
12 月 2 日,Ankr 遭黑客攻击,数万亿 aBNBc 被铸造,黑客获利约 500 万枚 USDC;另有匿名套利者以 10BNB 成本在借贷平台 helio 抵押 aBNBc 获利超 1550 万美元;
攻击者使用 Ankr: Deployer 私钥对受害合约进行恶意升级,并增发 10 万亿枚 aBNBc 代币进行抛售兑换成 USDC 和 BNB,直至流动性枯竭,价格代币归零。其中少量 BNB 存入 Tornado Cash,USDC 跨链到 Ethereum 兑换为 ETH。
Ankr 合约部署者地址:
https://www.oklink.com/zh-cn/bsc/address/0x2ffc59d32a524611bb891cab759112a51f9e33c0
黑客地址:
https://www.oklink.com/zh-cn/bsc/address/0xf3a465c9fa6663ff50794c698f600faa4b05c777
被攻击合约 aBNBc:
https://www.oklink.com/zh-cn/bsc/address/0xe85afccdafbe7f2b096f268e31cce3da8da2990a
攻击交易:
恶意 aBNBc 合约:https://www.oklink.com/zh-cn/bsc/address/0xd99955B615EF66F9Ee1430B02538a2eA52b14Ce4
套利者地址:
https://www.oklink.com/zh-cn/bsc/address/0x8d11f5b4d351396ce41813dce5a32962aa48e217
No.2
12 月 2 日,Avax 链上的 overnight.fi 项目遭到攻击。黑客用 950 万闪贷操纵 Synapse 资金池的 USDC.e 价格下跌,然后铸造 USD+,使 USDC.e 进入池子的价格低于 1,从而为攻击者创造利润。攻击者获利约 17.5 万美元。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/avax/address/0xfe2c4cb637830b3f1cdc626b99f31b1ff4842e2c
攻击合约:
https://www.oklink.com/zh-cn/avax/address/0x7b673ee8ddf78348612132ad4559c5b8185c9331
No.3
12 月 6 日,Roast Football(RFB) 项目疑似遭到交易回滚攻击。Roast Football 存在一个抽奖机制,用户在购买 RFB 代币时有一定概率获得 10 倍的奖励。攻击者利用彩票函数中的弱伪随机数生成漏洞,在中奖时才执行交易,否则回滚。攻击者最终获利 12BNB,约 3500 美元。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x5f7db41e2196080f397cdcf8dd58e8adfdaf2ade
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0xd5de2914bc6d2f005228a04289e8d518c710a049
No.4
12 月 6 日,如果用户将 APE 质押在 NFT 池中,一旦出售该 NFT,用户将同时失去质押的 APE 所有权。有套利者从 dYdX 借入 82 ETH 购买 BAYC #6762,从而获得卖方质押的 6400 枚 APE。套利者将 APE 卖出获得 20 ETH,并以 68 ETH 的价格卖出 BAYC #6762。获利 6ETH,价值约 7600 美元。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0x1aacc25d571da598a363dec671c9de13fdc4b17d
No.5
12 月 10 日,AVAX 链项目 MU 和 MUG 项目代币疑似遭遇闪电贷攻击,攻击者利用 LP 池中的代币与债券价格的差异套利,共获利约 5.7 万美元。
攻击者从 MUG-MU 池子闪电贷获取初始代币,在 MU- USDC 池子中进行兑换。由于闪电贷使池子的价格发生偏差,之后攻击者可以以较低的价格调用 mu_bond 方法和mu_gold_bond方法铸造出 Mu 代币和 Mu gold 给自己。从池子中套利并归还闪电贷资金。
合约地址:
https://www.oklink.com/zh-cn/avax/address/0xd036414fa2bcbb802691491e323bff1348c5f4ba
https://www.oklink.com/zh-cn/avax/address/0xF7ed17f0Fb2B7C9D3DDBc9F0679b2e1098993e81
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/avax/address/0xd46b44a0e0b90e0136cf456df633cd15a87de77e
攻击合约:
https://www.oklink.com/zh-cn/avax/address/0xe6c17763ca304d70a3fb334d05b2d29c2bb251e9
被攻击合约:
MuBank:https://www.oklink.com/zh-cn/avax/address/0x4aa679402c6afce1e0f7eb99ca4f09a30ce228ab
MUG-MU Pair:https://www.oklink.com/zh-cn/avax/address/0x67d9aab77beda392b1ed0276e70598bf2a22945d
MU-USDC Pair:https://www.oklink.com/zh-cn/avax/address/0xfacb3892f9a8d55eb50fdeee00f2b3fa8a85ded5
No.6
12 月 10 日,TiFi Token 遭攻击,被转移 529,570,181,341 枚 TiFi Token,攻击者获利 2.5 万美元。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0xd3455773c44bf0809e2aeff140e029c632985c50
No.7
12 月 11 日, BSC 上 TRQ 项目遭闪电贷攻击,攻击者获利约 7.5 万美元。
攻击交易:
获利地址:
https://www.oklink.com/zh-cn/bsc/address/0x0e7da0a26749adb7b5b448a8e0787edd3bb1adba
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0xb86e85ba0dd8afd39cfbdfdb4b1a45c4808607e5
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0xddd71682fdd34b79e59cb58ed47658cd2b3b5dec
No.8
12 月 11 日,基于 Arbitrum 的 DeFi 协议 Lodestar Finance 遭到攻击,协议被黑客利用,攻击者获利约 650 万美元,存款被耗尽。
Lodestar Finance 团队已将所有利率设置为 0。攻击者将 plvGLP 合约的汇率操纵为 1.83 GLP/plvGLP 获利,并且销毁 300 多万枚 GLP。攻击者利用该漏洞的利润是 Lodestar 上被盗资金减去其销毁的 GLP,其中 280 万枚 GLP 是可以收回的,价值约 240 万美元。Lodestar Finance 尝试联系黑客,协商是否可以通过提供漏洞赏金的方式来收回更多资金。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/arbitrum/address/0xc29d94386ff784006ff8461c170d1953cc9e2b5c
攻击合约:
https://www.oklink.com/zh-cn/arbitrum/address/0x7596acadf6c93f01b877f5a44b49407fffc53508
No.9
12 月 13 日,去中心化交易所 ElasticSwap 被攻击,攻击者获利约 85 万美元;
由于合约中的添加流动性与移除流动性的计算方式不一致,在添加流动性功能中使用常规的恒定 K 值算法,但在移除流动性功能中直接获取了当前池子中两种代币的余额进行计算,攻击者首先添加流动性,之后再将一定数量的 USDC.E 转入 TIC-USDC 交易池中,此时计算出应转给攻击者的 USDC.E 数量已经在基础上乘以了 LP 代币数量即数倍,之后攻击者再调用移除流动性方法获利。
攻击交易:
ETH 攻击:
AVAX 攻击:
攻击者地址:
ETH:
https://www.oklink.com/zh-cn/eth/address/0xbeadedbabed6a353c9caa4894aa7e5f883e32967
AVAX:
https://www.oklink.com/zh-cn/avax/address/0x25fde76a52d01c83e31d2d3d5e1d2011ff103c56
被攻击合约:
Contract AVAX: https://www.oklink.com/zh-cn/avax/address/0x75739a693459f33b1fbcc02099eea3ebcf150cbe
No.10
2022 年 12 月 14 日, BNB Chain 上项目 NimbusPlatform 遭到攻击,攻击者获利约 278 枚 BNB(价值约 7.4w 美元)。攻击者首先在 8 天前执行了一笔交易,把 20 枚 BNB 换成 NBU_WBNB 再换成 GNIMB 代币,然后把 GNIMB 代币转入 Staking 合约作质押,为攻击作准备。正式发起攻击时先通过闪电贷借出 75477 枚 BNB 并换成 NBU_WBNB,然后再用这些 NBU_WBNB 代币将池子里的绝大部分 NIMB 代币兑换出。接着调用 Staking 合约的 getReward 函数进行奖励的提取,由于闪电贷兑换出大量的代币而变高,最后计算的奖励也会更多。攻击者最后将最后获得的 GNIMB 代币和拥有的 NIMB 代币换成 NBU_WBNB 代币后再换成 BNB,归还闪电贷获利。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x86aa1c46f2ae35ba1b228dc69fb726813d95b597
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0x3c4e5b099f3c02122079d124138377e1b9048629
No.11
12 月 16 日,Solana 上的 Raydium 项目遭到攻击,漏洞似乎源于木马攻击和流动性资金池所有者帐户的私钥泄露。攻击者访问了资金池所有者帐户,然后能够调用 withdrawPNL 函数,该函数用于收集池中掉期所赚取的交易 / 协议费用。总损失约为 440 万美元。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/sol/account/AgJddDJLt17nHyXDCpyGELxwsZZQPqfUsuwzoiqVGJwD
No.12
12 月 23 日, Avalanche 生态原生稳定币项目 Defrost Finance 协议 V2 遭遇重入攻击,由于合约闪电贷及存款函数缺乏重入锁,黑客得以用来操纵 LSW/USDC 价格。黑客获约 17 万美元。
12 月 25 日,Defrost Finance 被爆出再次出现问题,其 V1 协议被添加了假的抵押代币,并使用恶意价格预言机清算当前用户,大户损失估计超过 1200 万美元。
V2 攻击者地址:
https://www.oklink.com/zh-cn/avax/address/0x7373dca267bdc623dfba228696c9d4e8234469f6
LSWUSDC 合约地址:
https://www.oklink.com/zh-cn/avax/address/0xff152e21c5a511c478ed23d1b89bb9391be6de96
No.13
12 月 25 日,Rubic 跨链聚合器项目遭到攻击,用户账户中的 USDC 被窃取。损失近 140 万美元
用户可以通过 RubicProxy 合约中的 routerCallNative 函数进行 Native Token 兑换。在进行兑换前,会先检查用户传入的所需调用的目标 Router 是否在协议的白名单中。此次攻击的根本原因在于 Rubic 协议错误的将 USDC 添加进 Router 白名单中,导致已授权给 RubicProxy 合约的用户的 USDC 被窃取。
攻击交易:
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0x001b91c794dfeecf00124d3f9525dd32870b6ee9
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x253dd81d642220267ccac1d8202c0b96a92b299e
被攻击合约:
https://www.oklink.com/zh-cn/eth/address/0x3335a88bb18fd3b6824b59af62b50ce494143333
添加 USDC 到白名单交易:
No.14
12 月 26 日,Amun 的产品——PECO 和 DFI 遭到破坏,导致基础资金损失约 30 万美元。攻击者能够控制 rebalance-manager 地址,从而将 Amun 的产品再平衡为假的抵押物。
No.15
12 月 29 日,以太坊上 JAY 项目遭遇闪电贷攻击。JAY 代币价格是由合约 ETH 余额除以总供应量决定。且buyJayWith721 方法可以传递任意 ERC-721 代币。攻击者通过伪造恶意 ERC-721 代币调用buyJayWith721 ,通过恶意的 ERC-721 代币转账逻辑重入sell方法,而由于 ETH 余额的增加导致 JAY 代币价格被抬高,攻击者再卖出 JAY 代币进行套利,最终获利约 15ETH,价值约 1.79 万美元。
攻击者地址:https://www.oklink.com/zh-cn/eth/address/0x0348d20b74ddc0ac9bfc3626e06d30bb6fac213b
攻击合约:https://www.oklink.com/zh-cn/eth/address/0xed42cb11b9d03c807ed1ba9c2ed1d3ba5bf37340
被攻击合约:https://www.oklink.com/zh-cn/eth/address/0xf2919D1D80Aff2940274014bef534f7791906FF2
1.2 RugPull 盘点
No.1
12 月 2 日,BSC 链项目 BGE 项目疑似 RugPull,部署者获利约 42.6 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xbD7afa932F59F0e451D57BA523bA379e7545a4b3
No.2
12 月 2 日,BSC 链项目 WWE 项目疑似 RugPull,攻击者从相关特权铸币地址接收大量代币进行抛售,获利约超 6 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x421F9D1B2147F534e3AeFc6AF95EdD4Cf2430874
No.3
12 月 2 日,BSC 链项目 Utopia(UTO) 疑似 RugPull,攻击者获利约 7 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x2487EA50e96A6cE632B3C44df89f42838C4D0955
No.4
12 月 5 日,BSC 链项目 LymexPr 疑似 RugPull,合约部署者获利约 30 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x448F861728F4Ed28914f42B4C8C0ff70b8bD637B
No.5
12 月 6 日,BSC 链项目 ROOM 疑似 RugPull,部署者获利 13.4 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x3c45a24d36ab6fc1925533c1f57bc7e1b6fba8a4
No.6
12 月 9 日,BSC 链项目 BOB 疑似 RugPull,与部署者相关的账户出售代币,导致 11 万美元的损失。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x62de2f28fb09c7359648c34c33f4c5a26a0b5834
No.7
12 月 9 日,BSC 链项目 Nova Exchange 疑似 RugPull,部署者帐号通过特权函数铸币并出售,获利 363BNB 约 10.5 万美元后发送到 Tornado Cash。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xB5B27564D05Db32CF4F25813D35b6E6de9210941
No.8
12 月 10 日,BSC 链项目 RabbitKing 疑似 RugPull,攻击者出售大量代币获利约 6.1 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x6CB585E4bc6354CD0d457b4393F0AC3EF3d48Da9
No.9
12 月 11 日,BSC 链项目 WOG 疑似 RugPull,攻击者出售大量代币获利约 17.7 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x3AF747Ac92BEb9405e78ebd74cD70Eb61C3aB379
No.10
12 月 14 日,BSC 链项目 BTDog 疑似 RugPull,部署者帐号转移出售大量代币获利约 2.6 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x552B574A6879E29DdE03606ef3CE68DE052B3f63
No.11
12 月 15 日,BSC 链项目 FPR 疑似 RugPull,攻击者获利约 3 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xA9c7ec037797DC6E3F9255fFDe422DA6bF96024d
No.12
12 月 18 日,BSC 链项目 CBCLUB 疑似 RugPull,攻击者出售大量代币获利约 15 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x007Ba354ba7018e548C9a78158FdC24fF9630D35
No.13
12 月 20 日,BSC 链项目 LOONG DAO (LD) 疑似 RugPull,部署者出售大量代币获利约 3k 美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x612d7E0eF4a5726c100730CA57e6a48D94ee18e2
No.14
12 月 24 日,BSC 链项目 Chain Life (LIFE) 疑似 RugPull,部署者转移大量代币出售获利约 3.8k 美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x5EC40E9Fb6804f0CBE223246AfE4685908edc8BB
No.15
11 月 28 日,BNBChain 项目 Black Hole King (BHK) 发生 RugPull,攻击者获利约 18.6 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0xbe35550189C378e35Ac7533bbEd3C66CE51CD6D2
No.16
11 月 29 日,BNBChain 项目 BTC-POR 发生 RugPull,合约部署者获利约 7 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x7e20fec0e64e81e4b9812bd4886cd1fd3ad4df45
No.17
11 月 29 日,BNBChain 项目 Picture (Pit) 发生 RugPull,合约部署者移除流动性,相关地址获利约 8 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0x5a603F685C090d0e68f7E0D4A1BC451eCA7aD725
1.3 社媒诈骗与钓鱼盘点
No.1
12 月 1 日,TheSmircs 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.2
12 月 1 日,BrainlesSpikes 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.3
12 月 1 日,SmallBrosNFT 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.4
12 月 5 日,ShinnokiNFT 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.5
12 月 8 日,CreepyFrendsNFT 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.6
12 月 8 日,SUPERNORMAL 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.7
12 月 11 日,BotBuddyznft 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.8
12 月 11 日,CryptoCannaClub 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.9
12 月 12 日,Sui 上的 Baby Apes Society 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.10
12 月 13 日,Degen Bunnies 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.11
12 月 13 日,Whoopsies Doopsies 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.12
12 月 14 日,ONEMINNFT 项目 Discord 服务器及推特帐号遭攻击,攻击者发布虚假消息。
No.13
12 月 16 日,MekawaiiNFT 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.14
12 月 18 日,NeoTokyoCode 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.14
12 月 19 日,xHamsterNFTcom 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.15
12 月 20 日,SplattrCatGames 项目 Discord 服务器及推特帐号遭攻击,攻击者发布虚假消息。
No.16
12 月 21 日,SCPokerClub 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.17
12 月 21 日,DavidDiFranco 项目 Discord 服务器及推特帐号遭攻击,攻击者发布虚假消息。
No.18
12 月 22 日,drivrsnft 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.19
12 月 23 日,F1Dog_Official 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.20
12 月 29 日,Gummys_io 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.21
12 月 30 日,Mutant Hounds NFT 项目 Twitter 帐号遭攻击,攻击者发布虚假消息。
No.22
12 月 30 日,PartisiansNFT 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
No.23
12 月 31 日,KenomiNFT 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
1.4 其他
No.1
12 月 6 日,BSC 上项目 Option Room (ROOM) 疑似私钥泄漏,攻击者获利约 22.5 万美元。
No.2
12 月 26 日, Web3 多链钱包 BitKeep 疑似出现安全漏洞,多名用户在其官方 Telegarm 群反馈资金被盗。 BitKeep 团队当即表示正在紧急排查原因,如因平台原因导致的资产损失,Bitkeep 安全基金承诺将进行全额赔付。总损失已达 800 万美元。
No.3
加密交易平台 3Commas 的 API 承认遭泄露,自今年 10 月起便有用户称 API 被盗,导致价值 2200 万美元代币被盗。
二、安全总结
2022 年 12 月智能合约相关漏洞大部分与关键私钥泄露及价格操纵有关。本月由于平台方的疏忽导致的钱包安全及 API 泄露问题也对用户造成了巨大损失。在 Web3 领域链上及链下安全同样重要,平台方也应该加强安全意识,不仅仅是私钥的安全,相关关键服务也应保证安全。保证对用户负责,增强安全意识,避免关键信息泄露造成资产损失。另外,本月 RugPull 及社媒诈骗钓鱼项目依旧层出不穷,用户参与相关项目时,需要保持警惕,多方验证项目质量,远离可疑项目。
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。
