OKLink：2023 年 7 月安全事件盘点

2023-08-0500:25

欧科云链

2023-08-05 00:25

欧科云链

2023-08-05 00:25

收藏文章

订阅专栏

一、基本信息

2023 年 7 月 REKT 和 RugPull 事件累计造成约 8000 万美元损失，相比上月 1000 万美元损失有显著上升。REKT 和 RugPull 事件中，由于 Vyper 个别版本重入锁失效，给 Curve 相关流动性池造成重大损失，虽然在此次事件中，白帽黑客以及抢跑机器人帮忙挽回部分损失，损失金额仍超 5000 万美元；曾被攻击过的 Polynetwork 本月再次发生安全事件，造成约 1000 万美元损失；BSC 链的 GMETA 以及 zkSync 链的 Kannagi 发生 RugPull，给用户造成数百万美元损失。此外，月初的 Multichain 事件，用户受损资金高达 1.26 亿美元。最后，社交媒体钓鱼事件依旧层出不穷，项目方 Discord 和 Twitter 权限被控制，攻击者发布钓鱼链接的事件时有发生。

1.1 REKT 盘点

No.1

7 月 1 日，ETH 链上 AzukiDao 治理代币 BEAN 遭遇攻击。BEAN 智能合约的 Claim 函数虽然利用变量 signatureClaimed 记录了已领取交易的签名数据，但并没有对重复申领进行检查。攻击者重复调用 Claim 函数九百多次，每次获得 6250 个 BEAN 代币，最终卖出得到 35 个 ETH，获利约 7 万美元。

攻击交易：https://www.oklink.com/cn/eth/tx/0x7fef7c0da501130a44e87c0cd0aeb2da38cc49cd0228c7fcc601be747733064d

攻击者地址：https://www.oklink.com/cn/eth/address/0x85d231c204b82915c909a05847cca8557164c75e

No.2

7 月 2 日，Polynetwork 被攻击，攻击者在目标链调用 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数，直接提取或增发大量资产，总价值超过 420 亿美元，但因链上流动性不足以及项目方及时冻结项目代币，攻击者不能全部变现。攻击者在 ETH 链将部分代币兑换为约 5000 多个 ETH，获利约 1000 万美元。从源链和目标链相关攻击交易可以看到，目标链解锁资产的数据与源链锁定资产的数据相比发生了变化，攻击者在源链锁定小额资产就可以在目标链解锁大额资产。链上智能合约代码实现没有问题，怀疑是私钥泄漏或链下服务漏洞导致的攻击。

攻击交易：https://www.oklink.com/cn/eth/tx/0xc580a21ff9798288145a92e9c0eead32ffc28f7ce9b28ed1c0275838a56edff9https://docs.google.com/spreadsheets/d/1vGOXrb79rB1gNWz1IJjWt8SBxH02yb_kwzeX6YKvxjk/edit#gid=0

攻击者地址：https://www.oklink.com/cn/eth/address/0xe0afadad1d93704761c8550f21a53de3468ba599https://www.oklink.com/cn/eth/address/0xc8a65fadf0e0ddaf421f28feab69bf6e2e589963https://www.oklink.com/cn/eth/address/0xa87fb85a93ca072cd4e5f0d4f178bc831df8a00b

https://dedaub.com/blog/poly-chain-hack-postmortemhttps://twitter.com/BeosinAlert/status/1675773135755546625

No.3

7 月 4 号，BSC 链项目 Bamboo AI (BAMBOO) 被攻击，攻击者获利 216 个 BNB，价值约为 5.3 万美元。BAMBOO 代币在 transfer 函数中，会燃烧流动性池持有的部分代币，攻击者闪电贷 4042 个 WBNB，并兑换成 137M BAMBOO 代币，然后将代币转移到流动性池，触发代币燃烧机制，并调用 skim 取出流动性池多余代币，重复 transfer 和 skim 操作拉高 BAMBOO 代币价格，最后卖出 BAMBOO 代币获利。

攻击交易：https://www.oklink.com/cn/bsc/tx/0x88a6c2c3ce86d4e0b1356861b749175884293f4302dbfdbfb16a5e373ab58a10

攻击者地址：https://www.oklink.com/cn/bsc/address/0x00703face6621bd207d3b4ac9867058190c0bb09https://www.oklink.com/cn/bsc/address/0xcdf0eb202cfd1f502f3fdca9006a4b5729aadebc

No.4

7 月 8 日，ETH 链上合约 CIVNFT 遭受授权攻击，造成约 18 万美元损失。漏洞核心原因是签名为 0x7ca06d68 的函数缺乏权限控制，使得攻击者通过操纵_uniswapV3MintCallback 成功调用到攻击合约，攻击合约利用 transferFrom 转移用户授权资产。

攻击交易：https://www.oklink.com/cn/eth/tx/0x93a033917fcdbd5fe8ae24e9fe22f002949cba2f621a1c43a54f6519479caceb

攻击者地址：https://www.oklink.com/cn/eth/address/0xf169bd68ed72b2fdc3c9234833197171aa000580

No.5

7 月 10 日，Arcadia Finance 项目在 Ethereum 和 Optimism 链遭受攻击，攻击者获利约 78 万美元。攻击者闪电贷 WETH 和 USDC 代币存入 ArcadiaFi 协议，并通过 doActionWithLeverage 调用将资产放大 5 倍后存入合约 ActionMultiCall。攻击者利用可以控制的输入参数 actionData，使 ActionMultiCall 合约将 WETH 和 USDC 授权给攻击者，然后通过 transferFrom 调用转移走相应资金。但因协议会进行资产价值检查，攻击者还利用重入漏洞，对账号进行清算，使得检查正常通过，完成攻击。

攻击交易：

https://www.oklink.com/cn/eth/tx/0xefc4ac015069fdf9946997be0459db44c0491221159220be782454c32ec2d651

攻击者地址：

https://www.oklink.com/cn/eth/address/0x5c75e94dd0ab9c10bfd1b8073dafef031d3c050d

No.6

7 月 11 日，Polygon 链合约 LibertiVault 遭受攻击，攻击者获利约 29 万美元。攻击者首先闪电贷 5M 个 USDT，然后调用 LibertiVault 的 deposit 函数存入 2.5M，在此过程中，协议会拿 deposit 的部分代币进行 swap，从而调用到攻击者合约。攻击者合约重入 LibertiVault 的 depoist 函数，再次存入 2.5M USDT，从而获得更多比例的凭证代币并最终获利。攻击交易：https://www.oklink.com/cn/polygon/tx/0x7320accea0ef1d7abca8100c82223533b624c82d3e8d445954731495d4388483

攻击者地址：https://www.oklink.com/cn/polygon/address/0xfd2d3ffb05ad00e61e3c8d8701cb9036b7a16d02https://www.oklink.com/cn/polygon/address/0xdfcdb5a86b167b3a418f3909d6f7a2f2873f2969 相关链接：https://twitter.com/BeosinAlert/status/1678787311142854665

No.7

7 月 11 日，Aribtrum 链 Rodeo Finance 项目被攻击，攻击者获利约 88 万美元。攻击者从 Rodeo pool 借出 400k 的 USDC，然后通过 CamelotPair 兑换成 WETH，再兑换成 unshETH，并放入 StrategyLong 合约。由于 unshETH 预言机被操纵，使得获取的 unshETH 的价格被拉高近 1 倍，导致计算出来的 USDC 可以兑换的 unshETH 的数量减少，进行 swap 时滑点设置不合理，导致本应 revert 的 swap 操作得以执行。攻击者通过在 CamelotPair 造成的价格差，然后通过在 Camelot 和 Uniswap 这两个 DEX 之间进行套利来获利。

攻击交易：https://www.oklink.com/cn/arbitrum/tx/0xb1be5dee3852c818af742f5dd44def285b497ffc5c2eda0d893af542a09fb25a

攻击者地址：https://www.oklink.com/cn/arbitrum/address/0x2f3788f2396127061c46fc07bd0fcb91faace328

No.8

7 月 12 日，Avalanche 链上 Platypus 项目遭受攻击，攻击者获利约 5 万美元。攻击者首先从 AAVE 闪电贷获得 USDC，然后通过 deposit 调用将 USDC 存入协议，再调用 withdrawFromOtherAsset 取出 USDC.e，协议关于 USDC.e 的兑换比例计算逻辑错误，攻击者可以提取出更多的 USDC.e，最后将 USDC.e 卖出获利。

攻击交易：https://www.oklink.com/cn/avax/tx/0x5e785b87e62252b1fff3283ce260d74cb5b3efc4588d7a0297f505482cbab388

攻击者地址：https://www.oklink.com/cn/avax/address/0xc64afc460290ed3df848f378621b96cb7179521ahttps://www.oklink.com/cn/avax/address/0x16a3c9e492dee1503f46dea84c52c6a0608f1ed8

No.9

7 月 12 日，BSC 链上 WGPT 代币遭受攻击，攻击者获利约 8 万美元。WGPT 代币合约实现中的 transferFrom 函数，会使用合约中的 USDT 去流动性池购买 WGPT 代币，攻击者调用 transferFrom 函数，将代币转账到流动性池，再通过 skim 取回，重复该步骤使得合约内 USDT 持续购买 WGPT 代币，从而提升 WGPT 代币价格，最后攻击者将持有的 WGPT 卖出获利。

攻击交易：https://www.oklink.com/cn/bsc/tx/0x258e53526e5a48feb1e4beadbf7ee53e07e816681ea297332533371032446bfd

攻击者地址：https://www.oklink.com/cn/bsc/address/0xdc459596aed13b9a52fb31e20176a7d430be8b94https://www.oklink.com/cn/bsc/address/0x5336a15f27b74f62cc182388c005df419ffb58b8

No.10

7 月 18 日，BSC 链上 BNO 代币遭受攻击，攻击者获利约 50 万美元。BNO 合约的 emergencyWithdrawal 函数允许用户提取 ERC20 代币权益，会重置 userInfo 的 allStake 和 rewardDebt 字段为 0，但函数并没有处理 NFT 权益记录，即不会重置 nftAddtion，攻击者重复 stakeNft，emergencyWithdraw 及 unstakeNft 操作，重复获得 BNO 代币奖励从而获利。

攻击交易：https://www.oklink.com/cn/bsc/tx/0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9

攻击者地址：https://www.oklink.com/cn/bsc/address/0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd

No.11

7 月 18 日，BSC 链 APEDAO 项目遭受攻击，项目方损失约 0.7 万美元。攻击者将 APEDAO 代币转移到 Pair 合约，再通过 skim 调用取回，在这个过程中，变量 amountToDead 会累积准备从 pair 销毁到 APEDAO 数量。攻击者重复 transfer/skim 操作，最后调用 goDead 使 Pair 合约燃烧一定数量 APEDAO 代币，从而拉高其价格，反向卖出 APEDAO 获利。

攻击交易：https://www.oklink.com/cn/bsc/tx/0x8d35dfd9968ce61fb969ffe8dcc29eeeae864e466d2cb0b7d26ce63644691994

攻击者地址：

https://www.oklink.com/cn/bsc/address/0x10703f7114dce7beaf8d23cde4bf72130bb0f56a

No.12

7 月 18 日，BSC 链 Carson 项目遭受攻击，项目方损失约 14.5 万美元。攻击者首先闪电贷 150 万个 BUSD，购买 Carson 代币，然后分多笔卖出。由于 Carson 在 transfer 过程存在收税及销毁，导致买入卖出间存在价格差从而获利。

攻击交易：https://www.oklink.com/cn/bsc/tx/0x37d921a6bb0ecdd8f1ec918d795f9c354727a3ff6b0dba98a512fceb9662a3ac

攻击者地址：https://www.oklink.com/cn/bsc/address/0x25bcbbb92c2ae9d0c6f4db814e46fd5c632e2bd3

No.13

7 月 20 日，BSC 链上一系列 airdrop 函数实现有问题的代币被攻击，相关损失达 23 万美元，包括 FFIST，QX，Utopia 代币等项目。这些代币的 transfer 动作中，会调用到 airdrop 函数，即给一个随机地址空投代币。该随机地址通过上一次空投地址、当前区块编号、transfer 的 to 地址等参数进行计算。攻击者通过控制 to 地址，使计算出的随机地址为该代币对应的流动性池地址。而 airdrop 函数实现错误地将目标地址 balance 设置为 airdropAmount，而非累加。导致攻击者控制了流动性池代币数量，变相拉高了代币价格，从而可以进行卖出获利。

攻击交易：https://www.oklink.com/cn/bsc/tx/0x199c4b88cab6b4b495b9d91af98e746811dd8f82f43117c48205e6332db9f0e0https://www.oklink.com/cn/bsc/tx/0xeb4eb487f58d39c05778fed30cd001b986d3c52279e44f46b2de2773e7ee1d5e

攻击者地址：

https://www.oklink.com/cn/bsc/address/0xe84ef3615b8df94c52e5b6ef21acbf0039b29113

https://www.oklink.com/cn/bsc/address/0xcc8617331849962c27f91859578dc91922f6f050

No.14

7 月 21 日，ETH 链 Conic Finance 项目 ETH omnipool 遭受一系列黑客攻击，造成损失约 330 万美元。攻击的根本原因是 CurveLPOracleV2 合约存在只读重入问题。攻击者从 AAVE，Balancer 闪电贷获得 stETH/cbETH/rETH/wETH 等资产合计约 7 万枚，存入 ConicEthPool，然后操纵 steCRV、cbETH/ETH-f、rETH-f 等代币的价格，并利用只读重入漏洞来绕过价格预言机对代币价格合理性的检查，从而使得攻击者可以转移比他们存入要更多的流动性代币来获利。

攻击交易：https://www.oklink.com/cn/eth/tx/0x8b74995d1d61d3d7547575649136b8765acb22882960f0636941c44ec7bbe146

攻击者地址：https://www.oklink.com/cn/eth/address/0x8d67db0b205e32a5dd96145f022fa18aae7dc8aa

No.15

7 月 25 日，zksync 链上项目 EraLend 遭受攻击，项目方损失约 270 万美元。本次漏洞为价格预言机只读重入，池子提取出流动性之后，触发了回调事件但是没有立即更新池子中的 Token 数量，导致价格没有更新。然后在回调事件中执行合约处理逻辑，读取了一个不正确的价格，从而导致 EraLend 项目的 cToken 合约借贷价值计算和清算价值计算不一致，借贷的数量高于偿还的数量，使得攻击者可以在借贷并清算后获利。攻击交易：https://www.oklink.com/cn/zksync/tx/0x99efebacb3edaa3ac34f7ef462fd8eed85b46be281bd1329abfb215a494ab0ef

攻击者地址：https://www.oklink.com/cn/zksync/address/0xf1d076c9be4533086f967e14ee6aff204d5ece7a

No.16

7 月 25 日，BSC 链上的 Palmswap 项目遭到攻击，攻击者获利超 90 万美元。攻击者首先通过闪电贷借出三百万个 USDT，使用其中一百万个 USDT 铸造 PLP 代币，攻击者接着调用金库合约中的 buyUSDP 函数，直接用两百万个 USDT 购买 USDP 代币，增加了金库合约中的 USDT 代币数量。攻击者接着移除流动性，燃烧掉持有的 PLP 代币并卖出 USDP 代币。由于 PLP 代币的价格是基于金库中 USDT 的余额进行计算的，因此 PLP 代币的价格被拉高，使得攻击者获取了超出预期的 USDP 代币，最后卖出 USDP 并归还闪电贷获利离场。后经项目方与攻击者沟通，攻击者返还 80% 的资产。

攻击交易：https://www.oklink.com/cn/bsc/tx/0x62dba55054fa628845fecded658ff5b1ec1c5823f1a5e0118601aa455a30eac9

攻击者地址：

https://www.oklink.com/cn/bsc/address/0xf84efa8a9f7e68855cf17eaac9c2f97a9d131366

https://www.oklink.com/cn/bsc/address/0x55252a6d50bfad0e5f1009541284c783686f7f25

No.17

7 月 25 日，BSC 链 MetaLabz 项目新部署的锁仓合约被攻击，项目方损失约 7 万美元。合约实现的 isAuthorized 权限校验函数有问题，相当于没有任何权限校验，攻击者调用 clearStuckTokens 转移走合约内的 MLZ 代币。

攻击交易：https://www.oklink.com/cn/bsc/tx/0x6d14276f14d7b7f72f201c72b6cf54689211ccb2d295d19e4bb5e9006fda177c

攻击者地址：

https://www.oklink.com/cn/bsc/address/0xf576c7f17bc5a834f8bfe6f810a09eb44818c739

No.18

7 月 30 日，ETH 链及 BNB 链多个项目遭受攻击，原因是 Vyper 语言的 0.2.15、0.2.16 和 0.3.0 版本的重入锁失效。Curve Finance 上的多个稳定币池遭受攻击，DeFi 借贷协议 Alchemix、DeFi 公共产品 JPEG’d、DeFi 合成资产协议 Metronome、跨链桥 deBridge、采用 Curve 机制的 BNB 链上 DEX Ellipsis 和 Curve CRV-ETH 交易池，累计损失约 5200 万美元。攻击发生后，有许多白帽黑客和抢跑机器人有相关交易，这部分交易获利已经有部分返还项目方。

攻击交易：https://www.oklink.com/cn/eth/tx/0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c

https://www.oklink.com/cn/eth/tx/0xb676d789bb8b66a08105c844a49c2bcffb400e5c1cfabd4bc30cca4bff3c9801

https://www.oklink.com/cn/eth/tx/0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

https://www.oklink.com/cn/eth/tx/0xc93eb238ff42632525e990119d3edc7775299a70b56e54d83ec4f53736400964

攻击者地址：

https://www.oklink.com/cn/eth/address/0xb752def3a1fded45d6c4b9f4a8f18e645b41b324

https://www.oklink.com/cn/eth/address/0xdce5d6b41c32f578f875efffc0d422c57a75d7d8

https://www.oklink.com/cn/eth/address/0x6ec21d1868743a44318c3c259a6d4953f9978538（FrontRunner）https://www.oklink.com/cn/eth/address/0xc0ffeebabe5d496b2dde509f9fa189c25cf29671（c0ffeebabe.eth WhiteHat）

https://twitter.com/tayvano_/status/1685789453556846592

1.2 RugPull 盘点

No.1

7 月 1 日，Dogecoin 3.0 项目部署者通过合约后门增发大量代币，实施 Rugpull，获利约 $70K。项目部署者初始资金来自 ChangeNow。

No.2

7 月 15 日，ETH 链上的 GDKCOINETH 项目发生 RugPull，项目方卖出大量代币，获利约 $44k。

No.3

7 月 17 日，BSC 链上的 DMD 项目发生 RugPull，项目方卖出大量代币，获利约 $100k。

No.4

7 月 18 日，BSC 链上的 GMETA 项目发生 RugPull，项目方卖出大量代币，获利约 $3.6M。

No.5

7 月 19 日，ETH 链 Blockper 项目方通过移除流动性实施 RugPull，项目方获利约 $30k。

No.6

7 月 20 日，BSC 链 IPO 项目方通过移除流动性实施 RugPull，项目方获利约 $483k。

No.7

7 月 22 日，BSC 链 IEGT 项目方通过增发代币实施 RugPull，项目方获利约 $1.1M。

No.8

7 月 22 日，BSC 链 VDon-Key 项目方通过移除流动性实施 RugPull，项目方获利约 $70k。

No.9

7 月 24 日，BSC 链 DeltaProtocol 项目方通过移除流动性实施 RugPull，项目方获利约 $40k。

No.10

7 月 27 日，BSC 链假 LayeZero 代币项目移除流动性实施 RugPull，项目方获利约 $116k。

No.11

7 月 28 日，ETH 链假 IRL 代币项目移除流动性实施 RugPull，项目方获利约 $24k。

No.12

7 月 28 日，BSC 链 ElonPepe 项目移除流动性实施 RugPull，项目方获利约 $184k。

No.13

7 月 28 日，BSC 链 DefiLabs 项目通过 withdrawFunds 直接提取池内 BUSD，项目方获利约 $1.4M。

No.14

7 月 29 日，zksync 链 Kannagi 项目发生 RugPull，项目方从金库移除资产并从跨链桥转移，获利约 $1M。

1.3 社媒诈骗与钓鱼盘点

No.1

7 月 1 日，多个 BoredApeYachtClub，MutantApeYachtClub，BoredApeKennelClub 系列 NFT 被钓鱼后售出，受害用户合计损失约 135 个 ETH。

No.2

7 月 2 日，Polkadex 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.3

7 月 5 日，Waterfall_mkt 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.4

7 月 5 日，LayerZero 项目 CEO 推特账号@PrimordialAA遭受攻击，攻击者发布钓鱼链接。

No.5

7 月 8 日，Phi_xyz 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.6

7 月 8 日，PorkiesNFT 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.7

7 月 8 日，Thetanuts Finance 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.8

7 月 8 日，Redacted Money 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.9

7 月 9 日，Paribus 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.10

7 月 9 日，SenSei DeFi 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.11

7 月 10 日，Holoride 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.12

7 月 10 日，OvernightFi 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.13

7 月 10 日，Releap Protocol 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.14

7 月 10 日，UFO Gaming 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.15

7 月 11 日，Star Protocol 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.16

7 月 12 日，Superlotls 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.17

7 月 13 日，SwapdexO 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.18

7 月 14 日，TapioFinance 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.19

7 月 15 日，HouseHaeds 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.20

7 月 17 日，AikoDeshoBTC 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.21

7 月 17 日，Bansheenfts 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.22

7 月 19 日，Flex 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.23

7 月 19 日，Arbitrum 上的 Shell Protocol 项目官方推特账号疑似被盗，发布 SHELL 代币申领相关虚假消息并关闭评论区，攻击者为 PinkDrainer 钓鱼团伙。

No.24

7 月 19 日，去中心化自治组织 PleasrDAO 推特账号被盗，官方推特账号发布虚假代币 PLEASR 申领的相关推文，该组织由 DeFi 领袖、早期 NFT 收藏家及数位艺术家组成。

No.25

7 月 19 日，ElCafeCartel 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.26

7 月 19 日，Swisstronik 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.27

7 月 19 日，ElseVerseWorld 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.28

7 月 21 日，Uniswap 创始人 Hayden Adams 的 Twitter 账号遭到黑客攻击，该账号发送的多条推文包含诈骗网站的链接。

No.29

7 月 22 日，GrizzlyFi 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.30

7 月 26 日，Optim Finance 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

No.31

7 月 29 日，QuasarFi 官方 Discord 遭受攻击，攻击者发布钓鱼链接。

1.4 其他

No.1

7 月 7 日，跨链桥项目 Multichain 的 Fantom 桥通过 transfer 转移大量资产到 EOA 地址，7 月 11 日又有价值超过 103M 的资产被转移到 0x1eed63efba5f81d95bfe37d82c8e736b974f477b，7 月 14 日 Multichain 项目方发布声明解释事情经过，目前用户资金损失高达 1.26 亿美元。

No.2

7 月 12 日，钱包提供商 Klever 发布报告，称已知的低熵助记词漏洞影响了部分钱包。该随机生成算法由 Bip39 实现的，被许多加密货币钱包提供商使用。Klever 建议立即迁移到在 Klever 钱包 K5 或 Klever Safe 上创建的新钱包。

No.3

7 月 23 日，加密货币支付服务商 Alphapo 热钱包被盗，包括 TRON, ETH, BTC 链，损失超 2300 万美元，Alphapo 客户 HypeDrop 已经禁用取款功能。

二、安全总结

2023 年 7 月，安全事件所引发的损失比上个月大幅度上升。从导致这些攻击的智能合约漏洞来看，重入攻击依然频繁出现。此外，价格操控，权限控制以及业务逻辑问题也与多起安全事件有关。重入攻击的类型包括只读重入，涉及 Conic Finance 和 Eralend 等项目，以及经典重入，影响了与 Curve 池相关的多个项目。这些事件提醒我们，完成开发后的单元测试不能只流于形式，而应考虑到复杂场景的测试。智能合约的安全审计能够发掘出潜在的安全问题，但项目的安全性还需要日常维护，如 Bug Bounty 项目。项目方也需要预先设想出应急处理流程，以在发生安全事件时最大程度地减少项目损失。此外，除了 REKT 和 RugPull 事件，本月发生的 Multichain 事件也给我们敲响了警钟：我们不能盲目地信任项目方声称的去中心化管理方式。最后，本月社媒诈骗钓鱼依旧保持多发态势，用户参与项目时，需多方验证信息真实性，不能随意点击可疑链接。

【免责声明】市场有风险，投资需谨慎。本文不构成投资建议，用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资，责任自负。