一、基本信息
在头部中心化交易所FTX发生挤兑崩盘,FTX 相关资产也遭遇疑似黑客攻击大背景下, 2022 年 11 月安全攻击事件共造成约 5.2 亿美元损失。本月智能合约漏洞方面发生的攻击次数与前两个月相比有所减少,且大部分攻击造成的资产损失金额较低;RugPull 相关安全事件发生依旧比较多,甚至有两个项目分别造成上千万美金级别损失;另外,Deribit 热钱包和Fenbushi Capital创始合伙人钱包安全问题也造成了合计约 7000 万美金的损失。
1.1 REKT 盘点
No.1
11 月 2 日,借贷协议 Solend 遭预言机攻击,攻击者操纵 USDH 价格,从 Hubble Stable, Coin 98 和 Kamino 借贷池借出超额资产,从而产生 126 万美元坏账。Solend 的 USDH 价格预言机只有一个数据源,来自 Saber 协议的 USDH-USDC-LP,但是该交易池 TVL 仅有约$ 900 k,攻击者使用 LoopSwap 接口,抬高了 USDH 价格。
攻击者地址:
https://www.oklink.com/zh-cn/sol/account/61 wJT 43 nWMUpDR 92 wC 7 pmo 6 xoJRh 2 s 4 kCYRBq4d 5 XQHZ
相关链接:
https://twitter.com/solendprotocol/status/1587671511137398784
https://twitter.com/0 xSymphony/status/1587937449077940224
https://cryptobriefing.com/why-do-solana-defi-protocols-keep-getting-exploited/
No.2
11 月 2 日,NEAR网络 Skyward Finance 协议国库损失价值约 300 万美元的 110 万个 NEAR 代币。攻击者从 Ref Finance 购买大量 SKYWARD 代币,然后从 Skyward Finance 国库协议进行 redeem,获得了比 SKYWARD 价值多很多的 NEAR 代币。分析发现 skyward.near 合约的 redeem_skyward 函数没有正确校验 token_account_ids 参数,导致攻击者传入相同的 token_account_id,并多次领取了 WNear 奖励。
攻击交易:
https://explorer.near.org/transactions/92 Gq 7 zehKPwSSnpoZ 7 LGGtSmgmBb 4 wP 2 XNDVJqUZRGqz
相关链接:
https://mobile.twitter.com/sanket_naikwadi/status/1587854474587930624
https://twitter.com/BlockSecTeam/status/1587998109648683010
https://www.odaily.news/newsflash/303711
No.3
11 月 3 日,BSC 链上的 gala.games 项目由于pNetwork项目的 bridge 配置错误导致 pTokens(GALA)代币增发,累计增发 55, 628, 400, 000 枚 pTokens(GALA),攻击者已经把部分 pTokens(GALA)兑换成 12, 976 个BNB,攻击者累计获利约 434 万美元。
攻击地址:
https://www.oklink.com/zh-cn/bsc/address/0 x 6891 A 233 Bca 9 E 72 A 078 bCB 71 ba 02 aD 482 A 44 e 8 C 1
第一笔攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0 x 4 b 239 b 0 a 9 2b 8375 ca 293 e 0 fde 9386 cbe 6 bbeb 2 f 04 bc 23 e 7 c 80147308 b 9515 c 2 e
第二笔攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0 x 439 aa 6 f 526184291 a 0 d 3 bd 3 d 52 fccd 459 ec 3 ea 0 a 8 c 1 d 5 bf 001888 ef 670 fe 616 d
相关链接:
https://www.odaily.news/newsflash/303816
No.4
11 月 5 日,MooCakeCTX 合约被闪电贷攻击,攻击者获利 14 万美元。该合约在用户质押前(depositAll 函数)未结算奖励进行复投(未调用 earn 函数),这会导致用户在质押后就马上能获取以前的质押分红。攻击者在同一个区块内使用闪电贷借出 50000 个 cake 代币后,连续两次进行质押,然后再提取质押的 cake 代币,归还后获利。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0 x 03 d 363462519029 cf 9 a 544 d 44046 cad 0 c 7 e 64 c 5 fb 1 f 2 adf 5 dd 5438 a 9 a 0 d 2 ec 8 e
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0 x 35700 c 4 a 7 bd 65048 f 01 d 6675 f 09 d 15771 c 0 facd 5
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0 x 71 ac 864 f 9388 ebd 8 e 55 a 3 cdbc 501 d 79 c 3810467 c
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0 x 489 afbaed 0 ea 79671 2c 9 a 6 d 366 c 16 ca 3876 d 8184
相关链接:
https://twitter.com/BeosinAlert/status/1589501207181393920
https://twitter.com/CertiKAlert/status/1589428153591615488
No.5
11 月 9 日,ETH链项目 brahTOPG 被攻击,攻击者获利约 9 万美元。攻击者构造恶意 token,并在该 token 的 approve 函数中,将 FRAX 代币转入被攻击合约,使得合约能成功执行,但是在 zapCall.swapTarget.call(zapCall.callData)调用时,由于参数 zapCall 为攻击者传入参数,使其能够发起 USDC.transferFrom,转移授权用户的 USDC,从而完成攻击。
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0 xeaef 2831 d 4 d 6 bca 04 e 4 e 9035613 be 637 ae 3 b 0034977673 c 1 c 2 f 10903926 f 29 c 0
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0 x 6 fa 00 a 7324 dc 293 ea 8 ecf 56 fe 3143104494 c 4213
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0 x 60032 a 41726241499 b 0 c 626 c 836 c 9099 cb 895 c 05
被攻击合约:
https://www.oklink.com/zh-cn/eth/address/0 xd 248 b 30 a 3207 a 766 d 318 c 7 a 87 f 5 cf 334 a 439446 d
相关链接:
https://twitter.com/SlowMist_Team/status/1590685173477101570
https://mp.weixin.qq.com/s/YqO 38 TAXBQzXZunmZk 6 naQ
No.6
11 月 11 日,ETH 链项目 DFX Finance 遭到攻击,损失近 400 万美元。DFX 中闪电贷合约对于归还闪电贷的计算方式只与池子中的资金余额有关,Flash 方法调用未做同合约同方法和同合约不同方法的重入限制,攻击者通过将资金借出之后通过添加流动性又将资金转入了池子中,因此计算的需要归还的闪电贷资金减少,攻击者之后可以通过归还流动性代币将资金取出。
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0 x 390 def 749 b 71 f 516 d 8 bf 4329 a 4 cb 07 bb 3568 a 3627 c 25 e 607556621182 a 17 f 1 f 9
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0 x 14 c 19962 e 4 a 899 f 29 b 3 dd 9 ff 52 ebfb 5 e 4 cb 9 a 067
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0 x 6 cfa 86 a 352339 e 766 ff 1 ca 119 c 8 c 40824 f 41 f 22 d
被攻击合约:
https://www.oklink.com/zh-cn/eth/address/0 x 46161158 b 1947 d 9149 e 066 d 6 d 31 af 1283 b 2 d 377 c
相关链接:
https://mp.weixin.qq.com/s/jviwgpwwUpn 9 AQ3 6 CFEzuQ
https://mp.weixin.qq.com/s/4 nLDcPsPRsZGB 1 c_SH 1 _qg
No.7
11 月 16 日,BNBChain 上的 SheepFarm 被黑客攻击,黑客获利约 7.2 万美元。SheepFarm 合约的 register 函数会检查注册用户的 timestamp 数值为 0 ,确保为新用户。但是用户注册后,该 timestamp 数值并未更新,攻击者可以重复调用 register 接口。每次 register 调用,都会有 GEM_BONUS 分配给黑客,黑客最后兑换为 BNB 获利。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0 x 9 c 3 c 513 d 54 d 59451 ea 7 b 07539 aee 9132 f 402 d 7 e 8 f 5 bc 025 d 609 a 16 e 559 ee 6 ddf
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0 x 2131 c 67 ed 7 b 6 aa 01 b 7 aa 308 c 71991 ef 5 baedd 049
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0 xf 2 db 8665 d 82 e 1 a 23895 ed 78 b 213 d 36 d 62 eec 6 bbc
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0 x 4726010 da 871 f 4 b 57 b 5031 e 3 ea 48 bde 961 f 122 aa
相关链接:
https://twitter.com/BlockSecTeam/status/1592734292727455744
No.8
11 月 21 日,BSC 链上合约 sDAO 被攻击,黑客获利 1.4 万 BUSD。黑客从DODO闪电贷 500 BUSD,部分兑换成 sDAO 代币后添加流动性,然后通过 withdrawTeam 接口将 sDAO 合约全部的 LPtoken 取出。由于 getReward 接口计算是依赖 sDAO 合约内 LPtoken 的余额,黑客通过 tranfer 从攻击合约转给 sDAO 合约 0.013 个 LPtoken,控制该数值为一个很小数值,然后通过 getReward 接口从 sDAO 获得约 370 万个 sDAO,卖出获利 1.4 万 BUSD。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0 xb 3 ac 111 d 294 ea 9 dedfd 99349304 a 9606 df 0 b 572 d 05 da 8 cedf 47 ba 169 d 10791 ed
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0 xa 1 b 6 d 1 f 23931911 ecd 1920 df 49 ee 7 a 79 cf 7 b 8983
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0 x2b 9 eff 2 f 254662 e 0 f 16 b 9 adc 249 aaa 509 b 1 c 58 d 4
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0 x 6666625 ab 26131 b 490 e 7015333 f 97306 f 05 bf 816
相关链接:
No.9
11 月 23 日,ETH 链上的 Numbers Protocol(NUM)代币项目遭到攻击,攻击者获利约 1.4 万美元。攻击者创建了一个恶意的 anyToken 代币,该恶意代币合约的底层代币指向 NUM 代币地址;接着调用Multichain跨链桥的 Router 合约的 anySwapOutUnderlyingWithPermit 函数,该函数的功能是传入 anyToken 并调用底层代币的 permit 函数进行签名批准,之后兑换出拥有授权的用户的底层代币给指定地址。由于 NUM 代币中没有 permit 函数且拥有回调功能,所以即使攻击者传入假签名也能正常返回使得交易不会失败,导致受害者地址的 NUM 代币最终可以被转出到指定的攻击合约中;接着攻击者将获利的 NUM 代币通过Uniswap换成 USDC 再换成 ETH 获利。
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0 x 8 a 8145 ab 28 b 5 d 2 a 2 e 61 d 74 c 0 2c 12350731 f 479 b 3175893 de 2014124 f 998 bff 32
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0 xb 792 faf 099991 f 96 c 5 dfef 037 ae 9 f 248186 d 9 b 30
攻击合约:
https://www.oklink.com/zh-cn/eth/address/0 x 00000000000747 d 525 e 898424 e 8774 f 7 eb 317 d 00
被攻击合约:
https://www.oklink.com/zh-cn/eth/address/0 x 765277 eebeca 2 e 3191 2c 9946 eae 1021199 b 39 c 61
相关链接:
https://www.odaily.news/newsflash/305776
No.10
11 月 29 日,BSC 链 SEAMAN 合约遭受漏洞攻击,黑客获利约 8000 BUSD。SEAMAN 合约在 transfer 函数时中将 SEAMAN 代币兑代币 GVC,攻击者可以利用该函数影响代币的价格。攻击者首先将 50 万 BUSD 兑换为 GVC 代币,攻击者通过多次调用 transfer 函数触发_splitlpToken()函数,并且会将 GVC 分发给 lpUser,从而消耗 BUSD-GVC 交易对中 GVC 的数量,抬高该交易对中 GVC 的价格。最后攻击者卖出之前兑换的 GVC 兑换了 50.7 万的 BUSD 获利。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0 x 6 f 1 af 27 d 08 b 10 caa 7 e 96 ec 3 d 580 bf 39 e 29 fd 5 ece 00 abda 7 d 8955715403 bf 34 a 8
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0 x 4 b 1 f 47 be 1 f 678076 f 447585 beba 025 e 3 a 046 a 9 fa
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0 x 0 e 647 d 34 c 4 caf 61 d 9 e 377 a 059 a 01 b 5 c 85 ab 1 d 82 a
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0 x 6 bc 9 b 4976 ba 6 f 8 c 9574326375204 ee 469993 d 038
相关链接:
https://www.odaily.news/newsflash/306290
No.11
11 月 30 日,BSC 链 MBC 和 ZZSH 合约遭受漏洞攻击,黑客获利约 5600 BUSD。MBC 合约与 ZZSH 合约代码实现相同,黑客利用闪电贷借出 BUSD 后,首先购买 MBC 和 ZZSH 代币,然后利用 swapAndLiquifyStepv 1 函数添加流动性,该函数将 token 合约内资产添加到 pair 合约,黑客最后将之前购买的 MBC 和 ZZSH 代币售出获利。漏洞核心在于 swapAndLiquifyStepv 1 没有权限控制,导致黑客可以通过 swap 将代币价格推高后,再利用该函数将代币合约内资产添加流动性,再将代币卖出获利。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0 xdc 53 a 6 b 5 bf 8 e 296 2cf 0 e 0 eada 6451 f 10956 f 4 c 0845 a 3 ce 134 ddb 050365 f 15 c 86
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0 x 9 cc 3270 de 4 a 3948449 c 1 a 73 eabff 5 d 0275 f 60785
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0 x 0 b 13 d2b 0 d 8571 c 3 e 8689158 f 6 db 1 eedf 6 e 9602 d 3
被攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0 x 4 e 87880 a 72 f 6896 e 7 e 0 a 635 a 5838 ffc 89 b 13 bd 17
https://www.oklink.com/zh-cn/bsc/address/0 xee 04 a 3 f 9795897 fd 74 b 7 f 04 bb 299 ba 25521606 e 6
相关链接:
1.2 RugPull 盘点
No.1
11 月 1 日,BSC 链项目 FITE 项目疑似 RugPull,攻击者转移 1900 枚 BNB,获利约 62.2 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0 xe 4182 e 57 eeb 29 fbc2b 3469 e 45 c 9 e 385 cea 8995 ab
相关链接:
https://twitter.com/PeckShieldAlert/status/1587368026571436032
No.2
11 月 3 日,MetFX 项目疑似发生 Rug pull,部署者获利约 13 万美元。
相关链接:https://twitter.com/PeckShieldAlert/status/1588037702599200768
No.3
11 月 8 日,BSC 链项目 Defi Wz Token (DEFIWZ) 发生 RugPull,攻击者获利约 20.8 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0 x 418 db 510 b 4 f 1 cf 33565 c 459 cfb 6 d 838 bbbbff 8 f 9
相关链接:
https://twitter.com/CertiKAlert/status/1589722752277045248
No.4
11 月 8 日,BSC 链项目 DeFi Safe (dSafe) 发生 RugPull,攻击者获利约 12.7 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0 x 761776 f 726168 c 9 df 6 dc 63 d 5864880801 e 21 f 403
相关链接:
https://twitter.com/CertiKAlert/status/1589650367507271680
No.5
11 月 8 日,BSC 链项目 SSIDToken (SSID) 发生 RugPull,攻击者获利约 15.8 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0 xC 3241 e 111 CCd 9 CF 6 c 5 a 11 dADE 9498070082 F 2 ed 3
相关链接:
https://twitter.com/CertiKAlert/status/1589708844829405184
No.5
11 月 11 日,ETH 链项目 DefiForge (FORGE)发生 RugPull,攻击者获利约 6.5 万美元。 合约地址:
https://www.oklink.com/zh-cn/eth/address/0 x 5198625 a 8 abf 34 a 0 d 2 a 1 f 262861 ff 3 b 307930 2bf
相关链接:
https://twitter.com/CertiKAlert/status/1591611068786257920
No.7
11 月 13 日,BNBChain 项目 DeFiAI 项目发生 Rug pull,合约部署者获利约 4000 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0 x 6548 a 320 d 3736920 cad 8 a2cfbfefdb 14 db 6376 ea
相关链接:
https://twitter.com/DeFiAiOfficial/status/1591783217040064513
No.8
11 月 15 日,BNBChain 项目 Ranger 发生 RugPull,攻击者获利约 8 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0 xc 9 efd 09 c 8170 e 5 ce 43219967 a 0564 a 9 b 610 e 5 ea 2
相关链接:
https://twitter.com/CertiKAlert/status/1592402249523023878
No.9
11 月 16 日,BNBChain 项目 FLARE 发生 RugPull,攻击者获利约 1800 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0 x 192 e 9321 b 6244 d 204 d 4301 afa 507 eb 29 ca 84 d 9 ef
相关链接:
https://mp.weixin.qq.com/s/Ynhc_ 9 TWUY 2 iGWZWrfzThA
https://twitter.com/lunaray_sec/status/1592790172206526464
No.10
11 月 17 日,BNBChain 项目 BoxerInu Finance 发生 RugPull,攻击者获利约 14 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0 x 6867 d 4 a 17 f 3 ff 5602024 b 7 c 2 a 33 df 2 fd 9 aeafcfe
相关链接:
https://twitter.com/CertiKAlert/status/1592947070411100160
No.11
11 月 17 日,BNBChain 项目 META 项目发生 RugPull,合约部署者获利约 6 万美元。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0 x 40 Be 57 E 8910 dA 65 f 5 B 98746 C 730 E 26941 aB 3824 A
相关链接:
https://twitter.com/CertiKAlert/status/1592929004255862786
No.12
11 月 29 日,BNBChain 项目 Trust Bridge (TWG)发生 RugPull,合约部署者获利约 7 万美元。
合约地址:
相关链接:
https://twitter.com/CertiKAlert/status/1594409841396678659
No.13
11 月 28 日,BNBChain 项目 IOTN 发生 RugPull,合约部署者卖出 4.3 亿 IOTN 代币。
合约地址:
https://www.oklink.com/zh-cn/bsc/address/0 xabe 6 efdefa 75 c 18 bd 0 f 6 b 65 abddcd 8 dda 399 2caf
相关链接:
https://twitter.com/CertiKAlert/status/1597031934789652482
No.14
11 月 29 日,BNBChain 项目BTC-POR 发生 RugPull,合约部署者获利约 7 万美元。
合约地址:
相关链接:
https://twitter.com/CertiKAlert/status/1597381475481128961
1.3 社媒诈骗与钓鱼盘点
No.1
11 月 1 日,Generativemasks 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1587219096399233027
No.2
11 月 1 日,KUMALEON 项目 Discord 遭攻击, 111 枚NFT被盗,包括 BAYC #5313, ENS, ALIENFRENS 和 Art Blocks。
相关链接:https://twitter.com/PeckShieldAlert/status/1587271475475939328
No.3
11 月 12 日,Play AFAR 项目 Discord 服务器遭攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1591099470036570113
No.4
11 月 19 日,MitsubishiNFT 项目 Discord 服务器遭受攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1593758516602318854
No.5
11 月 23 日,Sensi Labs 项目 Discord 服务器遭受攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1595215783654658048
No.6
11 月 28 日,Shamanzs 项目 Discord 服务器遭受攻击,攻击者发布虚假消息。
相关链接:https://twitter.com/CertiKAlert/status/1597076228749533185
1.4 其他
No.1
11 月 2 日,Deribit 热钱包被盗 2800 万美元,损失将由公司储备金弥补。
相关链接:https://twitter.com/DeribitExchange/status/1587701883778523136
No.2
11 月 2 日,Rubic项目管理员地址私钥疑被泄露,攻击者已出售约 3400 万 RBC/BRBC。
相关链接:https://twitter.com/CryptoRubic/status/1587801263781171203
No.3
11 月 12 日,FTX 疑似遭遇攻击,大量资产开始持续发送到 0 x 59 A 开头地址。
相关链接:https://twitter.com/CertiKAlert/status/1591265704568709122
No.4
11 月 23 日:Fenbushi Capital 创始合伙人价值 4200 万美元个人资产被盗,FBI 已介入调查。
相关链接:https://twitter.com/boshen 1011/status/1595239850596306944
二、安全总结
2022 年 11 月智能合约相关漏洞涉及价格操纵、奖励机制、注入攻击等类型,均为常见攻击手法,如项目上线前,经专业智能合约审计机构进行审计,可避免相关漏洞攻击发生。另外,本月 RugPull 类项目依旧层出不穷,用户参与相关项目时,需要保持警惕,多方验证项目质量,远离可疑项目。最后,应增强钱包私钥安全意识,避免私钥泄露造成资产损失。