FTX:黑客超额完成KPI?受影响金额约1.2亿美元 本周Web3安全事件回顾

有黑客用一千万“撬动”Solana生态上亿资金,也有黑客铤而走险,薅起了交易所的羊毛,同时也有一些Web3项目遭遇私钥泄露、闪电贷攻击。

BeosinEagleEyeWeb3安全预警与监控平台监测显示,截止发稿时,本周共发生8起攻击类相关的安全事件,累计受影响金额约1.2亿美元,和Beosin安全团队一起来盘点一下吧。

10月9日?

1.XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍

10月9日,XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍。本次攻击是攻击者通过调用DaoModule合约的executeProposalWithIndex()函数执行了攻击者的恶意提案,使得意外铸造了100,000,000,000,000个RNBW,并将ownership权限转移给攻击者。最后黑客将其兑换为xRNBW。

黑客组织REvil宣布将拍卖麦当娜数据以换取加密货币:金色财经报道,黑客组织REvil宣布将拍卖麦当娜的数据以换取加密货币。此前,该组织曾拍卖美国总统唐纳德·特朗普的敏感数据。该公司曾接受比特币,但在意识到当局可以追踪比特币交易后,转而使用隐私币Monero。据悉,麦当娜的信息拍卖会将于5月25日开始,起拍价为100万美元,只能以Monero支付。[2020/5/20]

2.Jumpnfinance项目发生Rugpull,涉及金额约115万美元

Jumpnfinance项目Rugpull。攻击者调用0xe156合约的0x6b1d9018()函数,提取了该合约中的用户资产,存放在攻击者地址上。目前被盗资金中2100BNB($581,700)已转入Tornado.Cash,剩余部分2058BNB还存放在攻击者地址。

动态 | EOS 非洲黑客马拉松获胜者将参加开普敦的终场:据 IMEOS 报道,Block.one 发布推特感谢所有参加 EOS 非洲黑客马拉松的人,以下获胜者将参加开普敦的终场: Africonnect, TEAM B-TAX, Ubuntu Energy Ledger.[2018/10/23]

10月11日?

1.QANplatform跨链桥遭受黑客攻击,疑似项目方私钥泄露,涉及金额约189万美元

本次事件交易的发起地址是一个疑似项目方的地址,攻击者通过该地址调用跨链桥合约中的bridgeWithdraw函数提取QANX代币,然后把QANX代币兑换为相应平台币,目前被盗资金依然存放在攻击者地址上。

独家 | 熊市导致黑客攻击频发 降维发布数字货币威胁预警:近期降维安全通过白细胞安全社区了解到有部分数字货币金融服务商遭受到有组织的黑客攻击,成功攻击的黑客可以通过这种方式从数字金融服务商窃取数字资产。降维安全通过分析发现这种方式表面上是一种比较常见的用户攻击方式,通过已经泄露的互联网数据或者其他发生用户数据泄露的数字金融服务商数据,利用数字金融服务商的防护弱点,黑客可以获得部分用户账户密码登录进系统,然后利用近期熊市流动性差的特点进行小币种下单交易,从而窃取用户的数字资产。

降维安全建议数字金融服务商短期可以排查用户投诉和登录行为是否存在异常,使用高强度的认证措施提升用户安全门槛,长期可以定期对系统进行完全的审计甚至必要的用户行为分析,防止用户被攻击。[2018/9/4]

动态 | 六种方法避免SIM调换黑客攻击:此前,美国数字货币投资者Michael Terpin以2.24亿美元起诉他的手机服务提供商 AT&T,原因为黑客攻击其SIM卡。网络安全行业专家表示,此类黑客攻击可被避免。首先,可以警惕拥有你手机号码的人;第二,使用除手机外的其他身份验证网络和应用程序来验证身份;第三,不要长时间将数字货币存储在任何交易所;第四,致电移动服务提供商请求额外安全保护;第五,避免在线发布电话号码;第六,不要吹嘘你的数字货币收益。[2018/8/20]

2.Rabby项目遭受黑客攻击,请用户取消对相应合约的授权

本次事件是因为RabbyRouter的_swap函数存在外部调用漏洞,导致任何人都可以通过调用该函数,将授权到该合约用户的资金转走。目前攻击者已在Ethereum,BSC链,polygon,avax,Fantom,optimistic,Arbitrum发起攻击,请用户取消对相应合约的授权。

韩国黑客假扮顶级设计师进行数字货币:据韩国网络安全公司ESTSecurity透露,韩国现出现一种携带勒索病的邮件,该邮件内容自称来自顶级平面设计师Mr Kim,并称收件者侵犯了Mr Kim的的著作权。一旦邮件内的附带图片被打开,勒索病将被激活,用户只有向特定地址支付价值600美元的DASH才能解封。 元的DASH才能解封。[2018/3/28]

3.TempleDAO项目遭受黑客攻击,涉及金额约236万美元

本次事件是因为StaxLPStaking合约中的migrateStake函数缺少权限校验,导致任何人都可以通过调用该函数提取合约中的StaxLP。攻击者攻击成功后,把获得的全部StaxLP代币兑换为了ETH。

10月12日?

1.Journeyofawakening(ATK)项目遭受闪电贷攻击

本次事件攻击者通过闪电贷攻击的方式攻击了ATK项目的策略合约,从合约中获取了大量的ATK代币,之后攻击者把获得的全部ATK代币兑换为约12万美元的BSC-USD。

2.Solana生态去中心化交易平台Mango遭遇黑客攻击,影响高达1.16亿美元。

黑客使用了两个账户,一共1000万USDT起始资金。

第一步,攻击者向Mango市场存入了500万USDC。

第二步,攻击者在MNGO-ERP市场创建了一个4.83亿的PlacePerpOrder2头寸。

第三步,MNGO的价格被操纵,从0.0382美元到0.91美元,通过使用一个单独的账户对其头寸进行对手交易。

账户2现在有4.83亿*(0.91-0.03298美元)=4.23亿美元,这使得攻击者可以借出1.16亿美元的资金。

10月13日?

1.FTX交易所遭到gas窃取攻击

FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XENTOKEN。本次事件攻击者通过FTX热钱包多次少量的提取以太坊,FTX热钱包地址会向攻击合约地址多次转入小额的资金,随后会调用到攻击合约的fallback()函数,通过该函数攻击者向Xen合约发起铸币请求。而Xen合约仅需传入一个时间期限,便可支持无成本铸币,只需支付交易Gas费,但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址,达到攻击的目的。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:799ms