去年12月份加密货币因安全事故造成损失超8千万
2022年12月安全事件共造成约8327万美元损失,金额数量较上月有所下降。本月RugPull数量基本与上月持平。但临近年底,熊市社媒诈骗等较上个月有所增加,Discord攻击诈骗成为重灾区。另外本月依然有钱包(BitKeep)出现新的安全问题,影响了不少用户。
2022年12月安全事件
1.1 REKT盘点
REKT损失金额盘点
No.1
12月2日,Ankr遭黑客攻击,数万亿aBNBc被铸造,黑客获利约500 万枚 USDC;另有匿名套利者以10BNB成本在借贷平台 helio 抵押 aBNBc获利超1550万美元;
攻击者使用Ankr: Deployer私钥对受害合约进行恶意升级,并增发10万亿枚aBNBc代币进行抛售兑换成 USDC 和 BNB,直至流动性枯竭,价格代币归零。其中少量BNB存入Tornado Cash,USDC 跨链到 Ethereum 兑换为 ETH。
No.2
12月2日,Avax链上的overnight.fi项目遭到攻击。黑客用950万闪贷操纵Synapse资金池的USDC.e价格下跌,然后铸造USD+,使USDC.e 进入池子的价格低于1,从而为攻击者创造利润。攻击者获利约17.5万美元。
No.3
12月6日,Roast Football(RFB)项目疑似遭到交易回滚攻击。Roast Football 存在一个抽奖机制,用户在购买RFB代币时有一定概率获得10倍的奖励。攻击者利用彩票函数中的弱伪随机数生成漏洞,在中奖时才执行交易,否则回滚。攻击者最终获利12BNB,约3500美元。
No.4
12 月 6 日,如果用户将 APE 质押在 NFT 池中,一旦出售该 NFT,用户将同时失去质押的 APE 所有权。有套利者从 dYdX 借入 82 ETH 购买 BAYC #6762,从而获得卖方质押的 6400 枚 APE。套利者将 APE 卖出获得 20 ETH,并以 68 ETH 的价格卖出 BAYC #6762。获利6ETH,价值约7600美元。
No.5
12月10日,AVAX链项目MU 和 MUG项目代币疑似遭遇闪电贷攻击,攻击者利用LP池中的代币与债券价格的差异套利,共获利约5.7万美元。
攻击者从 MUG-MU 池子闪电贷获取初始代币,在MU- USDC池子中进行兑换。由于闪电贷使池子的价格发生偏差,之后攻击者可以以较低的价格调用 mu_bond 方法和mu_gold_bond方法铸造出 Mu 代币和Mu gold给自己。从池子中套利并归还闪电贷资金。
No.6
12 月 10 日,TiFi Token遭攻击,被转移529,570,181,341枚TiFi Token,攻击者获利2.5万美元。
No.7
12月11日, BSC上TRQ项目遭闪电贷攻击,攻击者获利约7.5万美元。
No.8
12月11日,基于 Arbitrum 的 DeFi 协议 Lodestar Finance 遭到攻击,协议被黑客利用,攻击者获利约 650 万美元,存款被耗尽。
Lodestar Finance 团队已将所有利率设置为 0。攻击者将 plvGLP 合约的汇率操纵为 1.83 GLP/plvGLP 获利,并且销毁 300 多万枚 GLP。攻击者利用该漏洞的利润是 Lodestar 上被盗资金减去其销毁的 GLP,其中 280 万枚 GLP 是可以收回的,价值约 240 万美元。Lodestar Finance尝试联系黑客,协商是否可以通过提供漏洞赏金的方式来收回更多资金。
No.9
12月13日,去中心化交易所 ElasticSwap 被攻击,攻击者获利约85万美元;
由于合约中的添加流动性与移除流动性的计算方式不一致,在添加流动性功能中使用常规的恒定 K 值算法,但在移除流动性功能中直接获取了当前池子中两种代币的余额进行计算,攻击者首先添加流动性,之后再将一定数量的 USDC.E 转入 TIC-USDC 交易池中,此时计算出应转给攻击者的 USDC.E 数量已经在基础上乘以了 LP 代币数量即数倍,之后攻击者再调用移除流动性方法获利。
No.10
2022 年 12 月 14 日, BNB Chain 上项目 NimbusPlatform 遭到攻击,攻击者获利约 278 枚 BNB(价值约7.4w美元)。攻击者首先在 8 天前执行了一笔交易,把 20 枚 BNB 换成 NBU_WBNB 再换成 GNIMB 代币,然后把 GNIMB 代币转入 Staking 合约作质押,为攻击作准备。正式发起攻击时先通过闪电贷借出 75477 枚 BNB 并换成 NBU_WBNB,然后再用这些 NBU_WBNB 代币将池子里的绝大部分 NIMB 代币兑换出。接着调用 Staking 合约的 getReward 函数进行奖励的提取,由于闪电贷兑换出大量的代币而变高,最后计算的奖励也会更多。攻击者最后将最后获得的 GNIMB 代币和拥有的 NIMB 代币换成 NBU_WBNB 代币后再换成 BNB,归还闪电贷获利。
No.11
12 月 16 日,Solana上的Raydium项目遭到攻击,漏洞似乎源于木马攻击和流动性资金池所有者帐户的私钥泄露。攻击者访问了资金池所有者帐户,然后能够调用 withdrawPNL 函数,该函数用于收集池中掉期所赚取的交易/协议费用。总损失约为440万美元。
No.12
12月23日, Avalanche生态原生稳定币项目Defrost Finance协议V2遭遇重入攻击,由于合约闪电贷及存款函数缺乏重入锁,黑客得以用来操纵LSW/USDC价格。黑客获约 17万美元。
12月25日,Defrost Finance被爆出再次出现问题,其V1协议被添加了假的抵押代币,并使用恶意价格预言机清算当前用户,大户损失估计超过1200万美元。
No.13
12月25日,Rubic 跨链聚合器项目遭到攻击,用户账户中的 USDC 被窃取。损失近 140 万美元
用户可以通过 RubicProxy 合约中的 routerCallNative 函数进行 Native Token 兑换。在进行兑换前,会先检查用户传入的所需调用的目标 Router 是否在协议的白名单中。此次攻击的根本原因在于 Rubic 协议错误的将 USDC 添加进 Router 白名单中,导致已授权给 RubicProxy 合约的用户的 USDC 被窃取。
No.14
12 月 26 日,Amun 的产品——PECO 和 DFI 遭到破坏,导致基础资金损失约 30 万美元。攻击者能够控制rebalance-manager 地址,从而将 Amun 的产品再平衡为假的抵押物。
No.15
12月29日,以太坊上JAY项目遭遇闪电贷攻击。JAY代币价格是由合约ETH余额除以总供应量决定。且buyJayWith721 方法可以传递任意ERC-721代币。攻击者通过伪造恶意ERC-721代币调用buyJayWith721 ,通过恶意的ERC-721代币转账逻辑重入sell方法,而由于ETH余额的增加导致JAY代币价格被抬高,攻击者再卖出JAY代币进行套利,最终获利约15ETH,价值约1.79万美元。
1.2 RugPull盘点
RugPull损失金额盘点
No.1
12月2日,BSC链项目BGE项目疑似RugPull,部署者获利约42.6万美元。
No.2
12月2日,BSC链项目WWE项目疑似RugPull,攻击者从相关特权铸币地址接收大量代币进行抛售,获利约超6万美元。
No.3
12月2日,BSC链项目Utopia(UTO)疑似RugPull,攻击者获利约7万美元。
No.4
12月5日,BSC链项目LymexPr疑似RugPull,合约部署者获利约 30 万美元。
No.5
12月6日,BSC链项目ROOM疑似RugPull,部署者获利13.4万美元。
No.6
12月9日,BSC链项目BOB疑似RugPull,与部署者相关的账户出售代币,导致11万美元的损失。
No.7
12月9日,BSC链项目Nova Exchange疑似RugPull,部署者帐号通过特权函数铸币并出售,获利363BNB约10.5万美元后发送到Tornado Cash。
No.8
12月10日,BSC链项目RabbitKing疑似RugPull,攻击者出售大量代币获利约6.1万美元。
No.9
12月11日,BSC链项目WOG疑似RugPull,攻击者出售大量代币获利约17.7万美元。
No.10
12月14日,BSC链项目BTDog疑似RugPull,部署者帐号转移出售大量代币获利约2.6万美元。
No.11
12月15日,BSC链项目FPR疑似RugPull,攻击者获利约3万美元。
No.12
12月18日,BSC链项目CBCLUB疑似RugPull,攻击者出售大量代币获利约15万美元。
No.13
12月20日,BSC链项目LOONG DAO (LD)疑似RugPull,部署者出售大量代币获利约3k美元。
No.14
12月24日,BSC链项目Chain Life (LIFE)疑似RugPull,部署者转移大量代币出售获利约3.8k美元。
No.15
11月28日,BNBChain项目Black Hole King (BHK)发生RugPull,攻击者获利约18.6万美元。
No.16
11月29日,BNBChain项目BTC-POR发生RugPull,合约部署者获利约7万美元。
No.17
11月29日,BNBChain项目Picture (Pit)发生RugPull,合约部署者移除流动性,相关地址获利约8万美元。
1.3 社媒诈骗与钓鱼盘点
No.1
12月1日,TheSmircs项目Discord服务器遭攻击,攻击者发布虚假消息。
No.2
12月1日,BrainlesSpikes项目Discord服务器遭攻击,攻击者发布虚假消息。
No.3
12月1日,SmallBrosNFT项目Discord服务器遭攻击,攻击者发布虚假消息。
No.4
12月5日,ShinnokiNFT项目Discord服务器遭攻击,攻击者发布虚假消息。
No.5
12月8日,CreepyFrendsNFT项目Discord服务器遭攻击,攻击者发布虚假消息。
No.6
12月8日,SUPERNORMAL项目Discord服务器遭攻击,攻击者发布虚假消息。
No.7
12月11日,BotBuddyznft项目Discord服务器遭攻击,攻击者发布虚假消息。
No.8
12月11日,CryptoCannaClub项目Discord服务器遭攻击,攻击者发布虚假消息。
No.9
12月12日,Sui 上的Baby Apes Society项目Discord服务器遭攻击,攻击者发布虚假消息。
No.10
12月13日,Degen Bunnies 项目Discord服务器遭攻击,攻击者发布虚假消息。
No.11
12月13日,Whoopsies Doopsies 项目Discord服务器遭攻击,攻击者发布虚假消息。
No.12
12月14日,ONEMINNFT项目Discord服务器及推特帐号遭攻击,攻击者发布虚假消息。
No.13
12月16日,MekawaiiNFT项目Discord服务器遭攻击,攻击者发布虚假消息。
No.14
12月18日,NeoTokyoCode项目Discord服务器遭攻击,攻击者发布虚假消息。
No.14
12月19日,xHamsterNFTcom项目Discord服务器遭攻击,攻击者发布虚假消息。
No.15
12月20日,SplattrCatGames项目Discord服务器及推特帐号遭攻击,攻击者发布虚假消息。
No.16
12月21日,SCPokerClub项目Discord服务器遭攻击,攻击者发布虚假消息。
No.17
12月21日,DavidDiFranco项目Discord服务器及推特帐号遭攻击,攻击者发布虚假消息。
No.18
12月22日,drivrsnft项目Discord服务器遭攻击,攻击者发布虚假消息。
No.19
12月23日,F1Dog_Official项目Discord服务器遭攻击,攻击者发布虚假消息。
No.20
12月29日,Gummys_io项目Discord服务器遭攻击,攻击者发布虚假消息。
No.21
12月30日,Mutant Hounds NFT项目Twitter帐号遭攻击,攻击者发布虚假消息。
No.22
12月30日,PartisiansNFT项目Discord服务器遭攻击,攻击者发布虚假消息。
No.23
12月31日,KenomiNFT项目Discord服务器遭攻击,攻击者发布虚假消息。
1.4 其他
No.1
12月6日,BSC上项目Option Room (ROOM)疑似私钥泄漏,攻击者获利约22.5万美元。
No.2
12 月 26 日, Web3 多链钱包 BitKeep 疑似出现安全漏洞,多名用户在其官方 Telegarm 群反馈资金被盗。 BitKeep 团队当即表示正在紧急排查原因,如因平台原因导致的资产损失,Bitkeep 安全基金承诺将进行全额赔付。总损失已达800万美元。
No.3
加密交易平台3Commas的API承认遭泄露,自今年10月起便有用户称API被盗,导致价值2200万美元代币被盗。
二、安全总结
2022年12月智能合约相关漏洞大部分与关键私钥泄露及价格操纵有关。本月由于平台方的疏忽导致的钱包安全及API泄露问题也对用户造成了巨大损失。在Web3领域链上及链下安全同样重要,平台方也应该加强安全意识,不仅仅是私钥的安全,相关关键服务也应保证安全。保证对用户负责,增强安全意识,避免关键信息泄露造成资产损失。另外,本月RugPull及社媒诈骗钓鱼项目依旧层出不穷,用户参与相关项目时,需要保持警惕,多方验证项目质量,远离可疑项目。