一些黑客滥用并利用了 Solana 生态系统中的数亿资金,而另一些则利用了交易所的漏洞。同时,一些Web3项目也遭受了私钥泄露和闪贷攻击。
Beosin EagleEye Web3安全监测显示,截至发稿,上周共发生8起Web3安全事件,累计影响约1.2亿美元。
10 月 9 日
1. Xave Finance被黑客攻击,导致RNBW增发1000倍。
10 月 9 日,黑客在 DaoModule 合约 0x8f90 中部署了恶意合约调用 executeProposalWithIndex() 函数来执行提案。提案内容是调用 mint() 函数,创建 100,000,000,000,000 个 RNBW,并将所有权转移给攻击者。最后,黑客用它换取了xRNBW。
2. Jumpn Finance rug pulled,向攻击者地址提取了约115万美元。
攻击者(或团队)调用0xe156合约的0x6b1d9018()函数提取合约中的所有用户资产,存储在攻击者地址中。目前,被盗资金中的 2100 BNB(581,700 美元)已转移至 Tornado.Cash,其余 2058 BNB(571,128 美元)仍存放在攻击者的地址中。
10 月 11 日
1. QAN平台跨链桥通过私钥泄露被利用,损失约189万美元。
黑客首先使用地址(0x68e..)在BSC上发起转账,然后调用跨链桥接合约BridgeQANX中的bridgeWithdraw函数将1444169100个QANX代币转入钱包地址(0xF163...)。还针对 1431880339 个 QANX 代币执行了二次攻击。这两次攻击的调用者地址与跨链桥接合约的创建者相同(0x68e...),因此本次攻击很可能是由于私钥泄露造成的。
2. Rabby Wallet兑换合约被攻击,通过OpenZeppelin地址库直接在外部调用其代币兑换功能。黑客赚取了超过 190,000 美元。
RabbyRouter 的 swap 函数中的这个外部调用漏洞允许任何人只需调用该函数即可轻松授权转移资金。目前,攻击者已经对Rabby运行的多条链发起了攻击,包括以太坊、BSC链、Polygon、Avax、Fantom、Optimistic、Arbitrum等。
3. TempleDAO 遭受了 236 万美元的攻击,约占其锁定总价值 (TVL) 的 4%。
TempleDAO 的 StaxLPStaking 合约中的 migrateStake 函数缺少权限验证。这允许任何人通过调用此函数来提取合约中的 StaxLP。攻击成功后,黑客将获得的StaxLP代币全部兑换成ETH。
10 月 12 日
1.觉醒之旅(ATK)项目遭遇闪贷攻击。
ATK项目的策略合约被闪贷盯上,大量ATK代币被盗取。之后,攻击者将获得的所有ATK代币兑换成BSC-USD,兑换成BNB并发送至Tornado Cash,共计约12万美元。
2. Solana defi 交易平台 Mango Markets 通过对原生 MNGO 代币进行价格操纵而遭到黑客攻击,黑客损失了 1.16 亿美元。
黑客使用了两个账户,初始资金总额为 1000 万美元。
第一步,攻击者将 500 万美元的 USDC 存入 Mango Markets。
在第二步中,攻击者随后在 MNGO-PERP 市场上创建了一个 4.83 亿的 PlacePerpOrder2 头寸。
在第三步中,MNGO 的价格被操纵,从 0.0382 美元到 0.91 美元,通过使用一个单独的账户(账户 2)对其头寸进行反向交易。
账户 2 现在有 4.83 亿美元 * ($0.91 - 0.03298 美元) = 4.23 亿美元,这允许攻击者借出 1.16 亿美元。
10 月 13 日
1. FTX 在一次 gas 盗窃漏洞利用中损失了超过 1 亿个 XEN 和 81 个 ETH。
黑客利用FTX支付的gas费铸造了大量XEN TOKEN。
黑客利用自己的FTX热钱包地址向恶意合约地址(0xCba9...7FD3)转入少量资金,随后利用该合约批量创建子合约。
由于整个攻击过程中创建了很多合约,每次执行子合约时,子合约都会自毁,所以下图为例。
第三步,子合约的 fallback() 函数将向 $XEN 合约发起铸币请求。 claimRank() 函数(下图)传入铸造期限(>= 1 天),只需要支付调用的 gas 费,无需任何其他相关费用。
claimMintRewardAndShare() 函数用于领取,只判断是否达到期限(本例中黑客设置为1天),然后可以无条件提现到任意地址。但是在这个调用过程中,交易发起方是FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址支付的,而$XEN铸币地址就是攻击者的地址。
以上数据来自Beosin EagleEye Web3 Security Monitor
OP_NET seeks to bring Ethereum-like expressibility and creativity to Bitcoin. Master emphasised the need for applications that benefit all Bitcoin holders. He stated that these applications should go beyond NFT speculation.
Cheng Yuan但智能合约到底是什么?为什么所有这些发展都发生在比特币网络之外?比特币是否有可能采用区块链技术的所有这些替代用例?
JinseFinance四大会计师事务所安永(EY)于4月17日发布了一项通过区块链技术管理企业合同的新服务,名为OpsChain Contract Manager(OCM)。
JinseFinance半个多世纪以来,计算机、互联网如何深刻影响人类社会的大规模协作
JinseFinanceThirdweb 发现 Web3 智能合约存在安全漏洞,呼吁立即对 11 月 23 日之前创建的合约采取行动。缓解措施包括锁定合约、拍摄快照和迁移到安全的替代方案。池中的代币持有者应撤回代币,合约构建者必须要求用户撤销批准。Thirdweb 已修复了 11 月 23 日后创建的受影响合约,其他服务的运行未受影响。
Huang BoRebecca Rettig 希望行业更加清晰,并将其视为接近立法者的关键。
TheBlock根据一份新报告,尽管加密行业在去年面临着巨大的阻力,但 Web3 开发活动仍以惊人的速度增长。
decryptdClimate 的 Sid Jha 是 CoinDesk IDEAS 会议的发言人,是一个气候相关数据的去中心化市场。
Coindesk智能合约提供了很多好处,但要弄清楚为什么这些好处只是双刃剑的一方面。
Cointelegraph由于 UST 稳定币周二失去与美元的挂钩,币安暂停了 LUNA 和 UST 的提款。
Cointelegraph