2022年12月安全事件盘点
一、基本信息
2022年12月安全事件共造成约8327万美元损失,金额数量较上月有所下降。本月RugPull数量基本与上月持平。但临近年底,熊市社媒诈骗等较上个月有所增加,Discord攻击诈骗成为重灾区。另外本月依然有钱包(BitKeep)出现新的安全问题,影响了不少用户。
1.1 REKT盘点
No.1
12月2日,Ankr遭黑客攻击,数万亿aBNBc被铸造,黑客获利约500 万枚 USDC;另有匿名套利者以10BNB成本在借贷平台helio抵押aBNBc获利超1550万美元;
攻击者使用Ankr: Deployer私钥对受害合约进行恶意升级,并增发10万亿枚aBNBc代币进行抛售兑换成 USDC 和 BNB,直至流动性枯竭,价格代币归零。其中少量BNB存入Tornado Cash,USDC 跨链到 Ethereum 兑换为 ETH。
Ankr合约部署者地址:
https://www.oklink.com/zh-cn/bsc/address/0x2ffc59d32a524611bb891cab759112a51f9e33c0
黑客地址:
https://www.oklink.com/zh-cn/bsc/address/0xf3a465c9fa6663ff50794c698f600faa4b05c777
被攻击合约aBNBc:
https://www.oklink.com/zh-cn/bsc/address/0xe85afccdafbe7f2b096f268e31cce3da8da2990a
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33
恶意aBNBc合约:https://www.oklink.com/zh-cn/bsc/address/0xd99955B615EF66F9Ee1430B02538a2eA52b14Ce4
套利者地址:
https://www.oklink.com/zh-cn/bsc/address/0x8d11f5b4d351396ce41813dce5a32962aa48e217
相关链接:
https://www.chaincatcher.com/article/2083891
No.2
12月2日,Avax链上的overnight.fi项目遭到攻击。黑客用950万闪贷操纵Synapse资金池的USDC.e价格下跌,然后铸造USD+,使USDC.e进入池子的价格低于1,从而为攻击者创造利润。攻击者获利约17.5万美元。
攻击交易:
https://www.oklink.com/zh-cn/avax/tx/0xf10807f9a675dd2db9a45e39f37c68a4116006f9a40e97a68c145e3859557809
https://www.oklink.com/zh-cn/avax/tx/0xa068ca421b9460b34b10e1d24107bdc6ef3517f5e9bdd72d7f48c0c44b8ac739
攻击者地址:
https://www.oklink.com/zh-cn/avax/address/0xfe2c4cb637830b3f1cdc626b99f31b1ff4842e2c
攻击合约:
https://www.oklink.com/zh-cn/avax/address/0x7b673ee8ddf78348612132ad4559c5b8185c9331
相关链接:
https://twitter.com/peckshield/status/1598704809690877952
No.3
12月6日,Roast Football(RFB)项目疑似遭到交易回滚攻击。Roast Football 存在一个抽奖机制,用户在购买RFB代币时有一定概率获得10倍的奖励。攻击者利用彩票函数中的弱伪随机数生成漏洞,在中奖时才执行交易,否则回滚。攻击者最终获利12BNB,约3500美元。
攻击交易:
https://www.oklink.com/zh-cn/bsc/tx/0xcc8fdb3c6af8bb9dfd87e913b743a13bbf138a143c27e0f387037887d28e3c7a
攻击者地址:
https://www.oklink.com/zh-cn/bsc/address/0x5f7db41e2196080f397cdcf8dd58e8adfdaf2ade
攻击合约:
https://www.oklink.com/zh-cn/bsc/address/0xd5de2914bc6d2f005228a04289e8d518c710a049
相关链接:
https://twitter.com/BlockSecTeam/status/1599991294947778560
No.4
12 月 6 日,如果用户将 APE 质押在 NFT 池中,一旦出售该 NFT,用户将同时失去质押的 APE 所有权。有套利者从dYdX借入 82 ETH 购买 BAYC #6762,从而获得卖方质押的 6400 枚 APE。套利者将 APE 卖出获得 20 ETH,并以 68 ETH 的价格卖出 BAYC #6762。获利6ETH,价值约7600美元。
攻击交易:
https://www.oklink.com/zh-cn/eth/tx/0x9fd13e2ac69991769c24e1586e37f7700155a031b34a2379578e7856f79b84cc
攻击者地址:
https://www.oklink.com/zh-cn/eth/address/0x1aacc25d571da598a363dec671c9de13fdc4b17d
相关链接:
https://www.theblockbeats.info/flash/117986
https://twitter.com/PeckShieldAlert/status/1599961388298166272
No.5
12月10日,AVAX链项目MU 和 MUG项目代币疑似遭遇闪电贷攻击,攻击者利用LP池中的代币与债券价格的差异套利,共获利约5.7万美元。
攻击者从 MUG-MU 池子闪电贷获取初始代币,在MU- USDC池子中进行兑换。由于闪电贷使池子的价格发生偏差,之后攻击者可以以较低的价格调用mu_bond方法和mu_gold_bond方法铸造出 Mu 代币和Mu gold给自己。从池子中套利并归还闪电贷资金。
合约地址:
https://www.oklink.com/zh-cn/avax/address/0xd036414fa2bcbb802691491e323bff1348c5f4ba
https://www.oklink.com/zh-cn/avax/address/0xF7ed17f0Fb2B7C9D3DDBc9F0679b2e1098993e81
攻击交易:
https://www.oklink.com/zh-cn/avax/tx/0xab39a17cdc200c812ecbb05aead6e6f574712170eafbd73736b053b168555680
攻击者地址:
https://www.oklink.com/zh-cn/avax/address/0xd46b44a0e0b90e0136cf456df633cd15a87de77e
攻击合约:
https://www.oklink.com/zh-cn/avax/address/0xe6c17763ca304d70a3fb334d05b2d29c2bb251e9
被攻击合约:
MuBank:https://www.oklink.com/zh-cn/avax/address/0x4aa679402c6afce1e0f7eb99ca4f09a30ce228ab
MUG-MU Pair:https://www.oklink.com/zh-cn/avax/address/0x67d9aab77beda392b1ed0276e70598bf2a22945d
MU-USDC Pair:https://www.oklink.com/zh-cn/avax/address/0xfacb3892f9a8d55eb50fdeee00f2b3fa8a85ded5
相关链接&
最低0.47元/天 解锁文章
327
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
