一、基本信息
2023年2月安全事件共造成约3796万美元损失,相较于上个月,安全事件数量与损失金额都有显著上升,其中Platypus Finance闪电贷攻击为单次利用损失之最高达850万美元。本月RugPull数量基本与上月持平,损失金额占比显著降低,但社媒诈骗等事件依然高发,Twitter项目方账户伪造与官方Discord被攻击发布钓鱼链接层出不穷。
1.1 REKT盘点
No.1
2月2日,非托管借贷平台BonqDAO和加密基础设施平台AllianceBlock因BonqDAO的智能合约漏洞而被黑客攻击,损失价值约1.2亿美元的代币,攻击者在抛售部分攻击得到的代币后实际获利约200万美元。黑客在抵押10个 TRB 代币后拥有了调用Bonq智能合约中预言机“updatePrice”功能的权限,接着更新了 WALBT 抵押品Tellor的喂价。攻击者将 WALBT 的价格设置为一个极高的值,这使得他可以在更新价格后在同一笔交易中借入几乎不需要抵押品的资产。然后攻击者几乎零抵押从Bonq铸造资产,并将其兑换成其他资产。
攻击交易:https://www.oklink.com/zh-cn/polygon/tx/0x31957ecc43774d19f54d9968e95c69c882468b46860f921668f2c55fadd51b19
BonqDAO合约地址:https://www.oklink.com/zh-cn/polygon/address/0x4248fd3e2c055a02117eb13de4276170003ca295
攻击合约:https://www.oklink.com/zh-cn/polygon/address/0xed596991ac5f1aa1858da66c67f7cfa76e54b5f1
攻击者地址:https://www.oklink.com/zh-cn/polygon/address/0xcacf2d28b2a5309e099f0c6e8c60ec3ddf656642
No.2
2月3日,Orion Protocol遭受重入攻击,在ETH和BSC链上损失超300万美元。此次漏洞原因主要是swapThroughOrionPool函数允许用户提供交换token的路径,而黑客通过构造包含钩子的恶意token,劫持了交换路径,将调用逻辑转移到depositAsset函数,从而0成本增加余额。
BSC攻击交易:https://www.oklink.com/zh-cn/bsc/tx/0xfb153c572e304093023b4f9694ef39135b6ed5b2515453173e81ec02df2e2104
ETH攻击交易:https://www.oklink.com/zh-cn/eth/tx/0xa6f63fcb6bec8818864d96a5b1bb19e8bd85ee37b2cc916412e720988440b2aa
BSC攻击者地址:https://www.oklink.com/zh-cn/bsc/address/0x837962b686fd5a407fb4e5f92e8be86a230484bd
ETH攻击者地址https://www.oklink.com/zh-cn/eth/address/0x837962b686fd5a407fb4e5f92e8be86a230484bd
BSC攻击合约地址(已自毁):https://www.oklink.com/zh-cn/bsc/address/0x84452042cb7be650be4eb641025ac3c8a0079b67
ETH攻击合约地址(已自毁):https://www.oklink.com/zh-cn/eth/address/0x5061f7e6dfc1a867d945d0ec39ea2a33f772380a
No.3
2月4日,Arbitrum上的收益自动化协议SperaxUSD遭受攻击,损失约30万美元。造成黑客攻击的根本原因在合约存在将帐户从rebasing-based迁移到non-rebasing时,过早的修改账户类型导致提前使用non-rebasing机制计算余额。
攻击交易:
https://www.oklink.com/zh-cn/arbitrum/tx/0xe74641b4b7e9c9eb7ab46082f322efbc510b8d39af609d934f41c41d7057fe49
https://www.oklink.com/zh-cn/arbitrum/tx/0xfaf84cabc3e1b0cf1ff1738dace1b2810f42d98baeea17b146ae032f0bdf82d5
攻击者:
https://www.oklink.com/zh-cn/arbitrum/address/0x5c978dF5F8AF72298fe1c2C8C2C05476a10F2539
https://www.oklink.com/zh-cn/arbitrum/address/0x4AfcD19bB978Eaf4F993814298504eD285df1181
No.4
2月7日,BSC链上的TWT项目遭受攻击,黑客获利13.73万美元。导致本次攻击的原因是claimReward()函数存在缺陷,黑客转移代币到奖励合约就能获得超额奖励。
合约地址