欧科云链链上卫士:2023年3月安全事件盘点

2023年3月,DeFi领域遭遇重大安全事件,总计损失约2亿1千万美元。Euler Finance遭1.97亿美元攻击,成为本月最大损失。黑客攻击、RugPull、社交媒体诈骗频发,涉及Euler Finance、Poolz Finance、safemoon等多个项目。攻击者利用合约漏洞、价格操纵和欺诈手段获利,提醒开发者加强安全措施,投资者需谨慎评估风险。
摘要由CSDN通过智能技术生成

一、基本信息

2023年3月安全事件共造成约2亿1千万美元损失,与上个月相比,本月安全事件数量和损失金额均有显著上升。其中,Euler Finance被黑客攻击,导致1.97亿美元的加密货币被盗,这是今年迄今为止加密货币损失金额最大的一次黑客攻击。不过,攻击者已经向Euler Finance道歉,并承诺将归还剩余资金。此外,RugPull数量和损失金额也出现了显著增长,社交媒体诈骗等事件仍然屡有发生,例如Twitter项目方账户伪造和官方Discord被攻击发布钓鱼链接等事件仍在持续发生。

372a6d6aa71ee22ea184669cf0977d96.jpeg

1.1 REKT盘点

7d2b158ef156a06aa0e195239121a71b.jpeg

No.1

3月1日,Shata Capital 的EFVault合约升级后遭到攻击,损失约 514 万美元,主要原因是合约升级没有考虑到旧版本的数据存储结构,在读取assetDecimal变量时,读取的数据仍然是代理合约槽,即旧版本maxDeposit变量的值,导致攻击者的asserts巨大,黑客将获利资金转入Tornado Cash。

攻击交易:

https://www.oklink.com/cn/eth/tx/0x31565843d565ecab7ab65965d180e45a99d4718fa192c2f2221410f65ea03743

https://www.oklink.com/cn/eth/tx/0x1fe5a53405d00ce2f3e15b214c7486c69cbc5bf165cf9596e86f797f62e81914

EFVault合约地址:https://www.oklink.com/cn/eth/address/0xf491AfE5101b2eE8abC1272FA8E2f85d68828396

攻击者地址:https://www.oklink.com/cn/eth/address/0x8B5A8333eC272c9Bca1E43F4d009E9B2FAd5EFc9

No.2

3月7日,Tender.fi 疑似遭白帽黑客攻击,损失 159 万美元。黑客利用 Tender.fi 配置错误的预言机仅用一个价值 70 美元的 GMX 代币抵押品借入价值 159 万美元的加密资产。3 月 8 日,链上数据显示,攻击Arbitrum生态借贷协议 Tender.fi 的黑客已返还了资金,Tender.fi 团队同意向黑客支付 62 ETH (96,500 美元) 作为赏金。

oracle 地址:

https://www.oklink.com/cn/arbitrum/address/0x614157925d4b6f7396cde6434998bfd04789272d

攻击交易:

https://www.oklink.com/cn/arbitrum/tx/0xc6e90441a684f370f0a1cd845e0d639088df20548a5c2d37f770cc85ea7306f9

No.3

3月13日,Euler Finance项目受到攻击,总损失约为1.97亿美元。造成该攻击的原因主要是 Euler Pool 合约中的donateToReserve存在漏洞。由于该功能缺乏对调用者仓位健康度的检查,用户可以通过自主放弃一部分杠杆存款,使自身仓位失衡,从而使用 Euler 特色的清算规则清算自己的仓位而获利。攻击者回应攻击行为,并声称将归还被盗资金。

攻击交易:

https://www.oklink.com/cn/eth/tx/0xc310a0affe2169d1f6feec1c63dbc7f7c62a887fa48795d327d4d2da2d6b111d

No.4

3月15日,Poolz Finance 在 ETH、BSC 和 Polygon 上的LockedDeal合约遭到攻击,价值约 500,000 美元。攻击者调用存在漏洞的函数“CreateMassPools”,由于合约版本较低,且合约内未做溢出检查,导致攻击者在参数_StartAmount中传入恶意值触发整数溢出漏洞。

ETH攻击交易:https://www.oklink.com/cn/eth/tx/0x118a617bddd1c14810113be81ce336f28cc1ee7a7b538a07184b93e7c51bdc00

BSC攻击交易:

https://www.oklink.com/cn/bsc/tx/0x39718b03ae346dfe0210b1057cf9f0c378d9ab943512264f06249ae14030c5d5

Polygon攻击交易:

https://www.oklink.com/cn/polygon/tx/0x606be0ac0cdba2cf35b77c3ccbbd8450b82e16603157facec482958032558846

No.5

3月16日,BuggFinance受到攻击,项目损失约5000美元,黑客调用0xFea6aA4a9d44137Ac7cA1a288030A4161f686df3合约的0x814b2047方法修改合约的slot为攻击者创建的恶意$XjdgZU代币地址(0x616F26C1394645653C74FEa49029DBf4d8119482),通过构造恶意参数以绕过受害合约 swap 函数中的检查并将 $XjdgZu交换为BUGG ,然后交换为 17 BNB ,完成获利。

攻击交易:https://www.oklink.com/cn/bsc/tx/0x01e8efe7b5d791b0786a23e98dcd1af196863c85d86af2de0f9f3178ffb9903b

受害者合约:https://www.oklink.com/cn/bsc/address/0xFea6aA4a9d44137Ac7cA1a288030A4161f686df3

No.6

3月17日,DefinixOfficial项目受到价格操纵攻击,损失约17,000美元。由于Definix的流动性较低,攻击者首先进行swap去操纵价格,然后调用Rebalance

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值