黑客超额完成KPI？受影响金额约1.2亿美元 本周Web3安全事件回顾

有黑客用一千万“撬动”Solana生态上亿资金，也有黑客铤而走险，薅起了交易所的羊毛，同时也有一些Web3项目遭遇私钥泄露、闪电贷攻击。

BeosinEagleEyeWeb3安全预警与监控平台监测显示，截止发稿时，本周共发生8起攻击类相关的安全事件，累计受影响金额约1.2亿美元，和Beosin安全团队一起来盘点一下吧。

10月9日?

1.XaveFinance项目遭受黑客攻击，导致RNBW增发了1000倍

10月9日，XaveFinance项目遭受黑客攻击，导致RNBW增发了1000倍。本次攻击是攻击者通过调用DaoModule合约的executeProposalWithIndex()函数执行了攻击者的恶意提案，使得意外铸造了100,000,000,000,000个RNBW，并将ownership权限转移给攻击者。最后黑客将其兑换为xRNBW。

Polygon生态项目0VIX疑遭黑客攻击，损失约200万美元:4月28日消息，多家安全机构提示称，Polygon生态项目0VIX疑似遭遇黑客攻击，被盗金额约为200万美元，其中包括了60万美元的USDT和145万美元的USDC。[2023/4/28 14:33:38]

2.Jumpnfinance项目发生Rugpull，涉及金额约115万美元

Jumpnfinance项目Rugpull。攻击者调用0xe156合约的0x6b1d9018()函数，提取了该合约中的用户资产，存放在攻击者地址上。目前被盗资金中2100BNB($581,700)已转入Tornado.Cash，剩余部分2058BNB还存放在攻击者地址。

Coinbase阻止付款后 攻击名人推特的黑客发布新比特币地址:今日诸多推特账户被黑客袭击，发布了涉及数字货币局内容，推文内容均要求关注者提供比特币。作为该局的首要目标之一的加密货币公司Coinbase一直在阻止任何试图向子地址付款的尝试，这可能削弱了该局的有效性。者在美国东部时间下午6点后创建了一个新的比特币地址，并从Square的Cash App的Twitter帐户发布了推文。（Fortune）[2020/7/16]

10月11日?

1.QANplatform跨链桥遭受黑客攻击，疑似项目方私钥泄露，涉及金额约189万美元

本次事件交易的发起地址是一个疑似项目方的地址，攻击者通过该地址调用跨链桥合约中的bridgeWithdraw函数提取QANX代币，然后把QANX代币兑换为相应平台币，目前被盗资金依然存放在攻击者地址上。

动态 | 美国新奥尔良市遭勒索软件攻击，黑客要求比特币赎金:金色财经报道，美国路易斯安那州新奥尔良市遭到大规模勒索软件攻击后宣布进入紧急状态。该市的计算机系统目前仍在运行。据悉，黑客使用的勒索软件是Ryuk，会对计算机系统进行加密并要求获得比特币资金。[2019/12/19]

2.Rabby项目遭受黑客攻击，请用户取消对相应合约的授权

本次事件是因为RabbyRouter的_swap函数存在外部调用漏洞,导致任何人都可以通过调用该函数，将授权到该合约用户的资金转走。目前攻击者已在Ethereum，BSC链，polygon，avax，Fantom，optimistic，Arbitrum发起攻击，请用户取消对相应合约的授权。

动态 | 黑客陆续将“搬砖套利”获取的以太坊转移至新地址 共涉及约5560枚以太坊:据CoinHunter监测，昨日开始，黑客陆续将其从火币Global官方套利电报中文群:获取的资金进行转移，细节如下：1、0x931ca95、0xc6bee32、0xfad950e、0x6cf1bbde、0x9e9d79开头的ETH地址将2533枚ETH转移至0x3a6234地址；2、0xbb95a91、0xe256148开头的ETH地址将1128枚ETH转移至0xc580a343地址；3、0xa96923f51、0x2698da9d开头的ETH地址将1900枚ETH转移至0xde36b70地址；以上交易均在10月31日北京时间14:00左右进行转移操作，CoinHunter将持续监控资金进一步流向。CoinHunter提示，这是黑客开始大批转移资金的开始，接下来可能会分批洗入交易所进行套现。[2019/11/1]

3.TempleDAO项目遭受黑客攻击，涉及金额约236万美元

Tether或与Bitstamp受同一黑客攻击:在Tether价值3100万美元的代币被盗几个小时之后，名为“SpeedflyChris”的用户在Reddit上发帖指出：攻击Tether的黑客或与Bitstamp攻击者为同一人。[2017/11/22]

本次事件是因为StaxLPStaking合约中的migrateStake函数缺少权限校验，导致任何人都可以通过调用该函数提取合约中的StaxLP。攻击者攻击成功后，把获得的全部StaxLP代币兑换为了ETH。

10月12日?

1.Journeyofawakening(ATK)项目遭受闪电贷攻击

本次事件攻击者通过闪电贷攻击的方式攻击了ATK项目的策略合约，从合约中获取了大量的ATK代币，之后攻击者把获得的全部ATK代币兑换为约12万美元的BSC-USD。

2.Solana生态去中心化交易平台Mango遭遇黑客攻击，影响高达1.16亿美元。

黑客使用了两个账户，一共1000万USDT起始资金。

第一步，攻击者向Mango市场存入了500万USDC。

第二步，攻击者在MNGO-ERP市场创建了一个4.83亿的PlacePerpOrder2头寸。

第三步，MNGO的价格被操纵，从0.0382美元到0.91美元，通过使用一个单独的账户对其头寸进行对手交易。

账户2现在有4.83亿*(0.91-0.03298美元)=4.23亿美元，这使得攻击者可以借出1.16亿美元的资金。

10月13日?

1.FTX交易所遭到gas窃取攻击

FTX交易所遭到gas窃取攻击，黑客利用FTX支付的gas费用铸造了大量XENTOKEN。本次事件攻击者通过FTX热钱包多次少量的提取以太坊，FTX热钱包地址会向攻击合约地址多次转入小额的资金，随后会调用到攻击合约的fallback()函数，通过该函数攻击者向Xen合约发起铸币请求。而Xen合约仅需传入一个时间期限，便可支持无成本铸币，只需支付交易Gas费，但在此次调用过程中，交易发起者为FTX热钱包地址，所以整个调用过程的gas都是由FTX热钱包地址所支付，而Xen铸币地址为攻击者地址，达到攻击的目的。

标签：ETHSTAFTXTERethbox TokenASTAR价格RINGER Vault (NFTX)terra币能挖吗

USDC热门资讯