一、基本信息

2022 年 6 月发生较典型安全事件接近『66』起，本月有多个项目方遭遇黑客攻击，其中 Optimism 的安全事件引起了广泛的关注与讨论。本月 Rug Pull 事件依旧层出不穷，社媒诈骗和钓鱼的攻击事件大幅增加，主要是通过获取项目 Discord 的控制权发布钓鱼链接窃取用户代币。

1.1 REKT盘点

No.1

6 月 2 日，CoFiXProtocol 项目遭受价格操控攻击。攻击者获利约 14 万美元。攻击者先从先闪电贷借出大量 BSC-USD，再用 BSC-USD 兑换出 DCU，然后攻击者通过利用 Router 合约的 swapExactTokensForTokens 没有校验 to 地址是否是 msg.sender 的漏洞，将对 Router 合约有大额授权的 to 地址中的 BSC-USD 经过 BSC-USD -> DCU -> PRC 的兑换路径兑换为 RPC，导致 LP 中 DCU 的价格升高，最后通过前面兑换的 DCU 重新高价兑换成 BSC-USD 从而获利。目前攻击者实施了三次攻击，总计获利约 145,491 BSC-USD（价值 14 万美元），已经兑换为 BUSD 并转移到攻击者的其他地址（0x5443…d7D6）中 。

攻击交易：0x927723660249253399e54c192a5f989ceacf46fbb967ab364d4405155539bec8

被攻击合约：0xde9972fe2567b7eeb3c015d7dcaefa8580877f7d

No.2

6 月 5 日，Elrond 网络遭黑客攻击，被盗 EGLD 价值约 1.13 亿美元。当天有 3 个钱包开始大量抛售 EGLD，通过 Maiar DEX 上的 EGLD/USDC 将大量的 EGLD 兑换为 USDC，然后将 Elrond 网络上的 USDC 交换到以太坊上的 USDC，使得 EGLD 在 38 分钟内价格大跌 92% 。随后 Elrond 团队停止了 Maiar Dex 并对其进行维护，但并没有给出此次安全事件发生的具体细节。

抛售钱包地址

地址 1：erd1cura2qq8skel5fsxrpxyysjkaw6durengtkencrezkw78y6y2zhscf854j

地址 2：erd1yrf9qeuqkcjeh5c4xn628mags7cse4r9ra2p2ggmlgfqq3l3v6pqxfu950

地址 3：erd16syfkds2faezhqa7pn5n8fyjkst70l5qefpmc0r960467snlgycq4ww0rt

No.3

6 月 7 日，Equalizer Finance 遭受闪电贷攻击。此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容，导致闪电贷回调操作向 Vault 提供流动性时能够获得的流动性凭证将多于预期。

No.4

6 月 8 日，Osmosis 上发现了一个严重错误，可能会耗尽所有流动资金池，任何人都可以向任何池添加流动性，并在移除它时获得额外的 50%。Osmosis 自区块高度 4713064 起暂停出块。官方推特表示流动资金池并未“完全耗尽”，开发人员正在修复错误。此次事件造成的损失金额可能在 500 万美元左右。

No.5

6 月 8 日，GYM Network 的 GymSinglePool 合约遭受黑客攻击，黑客获利约 216 万美元。本次攻击主要利用了 depositFromOtherContract 函数仅计入了抵押者的抵押账本，并没有对抵押代币进行转账检查的 bug，并且攻击者可以调用 depositFromOtherContract 函数进行恶意抵押，最后凭空提取 GYM 代币。

攻击交易：0x8432c1c6613995eeea8a3ae2cfeb9577913db6b7b35dbe26a8c56c02066096e6

攻击者地址：0xb2c035eee03b821cbe78644e5da8b8eaa711d2e5

攻击合约 1：0x7cbfd7bccd0a4a377ec6f6e44857efe42c91b6ea

攻击合约 2：0xa796406635272448fa30089cd4d71dadae01c169

攻击合约 3：0xd36Ea4756cf157c1A57BFFC8d3F064a1e0EFBE9f

攻击合约 4：0x8aedf4e03f70d0680b760a63c1b4acb0eb437874

攻击合约 5：0x2cdb504CEFE087e00F13F9283F2FcbbdE7C2A28D

被攻击合约 1：0xA8987285E100A8b557F06A7889F79E0064b359f2

被攻击合约 2：0x0288fba0bf19072d30490a0f3c81cd9b0634258a

No.6

6 月 8 日，ApolloX 项目遭受攻击。由于 ApolloX 签名系统存在缺陷，攻击者利用签名系统缺陷生成了 255 个签名，总共从合约中提取了 53,946,802 $APX（价值约 160 万美元）。目前被盗金额通过跨链已打入以太坊0x9e53地址。ApolloX 代币 APX 在当日 19:00 左右从 0.054 美元快速跌至 0.019 美元，闪跌约 60%。

No.7

6 月 9 日 Optimism 基金会称，分配给加密货币做市商 Wintermute 的 2,000 万枚 OP 代币被盗。

Optimism 基金会为 Wintermute 团队提供 2,000 万 OP 代币用于提供流动性。此过程中 Wintermute 团队向 Optimism 基金会提供了尚未在 Layer2(Optimism) 上部署的 Layer1(eth) 上的收款账户，在 Optimism 基金会向 Layer2 账户打款后，攻击者赶在 Wintermute 团队修复账户之前提前取得了该账户权限，开始抛售账户中的 OP 代币。

所有 Gnosis Safe 保险箱合约均由 Gnosis Safe proxy factory 合约部署，要获得目标地址控制权需要调用 proxy factory 在此地址上部署 proxy 合约。攻击发生前，Layer2(Optimism) 上的 proxy factory 合约尚未部署，攻击者通过重放 Layer1 上 factory 合约的部署交易，在 Layer2 上部署新的 factory 合约。在 Layer2 上通过多次调用 factory 合约的 createProxy 方法部署 proxy 合约，不断累加 factory 合约的 nonce，直到将 proxy 部署到目标地址。在调用 createProxy 部署 proxy 时，将 masterCopy 参数设置为攻击者控制的合约地址，masterCopy 将作为 proxy 的 implementation，至此攻击者得到目标地址的控制权。

攻击合约 1：0xe7145dd6287ae53326347f3a6694fcf2954bcd8a

ProxyFactory：0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b#code

攻击者 EOA 地址 1：0x60B28637879B5a09D21B68040020FFbf7dbA5107

攻击者 EOA 地址 2：0x8bcfe4f1358e50a1db10025d731c8b3b17f04dbb

No.8

6 月 11 日，treasure swap 项目方遭受攻击，由于被攻击合约的 swap 函数中缺少 K 值的校验，攻击者仅使用 0.000000000000000001 WETH 便可将交易池中的 WETH 代币兑光。目前攻击者累计获利 3,945 个 BNB。

攻击交易：0xeca63c6d2086514c2fc0e45a99dd1e501c6044716ea3f9078ebbc32fb971426c

受攻击合约 1：0xe26e436084348edc0d5c7244903dd2cd2c560f88

受攻击合约 2：0x96f6eb307dcb0225474adf7ed3af58d079a65ec9

被盗资金转移合约：0x0FaCB17eFCb6cA6Ff66f272DE6B306DE9fb5931D

No.9

6 月 13 日，BSC 链上的 FSwap 去中心化交易所项目遭到闪电贷攻击，导致损失 1,751 枚 BNB 约 39 万美元。漏洞存在于 FSwapPair 合约的 swap 方法中，在每次交易计算手续费时会将 pair 合约中的储备 token 当作手续费发送给 feeto 地址，这将会导致池子中的代币数量减少，从而引起代币价格上涨，攻击者能够从中套利。

攻击地址：0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc

攻击合约：0x7437e7a923a5b467a197c6fae991f0f0ced9af57

攻击交易：0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe

FSwapPair 合约：0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db

No.10

6 月 16 日，DeFi 协议 Invest Finance 遭到攻击。攻击者利用价格操纵使得 Invest Finance 对于抵押物的价值计算错误，从而借出更多的资产。攻击者获利 53 枚 BTC 和 1 万枚 Tether（约 120 万美元）。

攻击交易：0x958236266991bc3fe3b77feaacea120f172c0708ad01c7a715b255f218f9313c

No.11

6 月 16 日，Inverse Finance 遭受闪电贷攻击，导致了约 1,068.215 ETH（约 126 万美元）的损失。目前 1,000 枚 ETH 已被发送到 Tornado Cash，黑客的钱包内还余 7.5 万美元。被攻击的合约使用 YVCrv3CryptoFeed 作为 Inverse Finance DOLA 借贷池的价格预言机。YVCrv3CryptoFeed 价格预言机返回的价格会根据 Curve USDT-WBTC-WETH 池中不同代币的余额来决定 Yearn 的 Vault 代币价格，因此可被攻击者操纵。

No.12

6 月 20 日，Whale Finance 项目遭受攻击，导致损失约 12,000 美元。原因是 Whale Finance Pair 合约的 K 值校验存在问题。每当用户在进行交换时，K 值校验中传入的参数量级存在问题，造成 K 值校验失效。攻击者先通过闪电贷借一笔 BSC-USD，之后归还闪电贷时 K 值校验参数量级为 10000^4。而 K 值校验时采取的参数校验量级为 10000^2，导致 K 校验失效。

攻击者合约：0xd793ff8d744828c25da7f80123b88dd5c2bf7a50

攻击者合约

1）USDT/BUSD: 0xf95536755732544e41baad22f1c79d1ee529385f

2）USDC/BUSD：0xaa85fc75f2534faa2668ef40c88e1dae841be6ba

攻击交易

1）USDT/BUSD: 0x9f5b02cb1ce2d75ba457a2d152d89b6d3932ff057c03739a0071fb816e0ebab3

2）USDC/BUSD： 0x43ddb5965733ee71c4b29fe685ae76bfc4d121dc606cbdf317fc59d61fec4fcf

被攻击合约

1）USDT/BUSD: 0x8Bfee2cAFF6b5D4Ac9F438F4b1f36FeeB5E76794

2）USDC/BUSD: 0x4000ec3810dfd0a0068b38f64795ae2d521a46f2

No.13

6 月 22 日，PandoraDAO 受到了闪电贷价格操纵攻击，损失了 128,222 美元，被盗资金目前留在黑客的地址。

代币地址：0xe4f1ae07760b985d1a94c6e5fb1589afaf44918c

交易地址：0x1fff2189ef23e3c6dd3d643cbb91ee7ae20686fb6584e6d987f7fc55d98923be

No.14

6 月 24 日，Harmony 遭受恶意攻击，Harmony 的 Horizon 区块链桥上被窃取了 1 亿美元，并通过 11 笔交易提取了存储在桥上的代币（HZ），但 Harmony 的比特币桥在这次攻击中仍然没有受到影响。本次攻击的确切原因尚未披露，可能与验证节点的私钥泄漏有关。据称 Horizon 跨链桥由 5 个多签地址所控制，交易只要获取其中 2 个地址的签名即可成功验证，黑客可能利用了某个服务器漏洞取得了 2 个验证节点的私钥，进而成功窃取了跨链桥中的资金。

攻击者地址：0x0d043128146654c7683fbf30ac98d7b2285ded00

No.15

6 月 25 日，Hare Finance 项目称其国库钱包已被盗用，并未公开本次事件的更多细节。

相关交易

No.16

6 月 26 日，XCarnival 项目遭到攻击，并暂停了部分协议。黑客获利 3,087ETH（约 380 万美元）。攻击者通过使用撤回的质押 NFT 作抵押品，然后利用该抵押品从池中提取资产。XCarnival 官方通告将给予0xb7CB所有者 1500 ETH 赏金。

攻击交易：0x51cbfd46f21afb44da4fa971f220bd28a14530e1d5da5009cfbdfee012e57e35

No.17

6 月 29 日，币安链项目 QUINT 的 QuintConventionalPool 抵押挖矿合约遭受黑客攻击，黑客获利约 13 万美元。造成本次攻击的根本原因是在执行 reStake 函数进行 reward re-Stake 时，LP 代币的奖励金额时间没有更新，导致攻击者可以多次索取已发放的奖励。

攻击者地址 1：0x82f42c1172ff2dab3129045de05cde0ca8c87fca

攻击者地址 2：0xcBd00C9A86f3BfD4441693E0D23F5026A648117F

攻击者地址 3：0xa59D3d8911DbC3Ba7c56A2Bc35c22Cbef759992d

1.2 Rug Pull 盘点

No.1

6 月 1 日，Armadillo Coin 发生 Rug Pull，663.4 枚 BNB 被转移。

合约地址： 0xc71d244f7ad6c869ecbf13cbd9acae31718be4f8

No.2

6 月 2 日，AnonPay 项目发生 Rug Pull，诈骗者已转移 200 枚 BNB。

合约地址： 0x2967Ef0b2BBaa15ACA50028acEBE26e8Ad9Ed4D2

No.3

6 月 2 日，StarMan 项目发生 Rug Pull，诈骗者已转移 640.4 枚 BNB。

合约地址： 0xef20505c8b343d12da174bf9d8495c1ce2670989

No.4

6 月 8 日，BNB Chain 上项目 BabyElon 发生 Rug Pull，代币下跌 98%。诈骗者已将 623 枚 BNB 转入 Tornado Cash。

合约地址：0x292e89d5d5bdab3af2f5838c194c1983f0140b43

No.5

6 月 13 日，ElonMVP 代币发生 Rug Pull，$ElonMVP 代币跌幅达 99%。诈骗者已转移 622 枚 BNB 到 Tornado Cash。

No.6

6 月 16 日，Starlink2 项目发生 Rug Pull，$Starlink2 代币跌幅达 99%。诈骗者已转移 626.1 枚 BNB 到 Tornado Cash。

合约地址：0xeFdcc23477DcBCcaF29F23a642634a8a3408C865

No.7

6 月 20 日，Web3 社交游戏应用 StepUp Games 代币 STP 发生 Rug Pull，代币价格下跌 84%，部署者铸造大量 STP 并卖出。

合约地址：0x9af81028b3af6bfaab171479b91caf010eaaa94f

No.8

6 月 21 日，DHE 项目已被确认为 Rug Pull 项目，DHE 代币价格下跌超过 91%。目前损失总额约为 14.2 万美元。

合约地址：0x11CBC781DadAAD13fc3a361772C80B1C027820AF

No.9

6 月 22 日，LV Metaverse 项目已被确认为 Rug Pull 项目，LVP 代币价格下跌超过 92%。目前损失总额约为 150 万美元。

合约地址：0x5927b72440D8A8b8c6ca5A8be60e88975F9063fc

No.10

6 月 24 日，Pop Angel 项目已被确认为 Rug Pull 项目，PPA 代币价格下跌超过 69%。目前损失总额约为 13.1 万美元。

代币地址：0x4eb60fD72EcE2bB75e150a3Eb9BE11c6643dB429

No.11

6 月 25 日，DMC 项目下跌超过 94%，DMC 创建者在 17 天前铸造了代币，将它们发送到另一个钱包后出售。

代币地址：0x947e47f01bF2f383Ba4F6FCa9cf7419eA8Ea8936

No.12

6 月 24 日，Swello 项目已被确认为 Rug Pull 项目，SWLO 代币价格下跌 100%。目前损失总额约为 13.1 万美元。

代币地址：0xdd6c57f8403aef4bd9282c81c0d1887222e86710

No.13

6 月 29 日，LV Metaverse 项目发生第二次 Rug Pull ，LVP 代币价格下跌超过 98%。损失额约为 5 万美元。

合约地址：0x5927b72440D8A8b8c6ca5A8be60e88975F9063fc

No.14

6 月 29 日，Skate Metaverse Coin 项目发生 Rug Pull，SMC 代币价格下跌 88%。损失额约为 530 BNB。

合约地址：0x6a6585b7c3def7b8b65c4bc670f2f9713846c9d1

No.15

6 月 30 日，DarkLight 项目发生 Rug Pull ，DK 代币价格下跌 100%。损失额约为 611 BNB。

合约地址：0x2d1bec79f2789a454134efaab9c4caa28f3c5828

1.3 社媒诈骗与钓鱼盘点

No.1

6 月 4 日，Bored Ape Yacht Club (BAYC) 和 Otherside 的 Discord 服务器受到网络钓鱼攻击的影响。据称，攻击者偷走了价值超过 145 个以太坊（256,000 美元）的代币。 攻击事件产生的原因为社区管理员的帐户遭到入侵，攻击者通过服务器上的管理员帐户发布钓鱼链接。

No.2

6 月 7 日，NFT 系列 Boss Beauties 的 Discord 疑似被攻击，诈骗者以 42.24ETH（约 74,145 美元）的底价拿走了 69 个 NFT。

No.3

6 月 9 日，NFT 项目 Alpha Kongs Club 的 Discord 遭遇攻击，alphakongsclubnft[.]org 是钓鱼网站，请用户不要与该项目 Discord 发送的任何链接或私信互动。

No.4

6 月 12 日，ParallelNFT 的 Discord 遭受入侵，官方推特发布告示请用户不要点击任何 mint 相关链接。

No.5

6 月 13 日，出现仿冒 end of sartoshi 项目的钓鱼网站 endofsartoshi[.]com ，真正的《end of sartoshi》NFT 已经卖完了。

No.6

6 月 14 日，KnownOrigin 的 Discord 遭受入侵。 出现 knownoriginpass[.]io 的钓鱼网站。官方发布公告提醒用户不要点击任意链接。

No.7

6 月 17 日，Tasties 的 Discord 遭受入侵，攻击者在 Discord 发布钓鱼链接。

No.8

6 月 17 日，TOTEM 的 Discord 遭受入侵，提醒用户不要随意点击不明链接。

No.9

6 月 18 日，OakParadiseNFT 的 Discord 服务器已被入侵，并发布了网络钓鱼链接。

No.10

6 月 18 日，DuppiesNFT 的 Twitter 帐户和 Discord 服务器已被入侵，攻击者在两个平台上发布了网络钓鱼链接。

No.11

6 月 19 日，goodskellas 项目的 Discord 服务器已被入侵，攻击者在其中发布了网络钓鱼链接。

No.12

6 月 19 日，Clyde 项目的 Discord 服务器已被入侵，攻击者在其中发布了网络钓鱼链接。

No.13

6 月 21 日，ChiefToad 项目的 Discord 服务器已被入侵。

No.14

6 月 21 日，Neo Hunters 项目的 Discord 服务器已被入侵。

No.15

6 月 23 日，NICE 项目的 Discord 服务器已被入侵，官方推特发文告知用户不要点击任何链接。

No.16

6 月 23 日，Project Doggos NFT 项目的 Discord 服务器已被入侵。

No.17

6 月 25 日，HANGOUT DAO 项目的 Discord 服务器已被入侵，官方推特发文告知用户不要点击任何链接。

No.18

6 月 25 日，Wallstreet Cyborgs 项目的 Discord 服务器已被入侵，他们已经设法重新获得控制权。

No.19

6 月 25 日，Fuck Pass 项目的 Discord 服务器已被入侵。

No.20

6 月 26 日，Ugly Bros 项目的 Discord 服务器已被入侵，攻击者在其中发布了网络钓鱼链接。

No.21

6 月 27 日，Fat Ape Club 项目的 Discord 服务器已被入侵，攻击者在其中发布了网络钓鱼链接。

No.22

6 月 27 日，1BLOCK STUDIO 项目的 Discord 服务器已被入侵，攻击者在其中发布了网络钓鱼链接。

No.23

6 月 28 日，FRENCY BEAR 项目的 Discord 服务器已被入侵，攻击者在其中发布了网络钓鱼链接。

No.24

6 月 29 日，JRNY CLUB 项目的 Twitter 账户被盗，项目组已通过 Discord 公告确认了这一点。

No.25

6 月 29 日，Voltz Labs 项目的 Discord 服务器已被入侵，攻击者在公告频道中发布了钓鱼链接，所有其他频道均已关闭。

No.26

6 月 29 日，SENSHI 项目的 Discord 服务器已被入侵，攻击者在公告频道中发布了网络钓鱼链接，所有权限均已被剥夺。

No.27

6 月 29 日，Blood Bats 项目的 Discord 服务器已被入侵，攻击者在公告频道中发布了网络钓鱼链接。

No.28

6 月 29 日，GENIES 项目的 Discord 服务器已被入侵，攻击者在公告频道中发布了网络钓鱼链接。

No.29

6 月 29 日，Yugen 项目的 Discord 服务器已被入侵，攻击者在公告频道中发布了网络钓鱼链接。

1.4 其他

 No.1

6 月 11 日，Wyvern 2.2 智能合约中一个严重漏洞被发现。该漏洞在被利用前已被消除，历史区块链日志没有提供任何迹象表明该漏洞曾在野外被利用。Wyvern 的订单中一些参数是可变长度的，Wyvern 2.2 合约将它们连接在一起，没有适当的域分离，导致卖家之前签好了一个卖单，签署的原数据可以利用字节偏移，重新解释成意义不同的新订单。

No.2

6 月 24 日，Convex Finance 受到了 DNS 劫持。目前，他们报告说该问题已得到修复，并将进行完整的复盘。此外，他们还为 Convex 用户设置了备用域：http://convexfinance.fi

No.3

6 月 24 日，Ribbon Finance 发推表示遭遇 DNS 攻击，导致 2 名用户批准 Vault 存款的恶意合约，目前 Vault 合约中的所有资金都处于安全状态。Ribbon Finance 的一用户在攻击中损失了 16.5WBTC。

攻击者地址：0xb73261481064f717a63e6f295d917c28385af9aa

No.4

6 月 27 日，Nickydooodles.eth 被骗了 17 个 ETH 及其整个 Doodles NFT 收藏。这个骗局是由于 Nickydooodles.eth 收到了一份文件，在点击它时窃取了全部 NFT 净资产。

No.5

6 月 30 日，据 OpenSea 官方消息，该 NFT 交易市场披露其电子邮件递送供应商 Customer.io 的一名员工滥用其员工访问权限下载了用户电子邮件信息，而且还与未经授权的外部方共享了相关电子邮件地址。

二、安全总结

2022 年 6 月的安全事件涉及闪电贷攻击、流动性问题、Layer 2 以及签名问题等多个方面，建议项目方在项目正式上线前要寻找可靠的安全审计机构对项目进行漏洞审计，以免造成不必要的损失。Rug Pull 事件层出不穷，甚至出现单个项目在一周内发生两次 Rug Pull 的情况，建议用户在参与或投资项目时尽可能选取可靠的项目，避免遭受意外损失。

社媒诈骗与钓鱼攻击事件的发生率整体呈快速上升趋势，项目方应注重 Discord 和 Twitter 等官方账号的密码安全，同时用户应提防官方通告中类似 “free mint” 的活动，避免落入钓鱼诈骗的圈套。同时也存在 DNS 劫持以及邮件信息泄露等方式的安全事件，为项目埋下了安全隐患。