链上卫士：2022 年 7 月安全事件盘点

2022-08-02 22:23

欧科云链

2022-08-02 22:23

来源链接

订阅此专栏

收藏此文章

一、基本信息

2022 年 7 月发生较典型安全事件约『60』起；
本月有多个项目方遭到了黑客攻击，其中 Crema Finance 安全事件与 Uniswap 钓鱼事件引起了广泛的关注与讨论；
Premint 钓鱼攻击成了今年 NFT 最大的黑客攻击事件之一；
社媒诈骗和钓鱼的攻击事件依旧层出不穷，Rug Pull 事件与上个月相比大幅增加。

1.1 REKT盘点

No.1

7 月 1 日，Optimism 生态最大 NFT 平台 Quixotic 出现严重漏洞，大量用户资产被盗，原因在于 Quixotic 平台在市场合约的 fillSellOrder 函数中仅对卖单信息进行了检查，并未对买单信息做检查。故攻击者通过自己创建的 NFT 合约，发送大量交易来调用 fillSellOrder 函数生成卖单，将 buyer 参数传为受害者地址、paymentERC20 参数传为需要盗取的代币地址，即可将对该市场合约有授权的用户的代币转走获利。

漏洞合约：0x065e8a87b8f11aed6facf9447abe5e8c5d7502b6

攻击者账户：0x0a0805082ea0fc8bfdcc6218a986efda6704efe5

恶意合约：0xbe81eabdbd437cba43e4c1c330c63022772c2520

首次攻击：0xfdee36012cbeb26d37a857a4bb1937ce0b30379a25198735089c75cfd3ea799a

No.2

7 月 3 日上午 10:00，Solana 链上的集中流动性 DeFi 应用 CremaFinance 因遭黑客闪电贷攻击而宣布停运，该协议官方推特引用链上浏览器 SolanaFM 信息称，损失的加密资产价值为 878.2 万美元。

CremaFinance 披露称，黑客通过创建虚假的价格变动数据账户（Tickaccount）绕过合约检查，然后利用虚假的价格数据和闪电贷窃取了资金池中的巨额费用。

7 月 7 日，CremaFinance 在 Twitter 上称，经过长时间的谈判，CremaFinance 攻击者同意收取 45455 枚 SOL（约 168.2 万美元）作为白帽赏金，并已归还 6,064 枚 ETH 和 23,967.9 枚 SOL（约 810 万美元）。

攻击者地址 1：Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY

攻击者地址 2：0x8021b2962db803b73aa874030b0b42c202e8458f

No.3

7 月 10 日，BIFROST 官方发布报告，称 BiFi 服务的 BTC 地址注册服务器受到攻击。根据分析，此次攻击仅限于 BTC 地址注册服务器，智能合约和 BiFi 协议均未检测到漏洞。BiFi 为每个存入 BTC 的用户使用一个固定地址发行代币。充值地址被签名并交付给地址发布服务器，只有在签名验证的情况下，地址才会反映在 BiFi 上。在攻击中，地址发布服务器的服务器密钥被暴露，攻击者能够自签名自己的存款地址。由于攻击者可以在存款地址上生成有效签名，BiFi 错误地将攻击者的 BTC 转账识别为向 BiFi 的 BTC 存款。结果，攻击者能够以假存款借走 1,852ETH。

攻击者地址 1：0x282971deD7D0B8C5b0358EbEbe3B2bC6A24a6b10

攻击者地址 2：bc1qmgh7w47myz7kt7x34zqlr5azck7u8j8ewg3u2j

No.4

7 月 10 日，去中心化 NFT 金融化协议 OmniX 遭到攻击。此次攻击的主要原因在于 burn 函数会外部调用回调函数来造成重入问题，并且在清算函数中使用的是旧的 vars 的值进行判断，导致了即使重入后再借款，但用户的状态标识被设置为未借款导致无需还款。攻击共造成了 1,300ETH 的损失。

No.5

7 月 11 日，一个 BSC 上的 Staking 挖矿项目被黑客入侵，损失约 110,000 美元。一半被盗资金存入 Tornado Cash，另一半存入地址 0xbfa16fB56B50ac3A69922447BBfC89A59b8B350A，攻击者利用合约中 updateBalance 函数的加法整数溢出漏洞修改攻击账户实际 stake 的数量，最终以极高的 stake 量获得了合约几乎所有资产。

受害合约：0xa792B90067bd73b048AF12bC2a6E1978FE34BBdb

攻击者地址：0xbfa16fB56B50ac3A69922447BBfC89A59b8B350A

No.6

7 月 12 日，多链 NFT 协议 CitizenFinance 声称受到了攻击，攻击者获得了 BNB 和 Polygon 链的私钥访问权限。利用访问权限转移了 244BNB（约 55,000 美元）、57,637MATIC（约 32,300 美元）和 7,000USDC，总计约 94,300 美元。

攻击者地址 1：0xaC3dC7BB5f09871EE2CbF0F9d20911C960F6ac2b

攻击者地址 2：0x083e958DB271a5Ba105C0878a94507fe37F25446

No.7

质押平台 Freeway 发推称，其代币 FWT 价格在 7 月 13 日发生了剧烈波动，目前正在调查当中。Freeway 的区块链桥接服务提供商 Coffe 遭到攻击，大量 FWT 代币从 Coffe 的桥接钱包中移除，随后被出售。Freeway 平台没有受到任何损害，Supercharger 也不受影响。不过，Freeway 暂时禁用了平台上的 FWT 提款、存款和购买服务。

No.8

7 月 14 日，SpaceGodzilla 遭到价格操纵攻击，攻击者利用从 Venus 获得的闪电贷资金 USDT 兑换成 SpaceGodzilla，抬高 SpaceGodzill 价格，之后调用 swapAndLiquifyStepv1() 函数，导致项目合约将 USDT 和 SpaceGodzilla 代币都投入到流动性池中。最后，攻击者用获得的 SpaceGodzilla 代币换取更多的 USDT 获利。损失约为 25,379USDT。

攻击者地址：0x00a62eb08868ec6feb23465f61aa963b89e57e57

攻击交易：0x7f183df11f1a0225b5eb5bb2296b5dc51c0f3570e8cc15f0754de8e6f8b4cca4

No.9

7 月 16 日，ImpermaxFinance 官方发布事件报告称，一名黑客能够从团队控制的几个钱包中窃取大约 900 万个 MIMX。黑客盗取资金后，并没有立即出售 IMX。于是，官方团队决定先在黑客做任何事情之前在市场上倾销大量代币来抢占先机。Impermax 借贷协议完全不受此影响，因为攻击是由被盗的私钥引起的，而不是由智能合约中的错误引起的。

No.10

7 月 24 日，Web3 音乐流媒体服务平台 Audius 社区金库被黑客攻击，损失 1,850 万枚 AUDIO Token。黑客将资金在 Uniswap 兑换为约 705 枚 ETH。Audius 官方表示，目前该问题已被发现并正在进行修复，以太坊上所有 Audius 智能合约都必须停止，包括代币，团队认为没有进一步的资金风险，修复完成之前代币余额、转账等将暂时不可用。共计造成损失约 110 万美元

Audius 治理合约利用 OpenZeppelin 代理可升级性模式，并重写了 AudiusAdminUpgradabilityProxy 合约中的标准实现。允许代理升级到 Audius 的逻辑合约（例如 Staking，Delegation）。

‍在其实现中，AudiusAdminUpgradabilityProxy 使用存储插槽 0 作为 proxyAdmin 的地址，该地址实现了各种检查，以防止未经授权的使用（投票程序，时间延迟，社区运行等）。

由于 OpenZepplin 初始化状态也存储在插槽 0 中，两个地址出现了冲突，攻击者可以重新初始化 Audius 协议并修改治理合约的 Admin 地址，将 Staking 和 ElesteManagerV2 合约的治理地址设置为恶意合约，并滥用 Audius 协议。

攻击者地址：0xa0c7bd318d69424603cbf91e9969870f21b8ab4c

恶意合约：0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569

攻击交易：0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9

No.11

7 月 25 日，代币 LPC 被攻击，代币价格下跌超过 99%，攻击者利用合约漏洞获利 4.5 万美元，由于合约的_transfer 函数中并未基于_balance[]数组的值进行余额变动，而是使用 receiverBalance 中间变量进行计算，导致攻击者操控 receiverBalance 进行异常的余额增加。

攻击交易：0x0e970ed84424d8ea51f6460ce6105ab68441d4450a80bc8d749fdf01e504ed8c

受害代币合约地址：0x1e813fa05739bf145c1f182cb950da7af046778d

No.12

7 月 28 日，算法稳定币协议 Nirvana 遭遇攻击，其稳定币 NIRV 价格从 1 美元一度跌至 0.09 美元，最大跌幅超过 90%；ANA 代币价格从 8.9 美元一度跌至 1.5 美元，跌幅高达 85%。

此次攻击共损失 350 万 USDC；目前黑客已将这笔资金通过虫洞协议跨链至以太坊上，并转换为不被监管的 DAI。

攻击者地址 1：0xB9AE2624Ab08661F010185d72Dd506E199E67C09

攻击者地址 2：76w4SBe2of2wWUsx2FjkkwD29rRznfvEkBa1upSbTAWH

攻击交易：LyUnvdY9KBQiVRFqmSzGUfCuPGqYX1xNHCWLWxWZ4MvgLcNis2Kui6T25Ayai5UzpTAFkSRSgriKb3pM8tAoeR5

1.2 RugPull盘点

No.1

7 月 4 日，Nody 项目发生 RugPull，代币价格下跌 93%。

合约地址：0xfe01c159ECdeE4377aBfc4cD1827089C47B806EA

No.2

7 月 6 日，一个假冒的 ShadeInuToken 项目创建者从流动性池中移除大约 10.1 万美元（424 BNB）的流动性。经过调查，此 ShadeInuToken 被认定是骗局，此项目推出了假的 ShadeInuToken，以最初的 200 BNB 创建了 WBNB/SadeIT 池并为其提供流动性，创建者总共获利约 53,000 美元（224 BNB）。

合约地址：0x2d8f43752731310b249912c2fc2eb72797d99478

No.3

7 月 6 日，BabyDAO 发生 RugPull，代币价格下跌 99.9%，772.7 枚 BNB 被转入 Tornado Cash。

合约地址：0xf2d5d38fa88f9e2be0830351275d0724f96b0f5f

No.4

7 月 7 日，ProjectX 发生 RugPull，代币价格下跌 92%，创建者铸造了 100 万枚 PXT 代币，将其中 50 万代币发送到外部地址变卖，获利 1.9 万美元，项目方 Discord 已被删除。

No.5

7 月 7 日，KleinBottle 发生 RugPull，代币价格下跌超过 83%，初步分析创建者获利约 8.9 万美元。

No.6

7 月 10 日，WitLink 发生 RugPull，推特及 Discord 账户被删除。

No.7

7 月 13 日，CNC 发生 RugPull，代币价格 CNC 价格下跌超过 70%。

合约地址：0xa83359ddef31d751954ab5532cdc069765ffa15b

No.8

7 月 14 日，RETAWATCH 发生 Rugpull。代币 RTW 价格下降了 99.2%。

合约地址：0xdf9427170b3ab5e26039591797b538a82391eac2

创建者变卖后，有 105 BNB 被转移到了：0xd18e87e3d37d291b861193b280085c5f6638322a

和0xc39e6417f10a8d365d59ea2148c15712b2120d75。

No.9

7 月 15 日，ArenaPlay 发生软 RugPull，APC 代币价格下跌 40%，创建者进行了 Pump&Dump，并将 1,200BNB 存入 TornadoCash。

合约地址：0x2AA504586d6CaB3C59Fa629f74c586d78b93A025

No.10

7 月 16 日，代币 ELR 发生 RugPull，代币价格下跌 80%，一个外部地址收到了合约创建者转账的大量 ELR 代币并出售。

合约地址：0xBfAF9012Bcdd97479fbBc4B45650074Ca03bD3A7

No.11

7 月 20 日，RaccoonNetwork 和 FreedomProtocol 发生 RugPull，骗子已经将 IDO 收到的 2000 万枚 BUSD 转移到地址 0xf800f2744FDe6BDA11e80b7DE0954AC3dC469336。

相关地址：0xf800f2744FDe6BDA11e80b7DE0954AC3dC469336

No.12

7 月 20 日，ATM 代币发生 Rugpull，价格下降了 46%，创建者将代币大量卖出，将 1,350BNB 转移到外部地址，并将 1,943.3BNB 转移到 tornado.cash。

合约地址：0xbf8a70bc18d42e3782ee89f72e5e3456d8327cea

No.13

7 月 20 日，GST 代币发生 RugPull，代币价格下降了 90%，共计 607BNB 被转移到了新地址。

合约地址：0xfce07A79058a7817449193be2e5031c96f98f10a

No.14

7 月 20 日，Orchid Dao 发生 RugPull，代币 ORCHID 价格下跌 96.4%，造成了约 5 万美元损失。

合约地址：0x2f1F047162Ef020BC57135ff4c673760D8965cab

No.15

7 月 20 日，Neoteric Finance 发生 RugPull，代币 NTRC 价格下跌超过 91.6%。

合约地址：0x733a90389db7d9c246d064a257e5652f7be36b8a

No.16

7 月 20 日，NumberSwap 发生 RugPull，其代币 SOA 价格下跌超过 96%。

合约地址：0xc7e9d15a2dc34d3a9f532b325396b8bf02f44fb8

No.17

7 月 20 日，Newborn 发生 RugPull，代币 RacKiller 价格下跌超过 70%。

合约地址：0x24426b171ddc9b6e14d95e92c88415b141e4db5a

No.18

7 月 20 日，LoopXnetwork 发生 RugPull，代币 LOOP 价格下跌超过 80%。

合约地址：0x24426b171ddc9b6e14d95e92c88415b141e4db5a

No.19

7 月 21 日，代币 MOC 发生 RugPull，价格下跌 80%，一个外部账户收到了合约创建者为其铸造的大量 MOC 代币后移除了流动性。

合约地址：0xd3095e37ce61ffef076fdafbd56b16f95a225ae5

No.20

7 月 21 日，StrategyXFi 发生 RugPull，合约创建者移除了大量流动性并关闭网站。

合约地址：0xA5365f2E77bCe1cb2D42F5c808012C01b1548d3C

No.21

7 月 21 日，项目 HUT1 与 HUT 发生 RugPull，代币 HUT1 与 HUT 价格一同下跌超过 96%。

合约地址 -HUT1：0xceb03b7cb2a6943e0ff48e21eb5779eea365526c

合约地址 -HUT2：0x11009a76e5457390e58d9672604ac65fa404b849

No.22

7 月 21 日，项目 MetooMovement 发生 RugPull，代币 M2Move 价格下跌超过 71.4%，合约创建者获利 197 BNB。

合约地址：0x62cd76a6c19921fc1672f986965207ece9da3bfb

No.23

7 月 24 日，代币 YYDNS 发生 Rug Pull，代币价格下跌超过 99%，合约创建者利用 MIN() 函数铸造并出售代币获得了 363 BNB，获利 9.4 万美元。

合约地址：0x53B57B8b16c073f73AebEa1fB08074430Bc21c34

No.24

7 月 25 日，DeFi 项目 DRACNetwork 发生 RugPull，代币 TEDDY 价格下跌 99.4%，1 万枚 BNB 和 200 万枚 BUSD 已被缓慢转入 Binance。合约创建者将大量 TEDDY 代币转移到 0xdbe8ef79a1a7b57fbb73048192edf6427e8a5552，然后将 TEDDY 价格拉高后抛售。

合约地址：0x10f6f2b97f3ab29583d9d38babf2994df7220c21

相关地址：0xdbe8ef79a1a7b57fbb73048192edf6427e8a5552

No.25

7 月 25 日，代币 COMR 发生 RugPull，代币 COMR 价格下跌超过 84%。

合约地址：0x219adc84b2ccfadf733d394312c1f3adf3268cc1

No.26

7 月 26 日，代币 SKG 发生 RugPull，价格下跌超过 80%，超过 10 万个 SKG 代币被出售，获利约 7 万美元。

合约地址：https://www.oklink.com/zh-cn/bsc/address/

No.27

7 月 26 日，项目 SuperStepO 发生 RugPull，代币 SGMT 价格下跌了 90%，造成了 603BNB( 约 14.7 万美元 ) 的损失，获利已存入了 TornadoCash。

合约地址：0xcc39f4105261a55457919ab0538d0ce1e0063444

No.28

7 月 27 日，项目 LarpFinance 发生 RugPull，代币 LARP 价格下跌超过 80%，项目方出手了初始化铸造的 LARP 代币，获利 20ETH( 约 2.8 万美元 )。

合约地址：0xb7b186d6301080bcbb977d186200b1c649b28089

No.29

7 月 28 日，项目 CryptosTribe 发生 RugPull，代币 CSTC 被抛售。

合约地址：0x78f1a611cceba2ff17ea53570dbee7d43629e8bc

1.3 社媒诈骗与钓鱼盘点

No.1

7 月 3 日，据福布斯报道，英国陆军的官方推特账户和 YouTube 帐户遭到黑客攻击，并发布了有关加密货币和 NFT 的帖子。其中推特帐户转发了推广 NFT 的帖子，YouTube 帐户则上传了有关 ElonMusk 与加密货币的视频。目前，所有 NFT 和加密内容都已从这两个帐户中删除。

No.2

7 月 6 日，FadeMints 项目 Discord 服务器遭攻击。

No.3

7 月 8 日，NFT 项目 Cryptobilia 的 Discord 服务器遭黑客入侵。

No.4

7 月 11 日，AlphaDogsDiscord 遭黑客入侵。

No.5

7 月 11 日，超过 70,000 个连接到 Uniswap 的地址被空投诱使用户进行危险的代币批准，此批准允许攻击者控制其钱包中的代币。空投将用户链接到一个类似于真实 Uniswap 网站的钓鱼网站。用户被诱骗签署合约，加密货币和 NFT 从钱包中被盗。其中一个钱包损失了价值超过 650 万美元的以太币和比特币，另一个钱包损失了价值约 168 万美元的加密货币，共 818 万美元，在此次网络钓鱼事件中，至少有 7500 个 ETH 被盗。

No.6

7 月 16 日，黑客入侵了著名 NFT 艺术家 DeeKay 的 Twitter 账户。DeeKay 被入侵的 Twitter 帐户的 180,000 名粉丝看到它发布了一个链接，宣布新的空投数量有限，这将他们引导到一个模仿 DeeKay 真实网站的钓鱼网站。一名受害者丢失了 4 个 CoolCatNFT 和 3 个 AzukiNFT，它们有底价分别约为 4ETH（约 5,350 美元）和 12ETH（约 16,200 美元）。被盗的 NFT 总价值约为 150,000 美元。DeeKay 说不确定自己的 Twitter 帐户是如何被盗的，但“猜测是 2FA 在特定时间关闭的原因”。

No.7

7 月 17 日，NFT 访问列表工具 PREMINT 通过官方推特发布预警，因为有用户提醒，该工具的网站被黑客入侵，已经有 NFT 收藏家的藏品被盗。随后，区块链安全公司慢雾确认，PREMINT 网站遭黑客攻击，黑客在网站中通过植入恶意 JS（JavaScript）文件来实施钓鱼攻击，欺骗用户签名 setApprovalForAll 的交易，从而盗窃用户的 NFT 资产。此次攻击总共损失了约 280ETH，金额为 381,818 美元，使其成为今年最大的 NFT 黑客攻击之一。

No.8

7 月 19 日，Tableland 项目方 Discord 相关管理人员权限被盗。据了解，Tableland 成员加入外部 Discord 服务器后，点击了一个名为“Dyno”的机器人的验证步骤，并单击带有恶意 javascript 的书签按钮，然后被提示与书签交互，触发恶意脚本运行。攻击者掌握了管理员账户并在公告频道上发布包含虚假网站的链接，任何点击链接并遵循钱包指令的人都会授予攻击者访问其账户中持有的任何 NFT 的权限。

No.9

7 月 24 日，NFT 项目 Superful_xyz 的 Discord 遭到攻击。

No.10

7 月 25 日，NFT 项目 lonelybeasts 的 Discord 遭到攻击。

No.11

7 月 25 日，NFT 项目 NEN_Studio 的 Discord 遭到攻击。

No.12

7 月 27 日，NFT 项目 IDNTTS 的 Discord 遭到攻击。

No.13

7 月 27 日，NFT 项目 taketadojo 的 Discord 遭到攻击。

No.14

7 月 27 日，NFT 项目 TheAmericans_US 的 Discord 遭到攻击。

No.15

7 月 28 日，NFT 项目 TastyBone 的 Discord 遭到攻击，攻击者在其中发布了钓鱼链接 tastydrop.io。

攻击者地址：0x2a1bF7a077E2C8c20A67A75bDD37cC88F3319054

No.16

7 月 28 日，NFT 项目 Devious_DeadNFT 的 Discord 遭到攻击。

No.17

7 月 28 日，NFT 项目 InfectedMob 的 Discord 遭到攻击。

1.4 其他

No.1

7 月 1 日，Polygon 首席信息安全官 MuditGupta 在推特表示，Polygon 和 Fantom 的两个远程过程调用 (RPC) 接口在周五受到域名系统 (DNS) 劫持攻击的影响。原因是一名黑客劫持 Ankr 的域名系统 (DNS) 窃取用户的种子阶段，Ankr 很快就恢复了错误，并表示没有资金损失

No.2

7 月 24 日，在线游戏 Neopets 表示遇到黑客攻击，目前正在调查客户数据泄露事件，此次 Neopets 黑客攻击或影响用户达 6900 万个，还有一个名为 TarTarX 的黑客以 4 个比特币的价格出售 Neopets 网站的源代码和数据库。Neopets 在近期推出了 NFT，用于其在线虚拟世界游戏。