一、基本信息

2023 年 1 月安全事件共造成约 1438 万美元损失，相比上个月的安全事件损失金额大幅度下降。其中多链项目 LendHub 被攻击，损失高达 600 万美元，为本月资金损失最大的安全事件。本月 RugPull 数量基本与上月持平。社媒诈骗等事件依然频发，Twitter 与 Discord 的攻击诈骗成为重灾区。

1.1 REKT 盘点

No.11 月 3 日，BSC 链 GDS chain 项目遭闪电贷攻击，造成约 187,000 美元的损失。攻击者通过使用闪贷转移大量代币来操纵流动性池挖矿机制，添加流动性后将 lptoken 转移给其它地址，循环使用同一份代币，从而导致接收方地址获得额外的 GDS 代币。攻击交易：https://www.oklink.com/zh-cn/bsc/tx/0x2bb704e0d158594f7373ec6e53dc9da6c6639f269207da8dab883fc3b5bf6694合约地址：https://www.oklink.com/zh-cn/bsc/address/0xc1bb12560468fb255a8e8431bdf883cc4cb3d278攻击合约：https://www.oklink.com/zh-cn/bsc/address/0x0b995c08abddc0442bee87d3a7c96b227f8e7268攻击账号：https://www.oklink.com/zh-cn/bsc/address/0xcf2362b46669e04b16d0780cf9b6e61c82de36a7

No.21 月 10 日，BRA 项目的代币价格暴跌 96%，攻击者利用合约机制窃取了大约 819 枚 WBNB（约 22.3 万美元）。此次攻击的原因是 BRA 代币在转移过程中如果发送方或接收方为 pair 合约，则会产生奖励。攻击者直接转移部分 BRA 代币给 pair 合约，并调用 pair 的 skim 函数设置本 pair 为接收地址，BRA 又重新回到 pair，导致经过一次 skim，pair 的 BRA 代币就会增加（奖励部分），多次 skim 后，pair 中已经存在大量 BRA 代币。最后，攻击者调用 swap 方法，将增发的 BRA 换成 USDT，最后将 USDT 换成 WBNB，归还闪电贷。

攻击交易：https://www.oklink.com/zh-cn/bsc/tx/0x6759db55a4edec4f6bedb5691fc42cf024be3a1a534ddcc7edd471ef205d4047攻击者地址：https://www.oklink.com/zh-cn/bsc/address/0x67a909f2953fb1138bea4b60894b51291d2d0795攻击合约地址：https://www.oklink.com/zh-cn/bsc/address/0x1FAe46B350C4A5F5C397Dbf25Ad042D3b9a5cb07

No.31 月 12 日，BSC 链上的 UF Dao 项目由于参数设置不正确受到攻击，造成 9 万美元损失。攻击者使用 USDC 以 1:1 的价格购买了公开发售的\(UFT 代币，销毁这些 \)UFT 代币并以约 94.5% 的份额从 UF Dao 赎回 $USDC。不断重复以上步骤直到掏空 UF Dao 的 USDC。

攻击交易：https://www.oklink.com/zh-cn/bsc/tx/0x933d19d7d822e84e34ca47ac733226367fbee0d9c0c89d88d431c4f99629d77a攻击者：https://www.oklink.com/zh-cn/bsc/address/0xc578d755cd56255d3ff6e92e1b6371ba945e3984攻击合约：https://www.oklink.com/zh-cn/bsc/address/0x1bbed50a248cfd2ce498e2219c92f86ad657e7ac

No.41 月 12 日，ETH 链上的 ROE Finance 项目受到了闪电贷攻击，攻击者通过价格操控的方式获利 8 万美元。攻击者首先从 Balancer 中闪电贷出 5673090 USDC，然后将其 deposit 到池子中，随后进行了 49 次 borrow 和 deposit 对价格进行操纵，最后套利离场。攻击交易：https://www.oklink.com/zh-cn/eth/tx/0x927b784148b60d5233e57287671cdf67d38e3e69e5b6d0ecacc7c1aeaa98985b被攻击合约：https://www.oklink.com/zh-cn/eth/address/0x574ff39184dee9e46f6c3229b95e0e0938e398d0

No.51 月 12 日，BSC 链上的 ThreeBody 项目受到了闪电贷攻击，被盗资金总额约为 3 千美元。攻击者闪电贷借出大量的 USDT 往池子里添加流动性。随后重复调用 skim 方法将转帐来增发的千分之五 Three-Body 代币发送到 Lp 合约，使得 Three-Body 代币代币的数量不断增加。然后多次转帐（大于 0.1 USDT）并且调用 addLiquidity 方法，将 Lp 合约中的 Three-Body 代币掏空。最后卖出 Three-Body 代币，归还闪电贷。被攻击合约：https://www.oklink.com/zh-cn/bsc/address/0x24c78E5ddf7576F6e0bC6BE9C4Db0FB043E34624

No.61 月 12 日，多链项目 LendHub 被攻击，损失高达 600 万美元。攻击者利用了旧版本的 IBSV cToken 和新版本之间的差异，前者尽管不再使用，但并未从协议中移除，即新旧 IBSV 代币同时存在于市场上。它们的价格都来自新的 IBSV。攻击者通过存入 HBSV 代币获得旧 IBSV 代币，从新市场借入资产，然后在旧市场赎回 HBSV。

攻击者地址：https://www.oklink.com/zh-cn/eth/address/0x9d0163e76bbcf776001e639d65f573949a53ab03

No.71 月 16 日，Polygon 链项目 Midas Capital 遭到攻击。攻击者利用重入漏洞的方式获利约 66 万美元。攻击者通过重入攻击使得合约在进行价格计算时多次使用一个未及时更新的变量，从而计算出错误的价格，最终导致攻击者能够借出超额资产导致获利。攻击交易：https://www.oklink.com/zh-cn/polygon/tx/0x0053490215baf541362fc78be0de98e3147f40223238d5b12512b3e26c0a2c2f攻击者地址：https://www.oklink.com/zh-cn/polygon/address/0x1863b74778cf5e1c9c482a1cdc2351362bd08611攻击合约：https://www.oklink.com/zh-cn/polygon/address/0x757e9f49acfab73c25b20d168603d54a66c723a1

No.81 月 16 日，BSC 链上的 520 项目遭受闪电贷攻击，黑客获利约 1.6 万美元。攻击者首先使用闪电贷获得大量 BUSD，用 BUSD 换取\(520 代币，然后调用 procback() 函数把 LP 地址的\)520 代币销毁。这使得 \(520 代币的价格被提高。最后攻击者将 \)520 代币换回 BUSD 获利。攻击交易：https://www.oklink.com/zh-cn/bsc/tx/0xccb8c1cfef6de8a71d95886fe49914ca73689f9864286941960b4c23a5d542c6攻击者地址：https://www.oklink.com/zh-cn/bsc/address/0x286e09932b8d096cba3423d12965042736b8f850攻击合约：https://www.oklink.com/zh-cn/bsc/address/0x2965299f73ec1d0761f4559fdb2967256ebc2817

No.91 月 17 日，BSC 链上的 omniestategroup 项目遭受攻击，黑客获利 236BNB（约 70800 美元）。导致本次攻击的原因是函数对输入参数检查缺失，使得攻击者可以投资 1 wei 并提取奖励代币。

攻击交易：

1. invest：https://www.oklink.com/zh-cn/bsc/tx/0x49bed801b9a9432728b1939951acaa8f2e874453d39c7d881a62c2c157aa7613

2. withdraw：https://www.oklink.com/zh-cn/bsc/tx/0xa916674fb8203fac6d78f5f9afc604be468a514aa61ea36c6d6ef26ecfbd0e97攻击者地址：https://www.oklink.com/zh-cn/bsc/address/0x9bbd94506398a1459f0cd3b2638512627390255e

No.101 月 18 日，ETH 链上的 UpSwing Finance(UPStkn) 项目遭受闪电贷攻击，黑客获利约 3.55 万美元。该项目从 2020 年 10 月以来处于非活跃状态。UPStkn 代币的 transfer 函数中，如果代币的接收方是 pair 合约，则会进行代币积累。而当满足某些条件时，UPStkn 代币会销毁 pair 合约中的 $UPStkn 数量，影响池价格并允许黑客从中获利。攻击交易：https://www.oklink.com/zh-cn/eth/tx/0xd099a41830b964e93415e9a8607cd92567e40d3eeb491d52f3b66eee6b0357eb攻击者地址：https://www.oklink.com/zh-cn/eth/address/0x8a2d94ea342cbdd6d57db614b24f20cae286cac6攻击合约地址：https://www.oklink.com/zh-cn/eth/address/0x22898dc59145eae79471dd1f06b7e542e0982d30被攻击合约：https://www.oklink.com/zh-cn/eth/address/0xffee5ecde135a7b10a0ac0e6e617798e6ad3d0d6

No.111 月 26 日，ETH 链上的 Blues Clues Inu 项目遭到攻击，攻击者获利约 1.1 万美元。攻击者通过利用内部 _transfer() 函数中的燃烧机制进行攻击。攻击者地址：https://www.oklink.com/zh-cn/eth/address/0xceEd34f03A3e607CC04C2d0441C7386b190D7CF4攻击合约：https://www.oklink.com/zh-cn/eth/address/0x69f0EdC352eCffC4EF49516c9b20eA88B3E947cb被攻击合约：https://www.oklink.com/zh-cn/eth/address/0x3c37b74e10b18f58c1bc1ca6b35326eae4a2e6e9

No.121 月 28 日，BSC 链 phyProxy 合约遭受漏洞攻击，黑客通过参数注入的方式获利约 1200 美元。攻击发生的原因是 delegateCallSwap 函数没有对输入参数进行校验就送入 delegatecall 中进行调用，从而导致了资产损失。攻击者首先在 Pancakeswap 上创建了一个 BUSD/FakeToken 交易对，然后通过参数注入攻击使得 phyProxy 合约用 BUSD 购买 FakeToken，最后攻击者移除流动性获利。攻击交易：https://www.oklink.com/zh-cn/bsc/tx/0x4fa408240472eba59140da0a11a6e1ab9d947a58ee96bc3a24af7952abd737eb攻击者地址：https://www.oklink.com/zh-cn/bsc/address/0x80d98aa244e95172c682b6711b91427944e495e7攻击合约：https://www.oklink.com/zh-cn/bsc/address/0xd329e7c51546c6cb7533436d96028af90d9d1658被攻击合约：https://www.oklink.com/zh-cn/bsc/address/0x66be80c796cba0844dace3e291632bfd397bd7a0

No.131 月 30 日，BSC 链 $BEVO 合约遭受漏洞攻击，黑客通过闪电贷的方式获利约 45000 美元。BEVO 为通货紧缩型代币，攻击者通过 deliver() 函数缩小 _rTotal 的值，从而进一步影响到价格函数 getRate() 的返回值。随后攻击者调用 PancakePair.skim() 函数取出多余的代币。最后，攻击者再次调用 deliver() 函数并将 BEVO 换回 WBNB。攻击交易：https://www.oklink.com/zh-cn/bsc/tx/0xb97502d3976322714c828a890857e776f25c79f187a32e2d548dda1c315d2a7d攻击者地址：https://www.oklink.com/zh-cn/bsc/address/0xd3455773c44bf0809e2aeff140e029c632985c50攻击合约：https://www.oklink.com/zh-cn/bsc/address/0xbec576e2e3552f9a1751db6a4f02e224ce216ac1被攻击合约：https://www.oklink.com/zh-cn/bsc/address/0xa6eb184a4b8881c0a4f7f12bbf682fd31de7a633

1.2 RugPull 盘点

No.1

1 月 1 日，BSC 链 Recycle-X (RCX) 项目疑似 RugPull，攻击者移除了 753 枚 BNB（约 18 万美元）的流动性，RCX 币价下跌超过 95%。

合约地址：https://www.oklink.com/zh-cn/bsc/address/0x6fb8889b3c5d79a4c855d4de56ce3b742d8e0eba

No.2

1 月 2 日，虚假的 Pi Network 项目在 Polygon 上发生 Rug pull，攻击者获利 61000 美元，Pi Network 币价下跌 100%。

合约地址：https://www.oklink.com/zh-cn/polygon/address/0x476e85a1461ee597045806cb8795cac4b53d1e88

No.3

1 月 4 日，BSC 链 FUT (FUT) 项目发生 RugPull，涉及金额超过 250 万美元，FUT 币价下跌 99%。

合约地址：https://www.oklink.com/zh-cn/bsc/address/0xae21bfe30aff40a66bc9a950d61c1a6b1c82ad2a

No.4

1 月 4 日，BSC 链 Philcoin (PHL) 项目发生 RugPull，PHL 币价下跌超过 73%，一个 EOA 账户售出属于团队钱包的 PHL 代币约 103000 美元。

合约地址：https://www.oklink.com/zh-cn/bsc/address/0x68dd887d012abdf99d3492621e4d576a3f75019d

No.5

1 月 5 日，BSC 链 SSPF (SSPF) 项目发生 RugPull，个 EOA 账户抛售 SSPF 代币获利约 12.6 万美元，SSPF 币价下跌超过 90%。

合约地址：https://www.oklink.com/zh-cn/bsc/address/0x75B695eE478B8C477D3611737D93A7CeA915aB14

No.6

1 月 6 日，BSC 链 PICCgoo (PICC) 项目发生 RugPull，PICC 币价下跌超过 70%。

合约地址：https://www.oklink.com/zh-cn/eth/address/0x63714C713bF14de1bF1CC9503a8b8Bae8071169A

No.7

1 月 7 日，BSC 链 Sandys ($SDS) 项目发生 Rug pull，攻击者获利 14 万美元，SDS 币价下跌超过 92%。

合约地址：https://www.oklink.com/zh-cn/bsc/address/0x496bAea930CdBd88Bc2d1493A5e53caF522dC369

No.8

1 月 10 日，BSC 链 Mithaverse (MITHA) 项目发生 RugPull，MITHA 币价下跌超过 96%。

合约地址：https://www.oklink.com/zh-cn/bsc/address/0x81717281487cB6E73ebB7130ffAFD8ba177a40C3

No.9

1 月 10 日，BSC 链 Elon Choco Milk (CHOCO) 项目发生 RugPull，CHOCO 币价下跌超过 98%。

合约地址：https://www.oklink.com/zh-cn/bsc/address/0x397681756c1e19AAdEF48F0c61983D8dF2Cce517

No.10

1 月 11 日，BSC 链 LLT (LLT) 项目发生 RugPull，攻击者出售了 281,000 美元的 LLT，LLT 币价下跌超过 95%。

合约地址：https://www.oklink.com/zh-cn/bsc/address/0x8d35F134B9858E88315CAF0F0aBdAAcd814865D5

No.11

1 月 13 日，BSC 链 Unbound-DAO(UBT) 项目发生 RugPull，合约部署者获利约 4560 美元，UBT 币价下跌超过 80%。

合约地址：https://www.oklink.com/zh-cn/bsc/address/0xDb6796727BEDD10B62ACC623BBDD8D21C95Eb99d

No.12

1 月 15 日，BSC 链 ETX Infinity (ETX) 项目发生 RugPull，ETX 项目方解锁了 158m ETX，以约 6.2 万美元的价格出售，导致 ETX 币价下跌超过 91%。

合约地址：https://www.oklink.com/zh-cn/bsc/address/0x7D5b6F2E31B1e50e6a45130f4AdBB8839FAdeb2E

No.13

1 月 16 日，BSC 链 CHINA RABBIT 项目发生 RugPull，以约 8.8 万美元的价格出售，币价下跌超过 95%。

合约地址：https://www.oklink.com/zh-cn/bsc/address/0x5116737A7275c70E9A338D33184c5cd1A5B20630

No.14

1 月 17 日，BSC 链 yieldrobot 项目发生 RugPull，攻击者获利 210 万美元。该项目方通过 Telegram 宣布该项目已被利用，他们需要时间与攻击者交谈，如果 48 小时内协商不成，他们将动用个人资金弥补损失。目前项目 Twitter 已被注销。

合约地址：https://www.oklink.com/zh-cn/bsc/address/0xb8cda6ae6d005d56205b29797add341c85e59608

No.15

1 月 18 日，BSC 链 ETHERPOS 项目发生 RugPull，攻击者获利 6.9 万美元，币价下跌 100%。

合约地址：https://www.oklink.com/zh-cn/bsc/address/0x9754c3D3872AaFd4848C68a80dEe3B807E63b348

No.16

1 月 19 日，BSC 链 First Free Finance 项目发生 RugPull，攻击者获利 104 万美元，币价下跌 98%。

合约地址：https://www.oklink.com/zh-cn/bsc/address/0x9b1188e01b45a283cde53888ed1558fb6f9ae692

No.17

1 月 21 日，doge 链 DoglandsDC 项目发生 RugPull，攻击者获利 20.4 万美元。

合约地址：https://explorer.dogechain.dog/address/0x106E6a2D54332247441c1Cdf4E3e24a0696a46d0

1.3 社媒诈骗与钓鱼盘点

No.1

1 月 2 日，EVERYBODYS 项目 Discord 服务器遭攻击，攻击者发布钓鱼消息。

No.2

1 月 2 日，EdgehogsNFT 项目 Discord 遭攻击，攻击者发布钓鱼消息。

No.3

1 月 3 日，Worlds BeyondNFT 项目 Discord 服务器遭攻击，攻击者发布虚假消息。

No.4

1 月 4 日，DeviantsNFT 项目 Discord 服务器遭受攻击，攻击者发布虚假消息。

No.5

1 月 4 日，Nifty’s NFT 项目 Discord 服务器遭受攻击，攻击者发布虚假消息。

No.6

1 月 5 日，InkworkLabs 项目 Discord 服务器遭受攻击，攻击者发布虚假消息。

No.7

1 月 6 日，Zeus Swap 项目 Discord 服务器遭受攻击，攻击者发布虚假消息。

No.8

1 月 7 日，omnisNFT 项目的 Twitter 遭受盗用，攻击者发布虚假消息。

No.9

1 月 7 日，CyberKongz 项目的 Twitter 和 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.10

1 月 7 日，panksnotdedNFT 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.11

1 月 8 日，MechNFT 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.12

1 月 8 日，yaypegs 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.13

1 月 10 日，ChimpersNFT 项目的 Twitter 遭受盗用，攻击者发布虚假消息。

No.14

1 月 10 日，Tsunami.Finance 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.15

1 月 10 日，TheRoyaLand 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.16

1 月 12 日，WarQube 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.17

1 月 20 日，FreshBoyzClub 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.18

1 月 20 日，Ether Royale 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.19

1 月 21 日，a KID called BEAST 项目的 Twitter 账户遭受盗用，攻击者发布虚假消息。

No.20

1 月 21 日，Nasty Goons 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.21

1 月 22 日，KILLABEARS 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.22

1 月 22 日，Back We Go 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.23

1 月 23 日，CatsYard 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.24

1 月 24 日，F-Bomb NFT 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.25

1 月 25 日，Apin Labs 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.26

1 月 26 日，Degen Royale 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.27

1 月 26 日，Claynosaurz 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.28

1 月 28 日，Azuki 项目的 Twitter 账户遭受盗用，攻击者发布虚假消息。

No.29

1 月 28 日，EtherOrcs 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

二、安全总结

2023 年 1 月损失最大的多链项目 LendHub 安全事件与版本控制有关，建议项目方在合约版本更替时要对旧合约进行暂停或从项目中移除，避免不必要的财产损失。本月中闪电贷造成的价格操控多次出现，建议项目方在项目上线之前寻找可靠的合约审计公司对项目进行审计，确保经济模型在上线以后的平稳运行。本月 RugPull 及社媒诈骗钓鱼项目依旧层出不穷，用户参与相关项目时，需要保持警惕，为了您的资金安全，请不要随意点击可疑链接。