推荐平台 链接 平台介绍
币安网 注册链接 币安是全球领先的区块链生态系统,推出了一系列产品,其中包括最大的加密货币交易平台。我们的使命是在未来成为全球性加密货币基础架构供应商。
欧易OKX 注册链接 欧易是全球著名的数字资产交易平台之一,主要面向全球用户提供比特币、莱特币、以太币等数字资产的币币和衍生品交易服务。
HTX火币 注册链接 火币全球专业站,是火币集团旗下服务于全球专业交易用户的创新数字资产国际站,致力于发现优质的创新数字资产投资机会。

有黑客用一千万“撬动”Solana 生态上亿资金,也有黑客铤而走险,薅起了交易所的羊毛,同时也有一些Web3项目遭遇私钥泄露、闪电贷攻击。

Beosin EagleEye Web3安全预警与监控平台监测显示,截止发稿时,本周共发生8起攻击类相关的安全事件,累计受影响金额约1.2亿美元,和Beosin安全团队一起来盘点一下吧。

黑客超额完成KPI?受影响金额约1.2亿美元 本周Web3安全事件回顾

10月9日 

1. XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍

10月9日,XaveFinance项目遭受黑客攻击,导致RNBW增发了1000倍。本次攻击是攻击者通过调用DaoModule合约的executeProposalWithIndex()函数执行了攻击者的恶意提案,使得意外铸造了100,000,000,000,000个RNBW,并将ownership权限转移给攻击者。最后黑客将其兑换为xRNBW。

2. Jumpnfinance项目发生Rugpull,涉及金额约115万美元

Jumpnfinance项目Rugpull。攻击者调用0xe156合约的0x6b1d9018()函数,提取了该合约中的用户资产,存放在攻击者地址上。目前被盗资金中2100 BNB ($581,700)已转入Tornado.Cash,剩余部分2058 BNB($571,128)还存放在攻击者地址。

黑客超额完成KPI?受影响金额约1.2亿美元 本周Web3安全事件回顾

10月11日 

1. QANplatform跨链桥遭受黑客攻击,疑似项目方私钥泄露,涉及金额约189万美元

本次事件交易的发起地址是一个疑似项目方的地址,攻击者通过该地址调用跨链桥合约中的bridgeWithdraw函数提取QANX代币,然后把QANX代币兑换为相应平台币,目前被盗资金依然存放在攻击者地址上。

黑客超额完成KPI?受影响金额约1.2亿美元 本周Web3安全事件回顾

2. Rabby项目遭受黑客攻击,请用户取消对相应合约的授权

本次事件是因为RabbyRouter的_swap函数存在外部调用漏洞,导致任何人都可以通过调用该函数,将授权到该合约用户的资金转走。目前攻击者已在Ethereum,BSC链,polygon,avax,Fantom,optimistic,Arbitrum发起攻击,请用户取消对相应合约的授权。

3. TempleDAO项目遭受黑客攻击,涉及金额约236万美元

本次事件是因为StaxLPStaking合约中的migrateStake函数缺少权限校验,导致任何人都可以通过调用该函数提取合约中的StaxLP。攻击者攻击成功后,把获得的全部StaxLP代币兑换为了ETH。

黑客超额完成KPI?受影响金额约1.2亿美元 本周Web3安全事件回顾

黑客超额完成KPI?受影响金额约1.2亿美元 本周Web3安全事件回顾

10月12日 

1. Journey of awakening (ATK)项目遭受闪电贷攻击

本次事件攻击者通过闪电贷攻击的方式攻击了ATK项目的策略合约,从合约中获取了大量的ATK代币,之后攻击者把获得的全部ATK代币兑换为约12万美元的BSC-USD。

黑客超额完成KPI?受影响金额约1.2亿美元 本周Web3安全事件回顾

2. Solana 生态去中心化交易平台 Mango遭遇黑客攻击,影响高达 1.16 亿美元。

黑客使用了两个账户,一共1000万USDT起始资金。

第一步,攻击者向Mango市场存入了500万USDC。

第二步,攻击者在MNGO-ERP市场创建了一个4.83亿的PlacePerpOrder2头寸。

第三步,MNGO的价格被操纵,从0.0382美元到0.91美元,通过使用一个单独的账户(账户2)对其头寸进行对手交易。

账户2现在有4.83亿*(0.91-0.03298美元)=4.23亿美元,这使得攻击者可以借出1.16亿美元的资金。

黑客超额完成KPI?受影响金额约1.2亿美元 本周Web3安全事件回顾

10月13日 

1. FTX交易所遭到gas窃取攻击

FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。本次事件攻击者通过FTX热钱包多次少量的提取以太坊,FTX热钱包地址会向攻击合约地址多次转入小额的资金,随后会调用到攻击合约的fallback()函数,通过该函数攻击者向Xen合约发起铸币请求。而Xen合约仅需传入一个时间期限,便可支持无成本铸币,只需支付交易Gas费,但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址,达到攻击的目的。

黑客超额完成KPI?受影响金额约1.2亿美元 本周Web3安全事件回顾

推荐平台 链接 平台介绍
Gate芝麻开门 平台介绍 Gate.io芝麻开门创立于2013年,是全球真实交易量TOP10的加密货币交易平台,向全球数千万用户提供安全可靠、真实透明的数字资产交易服务。
Bitget 注册链接 Bitget的背后是一群区块链技术的早期接受者,也是区块链未来发展的信仰者,一直致力于提供安全、一站式的交易解决方案,帮助用户更聪明地交易。
Bybit 注册链接 Bybit通过数字资产与传统金融的结合,引领数字资产的生态发展。提供一流的流动性,致力于打造业内最安全、公平、高效及人性化的交易服务平台。
派网 注册链接 派网提供多样化的量化交易机器人,用户可依照自身交易需求和策略选择最适合的机器人。 同时派网也提供合约交易与合约网格机器人,给予更方便的合约交易体验。