概覽
據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io) 統計,2023 年8 月14 日至8 月20 日,共發生安全事件10 起,總損失約1996.3 萬美元。
具體事件
MEV Bot
2023 年8 月14 日,Hexagate 發推表示,過去幾天單個MEV Bot 被利用了約20 萬美元,包括BNBChain、Ethereum、Polygon 和Arbitrum。
Zunami Protocol
2023 年8 月14 日,以太坊上Zunami Protocol 協議遭遇價格操縱攻擊,損失1,179 個ETH(約220 萬美元)。事件發生的原因是漏洞合約中LP 價格計算依賴了合約自身的CRV 餘額,和CRV 在wETH/CRV 池中的兌換比例。攻擊者通過向合約中轉入CRV 並操控wETH/CRV 池子的兌換比例,從而操控了LP 價格。據MistTrack 分析,目前ETH 都已轉入Tornado Cash。
值得一提的是,此前我們的系統掃到了該漏洞,我們也善意提醒其出現漏洞,但項目方沒有重視,等到事件發生了已為時已晚。
Metis
2023 年8 月15 日,以太坊擴容解決方案Metis 官方推特賬號被盜。據官方表示,團隊成員成為了SIM 交換攻擊的受害者,導致惡意行為者能夠接管該帳戶大約30 小時。
SIM 交換攻擊的目的是身份盜竊,攻擊者接管受害者的電話號碼,使他們能夠訪問銀行賬戶、信用卡或加密賬戶。慢霧CISO 在接受Cointelegraph 採訪時表示:“隨著Web3 的普及,吸引更多人進入該行業,由於其技術要求相對較低,SIM 交換攻擊的可能性也隨之增加。此類SIM 交換攻擊在Web2 世界中也很普遍,因此看到它在Web3 環境中出現也不足為奇。”
(https://cointelegraph.com/news/crypto-sim-swap-how-easy-is-sim-swap-crypto-hack)
由於SIM 交換攻擊對黑客的技術技能要求不高,因此用戶必須注意自己的身份安全,以防止此類黑客攻擊。針對SIM 交換黑客攻擊,我們建議使用多因素身份驗證、增強帳戶驗證(如附加密碼)或為SIM 卡或手機帳戶建立安全的PIN 或密碼。
Sei Network
2023 年8 月 15 日,Sei Network 官方Discord 服務器遭入侵。
RocketSwap
2023 年8 月15 日,Base 生態項目RocketSwap 遭遇攻擊,攻擊者竊取了RCKT 代幣,將其轉換為價值約86.8 萬美元的ETH 並跨鏈到以太坊,然後黑客創建了一個名為LoveRCKT 的memecoin ,目的可能是想利用盜來的資產操縱市場情緒以謀取個人利益。
這一事件也引發了人們對RocketSwap 的質疑,尤其是部署流程和私鑰存儲。然而,該團隊否認內部參與,並將此次行為歸因於第三方黑客。 RocketSwap 表示:“團隊在部署Launchpad 時需要使用離線簽名並將私鑰放在服務器上。目前檢測到服務器被暴力破解,且由於農場合約使用代理合約,存在多個高危權限導致農場資產轉移。”
SwirlLend
2023 年8 月16 日,借貸協議SwirlLend 團隊從Base 盜取了約290 萬美元的加密貨幣,從Linea 盜取了價值170 萬美元的加密貨幣,被盜資金均被跨鏈到以太坊。截至目前,部署者已將 254.2 ETH 轉移到Tornado Cash。 SwirlLend 官方Twitter 和Telegram 帳戶已經註銷,其官方網站也無法訪問。據MistTrack 分析,部署者使用了SwftSwap、XY Finance、Orbiter Finance 等,同時,發現瞭如下IP:50.*.*.106、50.*.*.58、50.*.*.42。
Made by Apes
2023 年8 月16 日,鏈上分析師ZachXBT 發推稱,BAYC 推出的鏈上許可申請平台Made by Apes 的SaaSy Labs APl 存在一個問題,允許訪問MBA 申請的個人詳細信息。該問題在披露前已向Yuga Labs 反饋,現已修復。 Yuga Labs 回應稱,目前不確定是否存在數據濫用的情況,正在聯繫任何可能暴露信息的人,並將為任何可能需要的用戶提供欺詐和身份保護。
(https://twitter.com/zachxbt/status/1691514780119343104)
Exactly Protocol
2023 年8 月18 日,DeFi 借貸協議Exactly Protocol 遭受攻擊,損失超7,160 枚ETH(約1204 萬美元)。兩個合約攻擊者通過多次調用函數kick() 進行攻擊,並使用以太坊上的開發者合約將存款轉移到Optimism,最終將被盜資金轉回以太坊。據了解,Exactly Protocol 被攻擊的根本原因是insufficient_check,攻擊者通過直接傳遞未經驗證的虛假市場地址,並將_msgSender 更改為受害者地址,從而繞過DebtManager 合約槓桿函數中的許可檢查。然後,在不受信任的外部調用中,攻擊者重新進入DebtManager 合約中的crossDeleverage 函數,並從_msgSender 種盜取抵押品。 Exactly Protocol 在推特發文稱,協議已解除暫停,用戶可以執行所有操作,沒有發生任何清算。黑客攻擊只影響到使用外圍合約(DebtManager)的用戶,協議仍在正常運行。
Harbor Protocol
2023 年8 月19 日,Cosmos 生態跨鏈穩定幣協議Harbor Protocol 發推表示,Harbor Protocol 被利用,導致stable-mint、stOSMO、LUNA 和WMATIC 金庫中的部分資金被耗盡。從目前收集到的信息來看,攻擊者使用以下地址執行所有操作:comdex1sma0ntw7fq3fpux8suxkm9h8y642fuqt0ujwt5。據悉,Harbor Protocol 在攻擊中損失了42,261 枚LUNA、1,533 枚CMDX、1,571 枚stOSMO 和18,600 萬億枚WMATIC。
Thales
2023 年8 月20 日,衍生品市場Thales 發佈公告稱,一名核心貢獻者的個人電腦/Metamask 遭到黑客攻擊,一些充當臨時部署者(2.5 萬美元)或管理員機器人(1 萬美元)的熱錢包已被攻破。請勿與BNB Chain 上任何Thalesmarket 合約交互,並撤銷任何待批准的合約。 Optimism、Arbitrum、Polygon 和Base 上的所有資金安全。 Thales 表示,由於這次攻擊將正式放棄對BSC 的支持。
總結
本周有兩起事件是由私鑰洩露造成的損失。過往因項目方私鑰管理不當而導致損失的事件也很常見,比如損失超6.1 億美元的 Ronin Network 事件、損失超1 億美元的 Harmony 事件、損失超 1.6 億美元的 Wintermute 事件。私鑰被盜的原由有許多種,針對項目方的私鑰安全主要有三方面:私鑰破解、社會工程學攻擊、生態安全。由於私鑰的重要性,提高安全存儲等級(如硬件加密芯片保護)、去除單點風險等都是防範攻擊的重要手段。私鑰/助記詞的備份上也可以考慮降低單點風險,並且使用一些安全的備份方式、介質或流程等,具體可參考慢霧出品的加密資產安全解決方案:https://github.com /slowmist/cryptocurrency-security。
