Web3 安全事件一周盘点。
作者:慢雾安全团队,慢雾科技
概览
据慢雾区块链被黑档案库 (https://hacked.slowmist.io) 统计,2023 年 8 月 7 日至 8 月 13 日,共发生安全事件 7 起,包括 Cypher、Steadefi、STA、Blockchain Capital、Earning.Farm、部分 MPC 钱包和 Fetch.ai,总损失约 1.22 亿美元,其中 STA 骗局就导致 1.2 亿美元的损失。
具体事件
Cypher
2023 年 8 月 7 日,基于 Solana 的去中心化交易所 Cypher 推特发文称遭到攻击。攻击者利用涉及隔离保证金子账户机制的错误攻击了 Cypher 的主合约,使其最终提取的资金多于最初存入的资金,导致系统出现坏账。攻击者窃取了 15,452 SOL、149,205 USDC 及其他代币,损失超 100 万美元。8 月 8 日,Cypher 与攻击者进行谈判,攻击者无回应;8 月 12 日,Cypher 发布黑客悬赏计划。
Steadefi
2023 年 8 月 8 日,自动收益杠杆化策略平台 Steadefi 在推特上表示:“我们的协议部署者钱包(也是协议中所有金库的所有者)已被泄露。攻击者已将所有金库(借贷和策略)的所有权转移到他们控制的钱包中,并继续采取各种仅限所有者的操作,例如允许任何钱包能够从借贷金库借入任何可用资金。” 据 MistTrack 分析,Steadefi 在此次事件中损失约 110 万美元,攻击者将 Arbitrum 和 Avalanche 上的获利资产兑换为 ETH 并跨链到以太坊,截止目前,黑客已将 400 ETH 转入了 Tornado Cash。8 月 8 日,Steadefi 团队成功地从剩余金库中恢复了约 54 万美元的用户资金。
STA
2023 年 8 月 8 日,印度奥里萨邦法律当局成功破获了价值 1.2 亿美元(100 亿卢比)的加密货币庞氏骗局。这起欺诈行动的两名核心人物已被逮捕。涉案项目名为 The Solar Techno Alliance(STA),利用绿色能源和太阳能技术等术语。调查发现,STA 在线上成员的协助下,在短时间内利用各种说服策略以及利润承诺来吸引人们参与该计划,仅在奥里萨邦的参与者达 1 万多人。调查显示,STA 没有获得印度储备银行、印度央行或其他监管机构的授权来积累存款。
Blockchain Capital
2023 年 8 月 9 日,加密风投机构 Blockchain Capital 的推特账号被盗,并发布多条推文宣传代币申领骗局。目前相关诈骗推文已删除,该推特账号现已恢复。钓鱼网站 (blockchainncapital) 在 URL 中包含一个额外的 “n”,以模仿原始网站 (blockchaincapital),诱骗用户签署恶意交易,从而耗尽资金。同时,诈骗者关闭了评论区,试图防止其他人对该骗局发出警告。
除了这种增加一个字母的钓鱼行为,还有一些更具迷惑性的钓鱼如下图所示:
字母 “ẹ” 与字母 “e” 的区别非常隐蔽,这是一种利用了 Punycode 的钓鱼方式,这种域名看上去很相似的钓鱼就可以让许多人上当,用户在点击链接的时候应该仔细核对,避免资产损失。
Earning.Farm
2023 年 8 月 9 日,DeFi 项目 Earning.Farm 遭到重入攻击,损失 286 枚 ETH(约合 53 万美元)。据慢雾分析,攻击者在取款时重入 LP 的 transfer 函数转移走 LP 代币,使得账户的余额小于先前计算的 shares 值,触发更新 shares 值的逻辑,导致被操控后的 LP 数量更新到所要燃烧的 shares 值上,这导致了最后燃烧的 LP 数量远小于预期,用户将转移走的 LP 再次进行取款可以额外取出池子中的资金。
据 MistTrack 分析,攻击者曾于 7 月 31 日从 Tornado Cash 提款 10 ETH,提款成功 3 分钟后,又将 5 ETH 分 5 次重新 deposit 到 Tornado Cash。截止目前,黑客已将 292.64 ETH 转移到一个新的 EOA 地址 (0x21d…173) 暂未转出。
部分 MPC 钱包
2023 年 8 月 10 日,加密基础设施公司 Fireblocks 披露了一系列漏洞(统称为 “BitForge”),影响各种使用多方计算 (MPC) 技术的流行加密钱包。该公司将 BitForge 归类为 “0 day” 漏洞,Coinbase、ZenGo 和 Binance(受 BitForge 影响最大的三家公司)已经与 Fireblocks 合作,以修复潜在漏洞。如果不加以补救,这些漏洞将使攻击者和恶意内部人员在几秒钟内从数百万零售和机构客户的钱包中抽走资金,而用户或供应商对此一无所知。8 月 10 日,Binance 创始人 CZ 发推称:“Fireblocks 发现影响 MPC 钱包的一系列新漏洞曾存在于 Binance 开源的 TSS 库中,但已经得到修复。用户资金没有受到影响。”
Fetch.ai
2023 年 8 月 13 日,基于区块链的 AI 基础设施 Fetch.ai 发推表示,其官方 Discord 频道遭入侵,攻击者通过一个名为 “Atari_buzz1kLL” 管理员账户未经授权地访问了其 Discord 服务器。
其他
据慢雾区消息,Distrust 近期发现了一个严重的漏洞,影响了使用 Libbitcoin Explorer 3.x 版本的加密货币钱包。该漏洞允许攻击者通过破解 Mersenne Twister 伪随机数生成器(PRNG)来访问钱包的私钥,目前已在现实世界中造成了实际影响。该漏洞源于 Libbitcoin Explorer 3.x 版本中的伪随机数生成器(PRNG)实现。该实现使用了 Mersenne Twister 算法,并且仅使用了 32 位的系统时间作为种子。这种实现方式使得攻击者可以通过暴力破解方法在几天内找到用户的私钥。该漏洞影响了所有使用 Libbitcoin Explorer 3.x 版本生成钱包的用户,以及使用 libbitcoin-system 3.6 开发库的应用。已知受影响的加密货币包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。由于该漏洞的存在,攻击者可以访问并控制用户的钱包,从而窃取其中的资金。
据慢雾分析,截至 2023 年 8 月,已有超过价值 90 万美元的加密货币资产被盗。我们强烈建议所有使用 Libbitcoin Explorer 3.x 版本的用户立即停止使用受影响的钱包,并将资金转移到安全的钱包中。请务必使用经过验证的、安全的随机数生成方法来生成新的钱包。
总结
本周事件里造成损失最大的即庞氏骗局——The Solar Techno Alliance(STA)。
所谓的 “庞氏骗局”,简言之就是通过承诺高额的回报来吸收资金,再利用新进投资者的资金支付之前投资者的利息,以制造赚钱的假象,进而骗取更多的资金,直至这种滚雪球的方式再难以为继,从而谎言败露、泡沫碎裂。大多数庞氏骗局并没有真实的 “投资” 活动,绝大部分利润都被骗子收入囊中。各种以高息回报为诱饵的骗局层出不穷,其实质都是击鼓传花式的非法集资活动。对于所有承诺高回报的投资活动,都应该保持警惕,因为它们很可能是骗局。请牢记天上不会掉馅饼,用户应提高警惕,增强风险防范意识和识别能力。
