Web3 安全事件一周盘点。
作者:慢雾安全团队
概览
据慢雾区块链被黑档案库 (https://hacked.slowmist.io) 统计,2023 年 8 月 14 日至 8 月 20 日,共发生安全事件 10 起,总损失约 1996.3 万美元。
具体事件
MEV Bot
2023 年 8 月 14 日,Hexagate 发推表示,过去几天单个 MEV Bot 被利用了约 20 万美元,包括 BNBChain、Ethereum、Polygon 和 Arbitrum。
Zunami Protocol
2023 年 8 月 14 日,以太坊上 Zunami Protocol 协议遭遇价格操纵攻击,损失 1,179 个 ETH(约 220 万美元)。事件发生的原因是漏洞合约中 LP 价格计算依赖了合约自身的 CRV 余额,和 CRV 在 wETH/CRV 池中的兑换比例。攻击者通过向合约中转入 CRV 并操控 wETH/CRV 池子的兑换比例,从而操控了 LP 价格。据 MistTrack 分析,目前 ETH 都已转入 Tornado Cash。
值得一提的是,此前我们的系统扫到了该漏洞,我们也善意提醒其出现漏洞,但项目方没有重视,等到事件发生了已为时已晚。
Metis
2023 年 8 月 15 日,以太坊扩容解决方案 Metis 官方推特账号被盗。据官方表示,团队成员成为了 SIM 交换攻击的受害者,导致恶意行为者能够接管该帐户大约 30 小时。
SIM 交换攻击的目的是身份盗窃,攻击者接管受害者的电话号码,使他们能够访问银行账户、信用卡或加密账户。慢雾 CISO 在接受 Cointelegraph 采访时表示:“随着 Web3 的普及,吸引更多人进入该行业,由于其技术要求相对较低,SIM 交换攻击的可能性也随之增加。此类 SIM 交换攻击在 Web2 世界中也很普遍,因此看到它在 Web3 环境中出现也不足为奇。”
由于 SIM 交换攻击对黑客的技术技能要求不高,因此用户必须注意自己的身份安全,以防止此类黑客攻击。针对 SIM 交换黑客攻击,我们建议使用多因素身份验证、增强帐户验证(如附加密码)或为 SIM 卡或手机帐户建立安全的 PIN 或密码。
Sei Network
2023 年 8 月 15 日,Sei Network 官方 Discord 服务器遭入侵。
RocketSwap
2023 年 8 月 15 日,Base 生态项目 RocketSwap 遭遇攻击,攻击者窃取了 RCKT 代币,将其转换为价值约 86.8 万美元的 ETH 并跨链到以太坊,然后黑客创建了一个名为 LoveRCKT 的 memecoin,目的可能是想利用盗来的资产操纵市场情绪以谋取个人利益。
这一事件也引发了人们对 RocketSwap 的质疑,尤其是部署流程和私钥存储。然而,该团队否认内部参与,并将此次行为归因于第三方黑客。RocketSwap 表示:“团队在部署 Launchpad 时需要使用离线签名并将私钥放在服务器上。目前检测到服务器被暴力破解,且由于农场合约使用代理合约,存在多个高危权限导致农场资产转移。”
SwirlLend
2023 年 8 月 16 日,借贷协议 SwirlLend 团队从 Base 盗取了约 290 万美元的加密货币,从 Linea 盗取了价值 170 万美元的加密货币,被盗资金均被跨链到以太坊。截至目前,部署者已将 254.2 ETH 转移到 Tornado Cash。SwirlLend 官方 Twitter 和 Telegram 帐户已经注销,其官方网站也无法访问。据 MistTrack 分析,部署者使用了 SwftSwap、XY Finance、Orbiter Finance 等,同时,发现了如下 IP:50.*.*.106、50.*.*.58、50.*.*.42。
Made by Apes
2023 年 8 月 16 日,链上分析师 ZachXBT 发推称,BAYC 推出的链上许可申请平台 Made by Apes 的 SaaSy Labs APl 存在一个问题,允许访问 MBA 申请的个人详细信息。该问题在披露前已向 Yuga Labs 反馈,现已修复。Yuga Labs 回应称,目前不确定是否存在数据滥用的情况,正在联系任何可能暴露信息的人,并将为任何可能需要的用户提供欺诈和身份保护。
Exactly Protocol
2023 年 8 月 18 日,DeFi 借贷协议 Exactly Protocol 遭受攻击,损失超 7,160 枚 ETH(约 1204 万美元)。两个合约攻击者通过多次调用函数 kick() 进行攻击,并使用以太坊上的开发者合约将存款转移到 Optimism,最终将被盗资金转回以太坊。据了解,Exactly Protocol 被攻击的根本原因是 insufficient_check,攻击者通过直接传递未经验证的虚假市场地址,并将 _msgSender 更改为受害者地址,从而绕过 DebtManager 合约杠杆函数中的许可检查。然后,在不受信任的外部调用中,攻击者重新进入 DebtManager 合约中的 crossDeleverage 函数,并从 _msgSender 种盗取抵押品。Exactly Protocol 在推特发文称,协议已解除暂停,用户可以执行所有操作,没有发生任何清算。黑客攻击只影响到使用外围合约(DebtManager)的用户,协议仍在正常运行。
Harbor Protocol
2023 年 8 月 19 日,Cosmos 生态跨链稳定币协议 Harbor Protocol 发推表示,Harbor Protocol 被利用,导致 stable-mint、stOSMO、LUNA 和 WMATIC 金库中的部分资金被耗尽。从目前收集到的信息来看,攻击者使用以下地址执行所有操作:comdex1sma0ntw7fq3fpux8suxkm9h8y642fuqt0ujwt5。据悉,Harbor Protocol 在攻击中损失了 42,261 枚 LUNA、1,533 枚 CMDX、1,571 枚 stOSMO 和 18,600 万亿枚 WMATIC。
Thales
2023 年 8 月 20 日,衍生品市场 Thales 发布公告称,一名核心贡献者的个人电脑/Metamask 遭到黑客攻击,一些充当临时部署者(2.5 万美元)或管理员机器人(1 万美元)的热钱包已被攻破。请勿与 BNB Chain 上任何 Thalesmarket 合约交互,并撤销任何待批准的合约。Optimism、Arbitrum、Polygon 和 Base 上的所有资金安全。Thales 表示,由于这次攻击将正式放弃对 BSC 的支持。
总结
本周有两起事件是由私钥泄露造成的损失。过往因项目方私钥管理不当而导致损失的事件也很常见,比如损失超 6.1 亿美元的 Ronin Network 事件、损失超 1 亿美元的 Harmony 事件、损失超 1.6 亿美元的 Wintermute 事件。私钥被盗的原由有许多种,针对项目方的私钥安全主要有三方面:私钥破解、社会工程学攻击、生态安全。由于私钥的重要性,提高安全存储等级(如硬件加密芯片保护)、去除单点风险等都是防范攻击的重要手段。私钥/助记词的备份上也可以考虑降低单点风险,并且使用一些安全的备份方式、介质或流程等,具体可参考慢雾出品的加密资产安全解决方案:
https://github.com/slowmist/cryptocurrency-security。
