概覽


據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io) 統計,2023 年8 月7 日至8 月13 日,共發生安全事件7 起,包括CypherStead efiSTABlockchain CapitalEarning.Farm 、部分MPC 錢包和Fetch.ai,總損失約1.22 億美元,其中STA 騙局就導致1.2 億美元的損失。


具體事件


Cyph er

2023 年8 月7 日,基於Solana 的去中心化交易所Cypher 推特發文稱遭到攻擊。攻擊者利用涉及隔離保證金子賬戶機制的錯誤攻擊了Cypher 的主合約,使其最終提取的資金多於最初存入的資金,導致系統出現壞賬。 攻擊者竊取了15,452 SOL、149,205 USDC 及其他代幣,損失超100 萬美元。 8 月8 日, Cypher 與攻擊者進行談判,攻擊者無回應;8 月12 日, Cypher 發布黑客懸賞計劃。



Steadefi

2023 年8 月8 日,自動收益槓桿化策略平台Steadefi 在推特上表示:“我們的協議部署者錢包(也是協議中所有金庫的所有者)已被洩露。攻擊者已將所有金庫(借貸和策略)的所有權轉移到他們控制的錢包中,並繼續採取各種僅限所有者的操作,例如允許任何錢包能夠從借貸金庫借入任何可用資金。 ”據MistTrack 分析, Stead efi 在此次事件中損失約110 萬美元攻擊者將Arbitrum 和Avalanche 上的獲利資產兌換為ETH 並跨鏈到以太坊,截止目前,黑客已將400 ETH 轉入了Tornado Cash。 8 月8 日,Steadefi 團隊成功地從剩餘金庫中恢復了約54 萬美元的用戶資金。



STA

2023 年8 月8 日,印度奧里薩邦法律當局成功破獲了價值1.2 億美元(100 億盧比)的加密貨幣龐氏騙局。這起欺詐行動的兩名核心人物已被逮捕。涉案項目名為The Solar Techno Alliance(STA),利用綠色能源和太陽能技術等術語。調查發現,STA 在線上成員的協助下,在短時間內利用各種說服策略以及利潤承諾來吸引人們參與該計劃,僅在奧里薩邦的參與者達1 萬多人。調查顯示,STA 沒有獲得印度儲備銀行、印度央行或其他監管機構的授權來積累存款。



Blockchain Capital

2023 年8 月9 日,加密風投機構Blockchain Capital 的推特賬號被盜,並發布多條推文宣傳代幣申領騙局。目前相關詐騙推文已刪除,該推特賬號現已恢復。釣魚網站(blockchainncapital) 在URL 中包含一個額外的“n”,以模仿原始網站( blockchaincapital ) ,誘騙用戶簽署惡意交易,從而耗盡資金。同時,詐騙者關閉了評論區,試圖防止其他人對該騙局發出警告。



除了這種增加一個字母的釣魚行為,還有一些更具迷惑性的釣魚如下圖所示:



字母“ẹ 與字母“e ” 的區別非常隱蔽,這是一種利用了Punycode 的釣魚方式,這種域名看上去很相似的釣魚就可以讓許多人上當,用戶在點擊鏈接的時候應該仔細核對, 避免資產損失。


Earn ing.Farm

2023 年8 月9 日,DeFi 項目Earning.Farm 遭到重入攻擊,損失286 枚ETH(約合53 萬美元)。據慢霧分析,攻擊者在取款時重入LP 的transfer 函數轉移走LP 代幣,使得賬戶的餘額小於先前計算的shares 值,觸發更新shares 值的邏輯,導致被操控後的LP 數量更新到所要燃燒的shares 值上,這導致了最後燃燒的LP 數量遠小於預期,用戶將轉移走的LP 再次進行取款可以額外取出池子中的資金。



據MistTrack 分析,攻擊者曾於7 月31 日從Tornado Cash 提款10 ETH,提款成功3 分鐘後,又將5 ETH 分5 次重新deposit 到Tornado Cash。截止目前,黑客已將292.64 ETH 轉移到一個新的EOA 地址(0x21d...173) 暫未轉出。



部分MPC 錢包

2023 年8 月10 日,加密基礎設施公司Fireblocks 披露了一系列漏洞(統稱為“BitForge”),影響各種使用多方計算(MPC) 技術的流行加密錢包。該公司將BitForge 歸類為“0 day”漏洞,Coinbase、ZenGo 和Binance(受BitForge 影響最大的三家公司)已經與Fireblocks 合作,以修復潛在漏洞。如果不加以補救,這些漏洞將使攻擊者和惡意內部人員在幾秒鐘內從數百萬零售和機構客戶的錢包中抽走資金,而用戶或供應商對此一無所知。 8 月10 日, Binance創始人CZ 發推稱:“Fireblocks 發現影響MPC 錢包的一系列新漏洞曾存在於Binance 開源的TSS 庫中,但已經得到修復。用戶資金沒有受到影響。”



Fetch.ai

2023 年8 月13 日,基於區塊鏈的AI 基礎設施Fetch.ai 發推表示,其官方Discord 頻道遭入侵,攻擊者通過一個名為"Atari_buzz1kLL" 管理員賬戶未經授權地訪問了其Di scord服務器。



其他

據慢霧區消息,Distrust 近期發現了一個嚴重的漏洞,影響了使用Libbitcoin Explorer 3.x 版本的加密貨幣錢包。該漏洞允許攻擊者通過破解Mersenne Twister 偽隨機數生成器(PRNG)來訪問錢包的私鑰,目前已在現實世界中造成了實際影響。該漏洞源於Libbitcoin Explorer 3.x 版本中的偽隨機數生成器(PRNG)實現。該實現使用了Mersenne Twister 算法,並且僅使用了32 位的系統時間作為種子。這種實現方式使得攻擊者可以通過暴力破解方法在幾天內找到用戶的私鑰。該漏洞影響了所有使用Libbitcoin Explorer 3.x 版本生成錢包的用戶,以及使用libbitcoin-system 3.6 開發庫的應用。已知受影響的加密貨幣包括Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和Zcash 等。由於該漏洞的存在,攻擊者可以訪問並控制用戶的錢包,從而竊取其中的資金。


據慢霧分析,截至2023 年8 月,已有超過價值90 萬美元的加密貨幣資產被盜。 我們強烈建議所有使用Libbitcoin Explorer 3.x 版本的用戶立即停止使用受影響的錢包,並將資金轉移到安全的錢包中。請務必使用經過驗證的、安全的隨機數生成方法來生成新的錢包。



總結


本週事件裡造成損失最大的即龐氏騙局——The Solar Techno Alliance(STA)。


所謂的“龐氏騙局”,簡言之就是通過承諾高額的回報來吸收資金,再利用新進投資者的資金支付之前投資者的利息,以製造賺錢的假象,進而騙取更多的資金,直至這種滾雪球的方式再難以為繼,從而謊言敗露、泡沫碎裂。大多數龐氏騙局並沒有真實的“投資”活動,絕大部分利潤都被騙子收入囊中。各種以高息回報為誘餌的騙局層出不窮,其實質都是擊鼓傳花式的非法集資活動。 對於所有承諾高回報的投資活動,都應該保持警惕,因為它們很可能是騙局。請牢記天上不會掉餡餅,用戶應提高警惕,增強風險防範意識和識別能力。

往期回顧

一周動態| Web3 安全事件總損失約2779.5 萬美元

慢霧:被盜急救指南之鍊上留言

一周動態| Web3 安全事件總損失約5963 萬美元

因小失大—— Palmswap 被黑分析

慢霧:起底假充值攻擊如何突破交易所的層層防禦

慢霧導航


慢霧科技官網

https://www.slowmist.com/


慢霧區官網

https://slowmist.io/


慢霧 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


知識星球

https://t.zsxq.com/Q3zNvvF