每月動態：Web3 安全事件總損失約 3.49 億美元

Web3 安全事件每月盤點。

作者：慢霧安全團隊，慢霧科技

概覽

據慢霧區塊鏈被黑檔案庫（https://hacked.slowmist.io）統計，2023 年 11 月，共發生安全事件 47 起，總損失約 3.49 億美元。

主要事件

Onyx Protocol

2023 年 11 月 1 日，DeFi 借貸協定 Onyx Protocol 遭攻擊，損失 1,164.53 ETH，約 210 萬美元。 據慢霧安全團隊分析，攻擊者的手段與攻擊 Hundred Finance 的手段相同，都是通過操縱利率的方式借入超出預期的資金實現攻擊。 據 MistTrack 分析，被盜資金已被轉入 Tornado Cash。

TrustPad

2023 年 11 月 6 日，跨鏈融資平臺 TrustPad 的一項質押合約遭到攻擊，損失約 15.5 萬美元。 11 月 9 日，TrustPad 發佈攻擊事後分析，說明此次攻擊是因為 receiveUpPool 函數沒有驗證 msg.sender，使得攻擊者能操縱 newlockstartTime。 攻擊者反覆調用 receiveUpPool（）和 withdraw（）來收取獎勵，然後調用 stakePendingRewards 將獎勵轉換為質押金額。 最後，攻擊者通過 withdraw（）撤回獎勵。

TheStandard.io

2023 年 11 月 7 日，去中心化超額抵押穩定幣協定 TheStandard.io 遭攻擊，損失約 29 萬美元。 該漏洞的關鍵在於 PAXG 池的低流動性，攻擊者利用該漏洞操縱市場。 11 月 9 日，攻擊者向協定返還了 24.3 萬枚 EUROs。

MEV Bot

2023 年 11 月 7 日，MEV 機器人（0x05f016765c6c601fd05a10dba1abe21a04f924a5）被攻擊，損失約一千枚 ETH。 慢霧安全團隊分析該攻擊的核心原因是合約中用於觸發套利的 0xf6ebebbb 函數缺乏認證。 攻擊者調用該函數，將合約中的代幣兌換到 Curve 池中，然後利用閃電貸的資金進行反向兌換，並獲取利潤。

CoinSpot

2023 年 11 月 8 日，澳大利亞加密貨幣交易所 CoinSpot 疑因私鑰洩露遭攻擊，熱錢包被盜導致超過 1,283 ETH 損失，約 247.2 萬美元。

Raft Protocol

2023 年 11 月 11 日，乙太坊上的穩定幣協定 Raft Protocol 遭閃電貸攻擊，導致 670 萬枚穩定幣 R 被鑄造，損失約 330 萬美元的 ETH。 此次攻擊的根本原因是在鑄造份額代幣時發生的精度計算問題，攻擊者利用這一問題獲取額外的份額代幣。 然而，攻擊者盜走了 1,577 ETH，隨後又燒掉了 1,570 ETH。 攻擊者在攻擊前從 Tornado Cash 中提取了約 18 ETH，攻擊后還剩下 14 ETH，也就是說攻擊者在整個過程中損失了 4 ETH 。

Exzo Network

2023 年 11 月 14 日，Exzo Network 發佈推文稱，最近發生了一起針對 Exzo（XZO）的安全漏洞，原因是擁有者/管理員帳戶被入侵。 攻擊者利用被入侵的管理員錢包將 Exzo（XZO）的「擁有權」角色轉移到他們的錢包中，使他們能夠鑄造大量的 XZO 並從 Uniswap 上的 XZO/ETH 流動性池中抽走 169 個 ETH。 攻擊者還將管理員錢包中總共 69 個 ETH 和剩餘的 XZO 轉移到自己的錢包中。

dYdX

2023 年 11 月 18 日，dYdX v3 保險基金因 YFI 清算損失約 900 萬美元，CEO 稱遭針對性攻擊。

Kronos Research

2023 年 11 月 19 日，加密量化公司 Kronos Research 在推特發文稱其一些 API 密鑰遭到未經授權的訪問，此次攻擊造成 13,007 枚 ETH 的損失，約為 2,600 萬美元。

Poloniex, HTX, Heco Bridge

2023 年 11 月 10 日，交易所 Poloniex 遭攻擊。 據慢霧安全團隊分析統計，Poloniex 駭客攻擊造成約 1.3 億美元的損失。

2023 年 11 月 22 日，據慢霧安全團隊監測，HTX（原 Huobi）的熱錢包及 Heco 跨鏈橋遭攻擊，損失達 1.133 億美元。

Kyber Network

2023 年 11 月 23 日，Kyber Network 發佈推文稱 KyberSwap Elastic 遭攻擊，損失約 5,470 萬美元。 據慢霧安全團隊分析，此次攻擊事件的根本原因在於計算當前價格到邊界刻度價格的兌換中，所需的代幣數量會因為 KyberSwap Elastic 的再投資曲線而將流動性多加上手續費複利的部分，從而造成其計算結果比預期大，可以覆蓋用戶兌換所需，但實際價格已經越過了邊界刻度，使得協定認為當前刻度範圍內的流動性已經滿足了兌換所需， 故而未進行流動性更新。 最終導致反向兌換跨過邊界刻度時流動性增加了兩次，使得攻擊者獲得了多於預期的代幣。 詳情可見雙重流動性之殤 —— KyberSwap 巨額被黑分析。

Rug Pull

據不完全統計，本月 Rug Pull 事件達 24 起，其中 BSC 生態上跑路專案佔比最高，其次為 ETH 生態，具體如下圖：

總結

本月 Poloniex、HTX、Heco Bridge 損失共達 2.43 億美元，約佔本月安全事件總損失的 69%; Rug Pull 事件達 24 起，佔比本月安全事件數的 51%，用戶在參與專案之前應充分了解專案的背景、團隊，謹慎選擇投資專案; 2 起流動性利用事件導致專案方受損約 5,499 萬美元，專案方應加強對流動性池的監控，以有效預防和及時應對潛在的安全威脅; 有 3 起安全事件是第三方提供的服務存在漏洞導致的，專案方在引入第三方服務之前應考慮其安全性，進行詳細的審查和驗證，也可委託安全審計公司對第三方提供的服務進行安全審計。 最後，本文收錄的事件為本月主要安全事件，更多區塊鏈安全事件可在慢霧區塊鏈被黑檔案庫（https://hacked.slowmist.io/）查看，點擊閱讀原文可直接跳轉。

免責聲明：作為區塊鏈資訊平臺，本站所發佈文章僅代表作者及嘉賓個人觀點，與 Web3Caff 立場無關。 文章內的資訊僅供參考，均不構成任何投資建議及要約，並請您遵守所在國家或地區的相關法律法規。