Pada bulan Mei 2023, insiden keamanan menimbulkan kerugian sekitar US$18 juta, menurun signifikan dibandingkan bulan sebelumnya, namun frekuensi insiden keamanan tidak berkurang.
Ditulis oleh: Okey Cloud Chain
1. Informasi dasar
Pada Mei 2023, insiden keamanan menyebabkan kerugian sekitar USD 18 juta, turun signifikan dari bulan sebelumnya, namun frekuensi insiden keamanan tidak berkurang. Diantaranya, serangan terhadap Jimbos Protocol menyebabkan kerugian sekitar $7,5 juta. Rug Pull, proyek Swaprum dari rantai Arbitrum, menyebabkan kerugian sekitar $3 juta. Selain itu, insiden phishing media sosial masih bermunculan satu demi satu, dan sering terjadi Perselisihan pihak proyek dikendalikan dan menerbitkan tautan phishing.
1.1 Inventaris REKT
No.1
Pada tanggal 1 Mei, Level__Finance diserang dan kehilangan sekitar $1,1 juta. Akar penyebabnya adalah bahwa ada masalah logika dalam kontrak LevelReferralControllerV2. Fungsi claimMultiple dalam kontrak dapat meneruskan serangkaian zaman untuk memungkinkan pengguna mengklaim hadiah untuk setiap zaman. Namun, jika ada elemen duplikat dalam penerusan array, hadiah ini akan diklaim berulang kali.
Transaksi siap serang:
Transaksi penyerangan:
Alamat penyerang:
No.2
Pada tanggal 3 Mei, proyek Never Fall diserang, dengan kerugian lebih dari $70k Penyerang memanipulasi harga melalui celah perhitungan harga untuk mendapatkan keuntungan.
Transaksi penyerangan:
Alamat penyerang:
Nomor 3
Pada tanggal 3 Mei, token AutoDonateUkraine ($ADU) mengalami serangan flash loan dan kehilangan sekitar $7k. Penyerang menggunakan fungsi pengiriman untuk meningkatkan $ADU pada pasangan, dan kemudian menggunakan skim untuk mengekstrak kelebihan $ADU.Setelah operasi berulang beberapa kali, harga pada pasangan menjadi tidak seimbang.
Transaksi penyerangan:
Alamat penyerang:
No.4
Pada tanggal 5 Mei, Deus Dao ($DEI) diserang pada rantai BSC dan Arbitrum, dan kehilangan $1.337.375. Celah utama adalah bahwa fungsi BurnFrom menggunakan perhitungan tunjangan yang salah, yang memungkinkan pengguna untuk memanipulasi jumlah tunjangan kontrak itu sendiri, sehingga mengurangi Token dalam kontrak dipindahkan.
Transaksi penyerangan:
Alamat penyerang:
Nomor 5
Pada tanggal 6 Mei, token $BFT tampaknya telah diserang dengan kerugian sebesar ~275rb USD.
Transaksi penyerangan:
Alamat penyerang:
No.6
Pada tanggal 6 Mei, $MELO diserang karena tidak ada kontrol otoritas dalam fungsi mint, dan siapa pun dapat mengeluarkan token tambahan dan mentransfernya ke akun mereka sendiri.
Transaksi penyerangan:
Alamat serangan:
**Tidak.7
Pada tanggal 9 Mei, token MultiChainCapital ($MCC) mengalami serangan flash loan. Sebagai token deflasi reflektif, MCC tidak melepaskan Pair di alamat, memungkinkan penyerang memanggil fungsi pengiriman untuk mencetak token dan menjualnya untuk mendapatkan keuntungan dari tanggal 10.
Transaksi penyerangan:
Alamat penyerang:
**Tidak.8
Pada tanggal 10 Mei, token $SNK diserang, dan penyerang mendapat untung sekitar 197rb BUSD. Alasan utama kerentanan ini adalah karena metode penghitungan hadiah adalah jumlah dana yang disimpan*waktu yang disimpan. Namun, tidak ada hubungan yang sesuai antara waktu kontrol dan jumlah dana yang disimpan dalam kontrak. Penyerang dapat menggunakan parameter waktu sebelumnya dan jumlah dana saat ini untuk perhitungan.
Transaksi penyerangan:
Alamat penyerang:
**Tidak.9
Pada 11 Mei, token LW diserang, dan penyerang mendapat untung sebesar 48.415 $USDT. Ini adalah serangan manipulasi harga. Dalam proses menukar USDT dengan token LW, penyerang memicu mekanisme pembelian kembali dompet pemasaran, yang menaikkan harga token, dan kemudian penyerang menjual token LW untuk mendapat untung.
Transaksi penyerangan:
Alamat penyerang:
**Tidak.10
Pada 11 Mei, TrustTheTrident diserang dan kehilangan sekitar $95rb. Alasan utamanya adalah listToken[] dalam kontrak dapat diatur dalam fungsi addLiquidity (). Namun, ini adalah operasi yang harus dilakukan oleh administrator. Dengan menggunakan kerentanan ini, seorang peretas dapat menyetel token yang dibuat sendiri di listToken dan menelepon jual untuk menjualnya.
Transaksi penyerangan:
Alamat penyerang:
No.11
Pada 13 Mei, bitpaidio diserang dan kehilangan sekitar $30K. Akar penyebab masalahnya adalah Lock_Token() tidak memperbarui waktu penguncian dengan benar. Penyerang membuat kunci () 6 bulan yang lalu, yang menyebabkan jumlah hadiah yang berlebihan dihitung selama penarikan ().
Transaksi penyerangan:
Transaksi siap serang:
Alamat penyerang:
No.12
Pada 13 Mei, TrustTheTrident diserang lagi dan kehilangan sekitar 279 BNB.TrustTheTrident memungkinkan pengguna untuk menjual token, tetapi harganya bergantung pada pasangan dan mudah dimanipulasi.
Transaksi penyerangan:
Alamat penyerang:
No.13
Pada tanggal 14 Mei, TrustTheTrident diserang lagi, dan jumlah kerugian tidak diketahui Akar penyebabnya adalah fungsi Klaim () dari kontrak StakingRewards tidak memverifikasi parameter input dengan benar, memungkinkan penyerang untuk memberikan token palsu alih-alih USDT untuk mendapatkan lebih banyak hadiah.
Transaksi penyerangan:
Alamat penyerang:
No.14
Pada tanggal 14 Mei, landNFT diserang. Alasan utamanya adalah fungsi mint proyek tidak memiliki kontrol izin. Penyerang mencetak 200 LandNFT untuk dirinya sendiri, menghasilkan keuntungan sekitar 149.616 BUSD.
Transaksi penyerangan:
Alamat penyerang:
No.15
Pada 20 Mei, Tornado Cash diserang oleh proposal jahat. Kehilangan sekitar $1,1 juta. Penyerang mengusulkan proposal jahat. Setelah proposal disahkan, kode kontrak proposal diubah dengan penghancuran diri kontrak dan kemudian penempatan kembali. Ketika kontrak tunai tornado mengeksekusi proposal, suara tambahan dikeluarkan untuk alamat yang disiapkan oleh penyerang untuk mendapatkan pengendalian kontrak.
Transaksi penyerangan:
Alamat penyerang:
No.16
Pada tanggal 23 Mei, token LFI diserang dan kehilangan sekitar 36rb USD.
Transaksi penyerangan:
Alamat penyerang:
No.17
Pada tanggal 23 Mei, token $CS mengalami serangan flash loan, dan penyerang mendapat untung sekitar 714k USD. Alasan utama untuk kerentanan ini adalah token $CS akan menghancurkan sebagian token dalam pasangan selama setiap transaksi (atau transfer) untuk menaikkan harga. BurnAmount dihitung dengan sellAmount, tetapi nilai sellAmount tidak diperbarui. Hal ini memungkinkan penyerang untuk menjual token dengan harga tinggi untuk mendapatkan keuntungan dengan menaikkan harga token melalui beberapa transaksi.
Transaksi penyerangan:
Alamat penyerang:
No.18
Pada tanggal 23 Mei, LOCALTRADERSCL ($LCT) diserang dan kehilangan sekitar 384BNB.
Transaksi penyerangan:
Alamat penyerang:
No.19
Pada tanggal 25 Mei, GPT diserang dan kehilangan sekitar 42k USD. Alasan utama untuk kerentanan ini adalah bahwa mekanisme pembakaran token dapat dipicu dengan memasukkan token ke dalam pair dan kemudian melakukan skim, sehingga mendorong harga naik.
Transaksi penyerangan:
**Tidak.20
Pada 26 Mei, CNN diserang, dan penyerang mendapat untung sekitar 5,6 ribu USD.
Transaksi penyerangan:
Alamat penyerang:
No.21
Pada 28 Mei, jimbosprotocol diserang dan kehilangan sekitar $7,5 juta.
Transaksi penyerangan:
Alamat penyerang:
No.22
Pada tanggal 29 Mei, babydogecoin diserang dan kehilangan sekitar $157.000. Kunci serangan tersebut adalah bahwa dalam kontrak FarmZAP, transaksi babydoge menikmati tingkat biaya 0. Penyerang menggunakan mekanisme pengembalian babydoge untuk menyebabkan perbedaan harga antara router babydoge FarmZAP dan pasangan babydoge di pancake Realisasikan arbitrase.
Transaksi penyerangan:
Alamat penyerang:
No.23
Pada tanggal 30 Mei, brankas ede_finance dieksploitasi, dan sekitar $580.000 hilang, dan penyerang telah mengembalikan 90% dana.
Alamat penyerang:
No.24
Pada tanggal 31 Mei, ERC20TokenBank diserang dan kehilangan sekitar $119.000.
Transaksi penyerangan:
Alamat penyerang:
1.2 Inventaris RugPull
No.1
Pada tanggal 04 Mei, zjz.eth rugpull dari wsbcoinofficial ($WSB ), $WSB turun 86%, zjz.eth membuang sebagian besar WSB dan menghasilkan keuntungan sebesar 334ETH (sekitar 653k USD).
No.2
05 Mei, token rugpull YODA, YODA turun -100%, yodacoineth telah menghapus akun/grup sosialnya, penipu telah mentransfer 68 ETH ($130K) ke FixedFloat.
Nomor 3
Rugpull Hakuna Matata pada 08 Mei, HAKUNA turun -100%.
No.4
Pada 09 Mei, Derpman kasar, DMAN turun -100%, mendapat untung sekitar 48,55 $ETH.
Nomor 5
Pada tanggal 15 Mei, geng rugpull telah membuat token palsu seperti #PEPEPE, #LADYS, #BENZ, #GGBOND, #BENEN, #NEWPEPE, #PEN, #TURBOO, #PEPELOL selama 3 hari terakhir. Penipu telah mentransfer sekitar 12 ETH ke MEXC.
No.6
Pada tanggal 19 Mei, Swaprum melawan Arbitrum, menghasilkan keuntungan sekitar $3 juta. Penyebar Swaprum menggunakan fungsi pintu belakang add() untuk mencuri token LP yang dijanjikan oleh pengguna, lalu menghapus likuiditas dari kumpulan untuk mendapatkan keuntungan.
No.7
26 Mei, rugpull dari @SeaSwapSui, yang menghapus Twitter dan akun sosial lainnya. Administrator segera menarik SUI dari kontrak penjualan token, dengan total 32.787 SUI ($32.000).
**Tidak.8
Pada tanggal 30 Mei, BlockGPT_BSC mengalami kesulitan. Keuntungannya sekitar 816BNB (sekitar $256K).
1.3 Penipuan media sosial dan inventaris phishing
No.1
Pada tanggal 01 Mei, situs web phishing dipromosikan di Twitter, jangan berinteraksi dengan hxxps://claimbob.site/.
No.2
Pada 02 Mei, situs web phishing CertiK palsu muncul, jangan berinteraksi dengan hxxps://claim.certik.app/.
Nomor 3
Pada tanggal 04 Mei, server Syncera_io Discord disusupi, harap jangan mengklik tautan apa pun hingga tim yakin bahwa mereka telah mendapatkan kembali kendali atas server.
No.4
Pada 04 Mei, akun Pepe Coin palsu muncul di Twitter, jangan berinteraksi dengan hxxps://pepegives.xyz/.
Nomor 5
Server Perselisihan FeetLabsHQ diserang pada 05 Mei, harap jangan mengklik tautan apa pun sampai tim yakin mereka telah mendapatkan kembali kendali atas server.
No.6
Pada tanggal 06 Mei, server STFX_IO Discord diserang, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
No.7
Pada 07 Mei, situs web klaim Pepe palsu muncul, jangan berinteraksi dengan hxxps://pepegift.org/
No.8
Pada tanggal 08 Mei, tautan phishing telah diposting di server Evmos Discord, harap jangan mengklik tautan apa pun hingga tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
No.9
Pada 08 Mei, akun MetaMask palsu muncul di Twitter, tidak terhubung dengan situs web hxxps://meta-token.net/#.
No.10
Pada 08 Mei, situs web klaim Bob palsu muncul, jangan berinteraksi dengan hxxps://bob-airdrop.com/.
No.11
Pada 09 Mei, akun peckShield palsu muncul di Twitter, jangan percaya apapun yang mencolok dari akun ini.
No.12
Pada 09 Mei, situs web airdrop Ben palsu muncul, jangan berinteraksi dengan hxxps://bencoineth.net/.
No.13
Pada 10 Mei, situs web klaim Pepe palsu muncul, jangan berinteraksi dengan hxxps://rewardspepe.com/.
No.14
Pada tanggal 11 Mei, harap berhati-hati terhadap situs klaim layerzero palsu yang sedang dipromosikan di Twitter dan jangan berinteraksi dengan situs hxxps://layerzero-network.app/.
No.15
Pada tanggal 14 Mei, server OnchainTrade Discord telah disusupi, harap jangan mengklik tautan apa pun hingga tim mengonfirmasi mendapatkan kembali kendali atas server.
No.16
Server opentensor Discord telah dikompromikan pada tanggal 14 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
No.17
Baik server Twitter BTFDRabbits dan #Discord dikompromikan pada tanggal 15 Mei, harap jangan mengklik tautan apa pun di salah satu platform hingga tim mengonfirmasi kontrol.
No.18
Pada tanggal 15 Mei, tautan phishing telah diposting di server Tyche Protocol Discord, harap jangan mengklik tautan apa pun hingga tim mengonfirmasi mendapatkan kembali kendali atas server.
**Tidak.19
Pada tanggal 16 Mei server Taskonxyz Discord telah disusupi oleh tautan phishing palsu yang diposting, jangan berinteraksi dengan hxxps://airdrop.taskon.tech/.
No.20
Server freshcut #Discord telah dikompromikan pada 16 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
No.21
Server MorphexFTM #Discord telah dikompromikan pada 16 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
No.22
Pada tanggal 17 Mei, server NEARProtocol Discord disusupi, harap jangan mengklik tautan apa pun hingga tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
No.23
Server Discord lifiprotocol telah dikompromikan pada 17 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
No.24
Server Discord auroraisnear telah dikompromikan pada 17 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
**Tidak.25
Server Perselisihan Mungkin0 telah dikompromikan pada tanggal 18 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
**Tidak.26
Pada tanggal 18 Mei, server Discord oDDbOOG diserang, harap jangan mengklik tautan apa pun sampai tim yakin mereka telah mendapatkan kembali kendali atas server.
**Tidak.27
Server HoraHub Discord telah dikompromikan pada tanggal 19 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
**Tidak.28
Server Perselisihan ArbitrumNewsDAO telah dikompromikan pada tanggal 19 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
**Tidak.29
Pada tanggal 20 Mei, akun Twitter avianfoundation telah diretas dan mempromosikan situs phishing, jangan berinteraksi dengan hxxps://avn.finance/.
**Tidak.30
Pada tanggal 20 Mei, berhati-hatilah terhadap situs klaim koin yoda palsu yang dipromosikan di Twitter dan jangan berinteraksi dengan hxxps://claim-yoda.com.
**Tidak.31
Pada tanggal 20 Mei, berhati-hatilah terhadap situs klaim Psyop palsu yang dipromosikan di Twitter dan jangan berinteraksi dengan hxxps://claim-psyop.live/.
No.32
Server VenomBridge Discord telah dikompromikan pada tanggal 21 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
No.33
Server Perselisihan asimetrifin telah dikompromikan pada 22 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
No.34
Akun Twitter Alat Dex Palsu pada 22 Mei. Jangan berinteraksi dengan situs web hxxps://dextoois.com/.
**Tidak.35
Server Superlotl Discord telah disusupi pada tanggal 22 Mei, harap jangan mengklik tautan sampai tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
**Tidak.36
Server Perselisihan zerpmonxrp telah disusupi pada tanggal 23 Mei, harap jangan mengklik tautan sampai tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
**Tidak.37
Server mail3dao Discord telah disusupi pada tanggal 23 Mei, harap jangan mengklik tautan sampai tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
**Tidak.38
Pada tanggal 23 Mei, tautan phishing telah diposting di server MetaStars Striker Discord, harap jangan mengklik tautan tersebut sampai tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
2. Ringkasan Keamanan
Pada Mei 2023, sejumlah insiden keamanan terjadi di DeFi. Eksploitasi logika kode, manipulasi harga flash loan, dll. Masih merupakan metode serangan yang umum digunakan oleh peretas. Token dengan model ekonomi yang lebih kompleks seperti mekanisme refleksi dan mekanisme reflow lebih cenderung menjadi sasaran serangan.objek. Pada saat yang sama, beberapa metode serangan baru telah muncul, seperti serangan proposal jahat yang diderita oleh Tornado Cash. Untuk menghindari kejadian serupa terjadi lagi, pengembang perlu mengambil tindakan untuk memastikan keamanan proyek, termasuk sepenuhnya memverifikasi logika kode dan model ekonomi, mengaudit proyek secara teratur, dan merilis rencana bug bounty setelah proyek ditayangkan. Pada saat yang sama, insiden phishing media sosial juga sering terjadi bulan ini, investor harus tetap waspada dan memperhatikan verifikasi penuh keaslian tautan sebelum berinteraksi dengan mereka untuk menghindari kerugian aset.
Lihat Asli
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
OKLink: Inventarisasi insiden keamanan pada Mei 2023
Ditulis oleh: Okey Cloud Chain
1. Informasi dasar
Pada Mei 2023, insiden keamanan menyebabkan kerugian sekitar USD 18 juta, turun signifikan dari bulan sebelumnya, namun frekuensi insiden keamanan tidak berkurang. Diantaranya, serangan terhadap Jimbos Protocol menyebabkan kerugian sekitar $7,5 juta. Rug Pull, proyek Swaprum dari rantai Arbitrum, menyebabkan kerugian sekitar $3 juta. Selain itu, insiden phishing media sosial masih bermunculan satu demi satu, dan sering terjadi Perselisihan pihak proyek dikendalikan dan menerbitkan tautan phishing.
1.1 Inventaris REKT
No.1
Pada tanggal 1 Mei, Level__Finance diserang dan kehilangan sekitar $1,1 juta. Akar penyebabnya adalah bahwa ada masalah logika dalam kontrak LevelReferralControllerV2. Fungsi claimMultiple dalam kontrak dapat meneruskan serangkaian zaman untuk memungkinkan pengguna mengklaim hadiah untuk setiap zaman. Namun, jika ada elemen duplikat dalam penerusan array, hadiah ini akan diklaim berulang kali.
Transaksi siap serang:
Transaksi penyerangan:
Alamat penyerang:
No.2
Pada tanggal 3 Mei, proyek Never Fall diserang, dengan kerugian lebih dari $70k Penyerang memanipulasi harga melalui celah perhitungan harga untuk mendapatkan keuntungan.
Transaksi penyerangan:
Alamat penyerang:
Nomor 3
Pada tanggal 3 Mei, token AutoDonateUkraine ($ADU) mengalami serangan flash loan dan kehilangan sekitar $7k. Penyerang menggunakan fungsi pengiriman untuk meningkatkan $ADU pada pasangan, dan kemudian menggunakan skim untuk mengekstrak kelebihan $ADU.Setelah operasi berulang beberapa kali, harga pada pasangan menjadi tidak seimbang.
Transaksi penyerangan:
Alamat penyerang:
No.4
Pada tanggal 5 Mei, Deus Dao ($DEI) diserang pada rantai BSC dan Arbitrum, dan kehilangan $1.337.375. Celah utama adalah bahwa fungsi BurnFrom menggunakan perhitungan tunjangan yang salah, yang memungkinkan pengguna untuk memanipulasi jumlah tunjangan kontrak itu sendiri, sehingga mengurangi Token dalam kontrak dipindahkan.
Transaksi penyerangan:
Alamat penyerang:
Nomor 5
Pada tanggal 6 Mei, token $BFT tampaknya telah diserang dengan kerugian sebesar ~275rb USD.
Transaksi penyerangan:
Alamat penyerang:
No.6
Pada tanggal 6 Mei, $MELO diserang karena tidak ada kontrol otoritas dalam fungsi mint, dan siapa pun dapat mengeluarkan token tambahan dan mentransfernya ke akun mereka sendiri.
Transaksi penyerangan:
Alamat serangan:
**Tidak.7
Pada tanggal 9 Mei, token MultiChainCapital ($MCC) mengalami serangan flash loan. Sebagai token deflasi reflektif, MCC tidak melepaskan Pair di alamat, memungkinkan penyerang memanggil fungsi pengiriman untuk mencetak token dan menjualnya untuk mendapatkan keuntungan dari tanggal 10.
Transaksi penyerangan:
Alamat penyerang:
**Tidak.8
Pada tanggal 10 Mei, token $SNK diserang, dan penyerang mendapat untung sekitar 197rb BUSD. Alasan utama kerentanan ini adalah karena metode penghitungan hadiah adalah jumlah dana yang disimpan*waktu yang disimpan. Namun, tidak ada hubungan yang sesuai antara waktu kontrol dan jumlah dana yang disimpan dalam kontrak. Penyerang dapat menggunakan parameter waktu sebelumnya dan jumlah dana saat ini untuk perhitungan.
Transaksi penyerangan:
Alamat penyerang:
**Tidak.9
Pada 11 Mei, token LW diserang, dan penyerang mendapat untung sebesar 48.415 $USDT. Ini adalah serangan manipulasi harga. Dalam proses menukar USDT dengan token LW, penyerang memicu mekanisme pembelian kembali dompet pemasaran, yang menaikkan harga token, dan kemudian penyerang menjual token LW untuk mendapat untung.
Transaksi penyerangan:
Alamat penyerang:
**Tidak.10
Pada 11 Mei, TrustTheTrident diserang dan kehilangan sekitar $95rb. Alasan utamanya adalah listToken[] dalam kontrak dapat diatur dalam fungsi addLiquidity (). Namun, ini adalah operasi yang harus dilakukan oleh administrator. Dengan menggunakan kerentanan ini, seorang peretas dapat menyetel token yang dibuat sendiri di listToken dan menelepon jual untuk menjualnya.
Transaksi penyerangan:
Alamat penyerang:
No.11
Pada 13 Mei, bitpaidio diserang dan kehilangan sekitar $30K. Akar penyebab masalahnya adalah Lock_Token() tidak memperbarui waktu penguncian dengan benar. Penyerang membuat kunci () 6 bulan yang lalu, yang menyebabkan jumlah hadiah yang berlebihan dihitung selama penarikan ().
Transaksi penyerangan:
Transaksi siap serang:
Alamat penyerang:
No.12
Pada 13 Mei, TrustTheTrident diserang lagi dan kehilangan sekitar 279 BNB.TrustTheTrident memungkinkan pengguna untuk menjual token, tetapi harganya bergantung pada pasangan dan mudah dimanipulasi.
Transaksi penyerangan:
Alamat penyerang:
No.13
Pada tanggal 14 Mei, TrustTheTrident diserang lagi, dan jumlah kerugian tidak diketahui Akar penyebabnya adalah fungsi Klaim () dari kontrak StakingRewards tidak memverifikasi parameter input dengan benar, memungkinkan penyerang untuk memberikan token palsu alih-alih USDT untuk mendapatkan lebih banyak hadiah.
Transaksi penyerangan:
Alamat penyerang:
No.14
Pada tanggal 14 Mei, landNFT diserang. Alasan utamanya adalah fungsi mint proyek tidak memiliki kontrol izin. Penyerang mencetak 200 LandNFT untuk dirinya sendiri, menghasilkan keuntungan sekitar 149.616 BUSD.
Transaksi penyerangan:
Alamat penyerang:
No.15
Pada 20 Mei, Tornado Cash diserang oleh proposal jahat. Kehilangan sekitar $1,1 juta. Penyerang mengusulkan proposal jahat. Setelah proposal disahkan, kode kontrak proposal diubah dengan penghancuran diri kontrak dan kemudian penempatan kembali. Ketika kontrak tunai tornado mengeksekusi proposal, suara tambahan dikeluarkan untuk alamat yang disiapkan oleh penyerang untuk mendapatkan pengendalian kontrak.
Transaksi penyerangan:
Alamat penyerang:
No.16
Pada tanggal 23 Mei, token LFI diserang dan kehilangan sekitar 36rb USD.
Transaksi penyerangan:
Alamat penyerang:
No.17
Pada tanggal 23 Mei, token $CS mengalami serangan flash loan, dan penyerang mendapat untung sekitar 714k USD. Alasan utama untuk kerentanan ini adalah token $CS akan menghancurkan sebagian token dalam pasangan selama setiap transaksi (atau transfer) untuk menaikkan harga. BurnAmount dihitung dengan sellAmount, tetapi nilai sellAmount tidak diperbarui. Hal ini memungkinkan penyerang untuk menjual token dengan harga tinggi untuk mendapatkan keuntungan dengan menaikkan harga token melalui beberapa transaksi.
Transaksi penyerangan:
Alamat penyerang:
No.18
Pada tanggal 23 Mei, LOCALTRADERSCL ($LCT) diserang dan kehilangan sekitar 384BNB.
Transaksi penyerangan:
Alamat penyerang:
No.19
Pada tanggal 25 Mei, GPT diserang dan kehilangan sekitar 42k USD. Alasan utama untuk kerentanan ini adalah bahwa mekanisme pembakaran token dapat dipicu dengan memasukkan token ke dalam pair dan kemudian melakukan skim, sehingga mendorong harga naik.
Transaksi penyerangan:
**Tidak.20
Pada 26 Mei, CNN diserang, dan penyerang mendapat untung sekitar 5,6 ribu USD.
Transaksi penyerangan:
Alamat penyerang:
No.21
Pada 28 Mei, jimbosprotocol diserang dan kehilangan sekitar $7,5 juta.
Transaksi penyerangan:
Alamat penyerang:
No.22
Pada tanggal 29 Mei, babydogecoin diserang dan kehilangan sekitar $157.000. Kunci serangan tersebut adalah bahwa dalam kontrak FarmZAP, transaksi babydoge menikmati tingkat biaya 0. Penyerang menggunakan mekanisme pengembalian babydoge untuk menyebabkan perbedaan harga antara router babydoge FarmZAP dan pasangan babydoge di pancake Realisasikan arbitrase.
Transaksi penyerangan:
Alamat penyerang:
No.23
Pada tanggal 30 Mei, brankas ede_finance dieksploitasi, dan sekitar $580.000 hilang, dan penyerang telah mengembalikan 90% dana.
Alamat penyerang:
No.24
Pada tanggal 31 Mei, ERC20TokenBank diserang dan kehilangan sekitar $119.000.
Transaksi penyerangan:
Alamat penyerang:
1.2 Inventaris RugPull
No.1
Pada tanggal 04 Mei, zjz.eth rugpull dari wsbcoinofficial ($WSB ), $WSB turun 86%, zjz.eth membuang sebagian besar WSB dan menghasilkan keuntungan sebesar 334ETH (sekitar 653k USD).
No.2
05 Mei, token rugpull YODA, YODA turun -100%, yodacoineth telah menghapus akun/grup sosialnya, penipu telah mentransfer 68 ETH ($130K) ke FixedFloat.
Nomor 3
Rugpull Hakuna Matata pada 08 Mei, HAKUNA turun -100%.
No.4
Pada 09 Mei, Derpman kasar, DMAN turun -100%, mendapat untung sekitar 48,55 $ETH.
Nomor 5
Pada tanggal 15 Mei, geng rugpull telah membuat token palsu seperti #PEPEPE, #LADYS, #BENZ, #GGBOND, #BENEN, #NEWPEPE, #PEN, #TURBOO, #PEPELOL selama 3 hari terakhir. Penipu telah mentransfer sekitar 12 ETH ke MEXC.
No.6
Pada tanggal 19 Mei, Swaprum melawan Arbitrum, menghasilkan keuntungan sekitar $3 juta. Penyebar Swaprum menggunakan fungsi pintu belakang add() untuk mencuri token LP yang dijanjikan oleh pengguna, lalu menghapus likuiditas dari kumpulan untuk mendapatkan keuntungan.
No.7
26 Mei, rugpull dari @SeaSwapSui, yang menghapus Twitter dan akun sosial lainnya. Administrator segera menarik SUI dari kontrak penjualan token, dengan total 32.787 SUI ($32.000).
**Tidak.8
Pada tanggal 30 Mei, BlockGPT_BSC mengalami kesulitan. Keuntungannya sekitar 816BNB (sekitar $256K).
1.3 Penipuan media sosial dan inventaris phishing
No.1
Pada tanggal 01 Mei, situs web phishing dipromosikan di Twitter, jangan berinteraksi dengan hxxps://claimbob.site/.
No.2
Pada 02 Mei, situs web phishing CertiK palsu muncul, jangan berinteraksi dengan hxxps://claim.certik.app/.
Nomor 3
Pada tanggal 04 Mei, server Syncera_io Discord disusupi, harap jangan mengklik tautan apa pun hingga tim yakin bahwa mereka telah mendapatkan kembali kendali atas server.
No.4
Pada 04 Mei, akun Pepe Coin palsu muncul di Twitter, jangan berinteraksi dengan hxxps://pepegives.xyz/.
Nomor 5
Server Perselisihan FeetLabsHQ diserang pada 05 Mei, harap jangan mengklik tautan apa pun sampai tim yakin mereka telah mendapatkan kembali kendali atas server.
No.6
Pada tanggal 06 Mei, server STFX_IO Discord diserang, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
No.7
Pada 07 Mei, situs web klaim Pepe palsu muncul, jangan berinteraksi dengan hxxps://pepegift.org/
No.8
Pada tanggal 08 Mei, tautan phishing telah diposting di server Evmos Discord, harap jangan mengklik tautan apa pun hingga tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
No.9
Pada 08 Mei, akun MetaMask palsu muncul di Twitter, tidak terhubung dengan situs web hxxps://meta-token.net/#.
No.10
Pada 08 Mei, situs web klaim Bob palsu muncul, jangan berinteraksi dengan hxxps://bob-airdrop.com/.
No.11
Pada 09 Mei, akun peckShield palsu muncul di Twitter, jangan percaya apapun yang mencolok dari akun ini.
No.12
Pada 09 Mei, situs web airdrop Ben palsu muncul, jangan berinteraksi dengan hxxps://bencoineth.net/.
No.13
Pada 10 Mei, situs web klaim Pepe palsu muncul, jangan berinteraksi dengan hxxps://rewardspepe.com/.
No.14
Pada tanggal 11 Mei, harap berhati-hati terhadap situs klaim layerzero palsu yang sedang dipromosikan di Twitter dan jangan berinteraksi dengan situs hxxps://layerzero-network.app/.
No.15
Pada tanggal 14 Mei, server OnchainTrade Discord telah disusupi, harap jangan mengklik tautan apa pun hingga tim mengonfirmasi mendapatkan kembali kendali atas server.
No.16
Server opentensor Discord telah dikompromikan pada tanggal 14 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
No.17
Baik server Twitter BTFDRabbits dan #Discord dikompromikan pada tanggal 15 Mei, harap jangan mengklik tautan apa pun di salah satu platform hingga tim mengonfirmasi kontrol.
No.18
Pada tanggal 15 Mei, tautan phishing telah diposting di server Tyche Protocol Discord, harap jangan mengklik tautan apa pun hingga tim mengonfirmasi mendapatkan kembali kendali atas server.
**Tidak.19
Pada tanggal 16 Mei server Taskonxyz Discord telah disusupi oleh tautan phishing palsu yang diposting, jangan berinteraksi dengan hxxps://airdrop.taskon.tech/.
No.20
Server freshcut #Discord telah dikompromikan pada 16 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
No.21
Server MorphexFTM #Discord telah dikompromikan pada 16 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
No.22
Pada tanggal 17 Mei, server NEARProtocol Discord disusupi, harap jangan mengklik tautan apa pun hingga tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
No.23
Server Discord lifiprotocol telah dikompromikan pada 17 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
No.24
Server Discord auroraisnear telah dikompromikan pada 17 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
**Tidak.25
Server Perselisihan Mungkin0 telah dikompromikan pada tanggal 18 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
**Tidak.26
Pada tanggal 18 Mei, server Discord oDDbOOG diserang, harap jangan mengklik tautan apa pun sampai tim yakin mereka telah mendapatkan kembali kendali atas server.
**Tidak.27
Server HoraHub Discord telah dikompromikan pada tanggal 19 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
**Tidak.28
Server Perselisihan ArbitrumNewsDAO telah dikompromikan pada tanggal 19 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi mendapatkan kembali kendali atas server.
**Tidak.29
Pada tanggal 20 Mei, akun Twitter avianfoundation telah diretas dan mempromosikan situs phishing, jangan berinteraksi dengan hxxps://avn.finance/.
**Tidak.30
Pada tanggal 20 Mei, berhati-hatilah terhadap situs klaim koin yoda palsu yang dipromosikan di Twitter dan jangan berinteraksi dengan hxxps://claim-yoda.com.
**Tidak.31
Pada tanggal 20 Mei, berhati-hatilah terhadap situs klaim Psyop palsu yang dipromosikan di Twitter dan jangan berinteraksi dengan hxxps://claim-psyop.live/.
No.32
Server VenomBridge Discord telah dikompromikan pada tanggal 21 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
No.33
Server Perselisihan asimetrifin telah dikompromikan pada 22 Mei, harap jangan mengklik tautan apa pun sampai tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
No.34
Akun Twitter Alat Dex Palsu pada 22 Mei. Jangan berinteraksi dengan situs web hxxps://dextoois.com/.
**Tidak.35
Server Superlotl Discord telah disusupi pada tanggal 22 Mei, harap jangan mengklik tautan sampai tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
**Tidak.36
Server Perselisihan zerpmonxrp telah disusupi pada tanggal 23 Mei, harap jangan mengklik tautan sampai tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
**Tidak.37
Server mail3dao Discord telah disusupi pada tanggal 23 Mei, harap jangan mengklik tautan sampai tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
**Tidak.38
Pada tanggal 23 Mei, tautan phishing telah diposting di server MetaStars Striker Discord, harap jangan mengklik tautan tersebut sampai tim mengonfirmasi bahwa mereka telah mendapatkan kembali kendali atas server.
2. Ringkasan Keamanan
Pada Mei 2023, sejumlah insiden keamanan terjadi di DeFi. Eksploitasi logika kode, manipulasi harga flash loan, dll. Masih merupakan metode serangan yang umum digunakan oleh peretas. Token dengan model ekonomi yang lebih kompleks seperti mekanisme refleksi dan mekanisme reflow lebih cenderung menjadi sasaran serangan.objek. Pada saat yang sama, beberapa metode serangan baru telah muncul, seperti serangan proposal jahat yang diderita oleh Tornado Cash. Untuk menghindari kejadian serupa terjadi lagi, pengembang perlu mengambil tindakan untuk memastikan keamanan proyek, termasuk sepenuhnya memverifikasi logika kode dan model ekonomi, mengaudit proyek secara teratur, dan merilis rencana bug bounty setelah proyek ditayangkan. Pada saat yang sama, insiden phishing media sosial juga sering terjadi bulan ini, investor harus tetap waspada dan memperhatikan verifikasi penuh keaslian tautan sebelum berinteraksi dengan mereka untuk menghindari kerugian aset.