一、根本信息
2022 年 10 月发作较典型平安事务约『100』起。
本月进攻形式闪现多元化,进攻范畴包罗钱包、MEV 机器人、跨链,项目奖励等。
因为上个月 Profanity 东西被曝存在生成私钥被爆破的平安风险,招致本月也有多原因私钥泄露引发的进攻产生。
MEV 机器人,因校验存在缺陷,也成为了进攻者的进攻目标。
BNB Chain 跨链桥 BSC Token Hub 因校验存在缺陷,招致进攻者能够绕过校验并没有限铸币。
Team Finance 合约存在破绽,Uniswap V2 LP token 向 V3 的迁徙函数实现有问题,招致被进攻。
别的,部门项目标奖励池存在逻辑错误招致项目被进攻也警醒着人们关于奖励逻辑平安的根究。
而社媒诈骗和 Rug Pull 事务与上个月比拟仍然在大幅增加。
1.1 REKT 清点
No.1
10 月 1 日,THB 项目遭受进攻。进攻者操纵重进破绽窃取 THBR NFT。
进攻 hash: 0x57aa9c85e03eb25ac5d94f15f22b3ba3ab2ef60b603b97ae76f855072ea9e3a0
进攻合约: 0xfed1b640633fd0a4d77315d229918ab1f6e612f9
进攻者地址: 0xbc62b9ba570ad783d21e5eb006f3665d3f6bba93
No.2
10 月 2 日,跨链 DEX 聚合器 Transit Swap 遭受进攻,招致用户的资金从钱包中被取出。 到目前为行,缺失估量约为 2000 万美圆(约 49815 枚 BNB 和约 5182 枚 ETH),该项目目前已暂停运营。
进攻 hash:
0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189
0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7
No.3
10 月 4 日,Defi 利用 Sovryn 遭到价格把持进攻,约缺失 44.93 RBTC 和 21.1 万 USDT。
No.4
10 月 7 日,BSC Token Hub 遭遇黑客进攻。详细进攻过程阐发如下:币安跨链桥 BSC Token Hub 在停止跨链交易验证时,利用了一个特殊的预编译合约用于验证 IAVL 树。而该实现体例存在破绽,该破绽可能容许进攻者伪造肆意动静。
1)进攻者先拔取一个提交胜利的区块的哈希值(指定块:110217401)
2)然后构造一个进攻载荷,做为验证 IAVL 树上的叶子节点
3)在 IAVL 树上添加一个肆意的新叶子节点
4)同时,添加一个空白内部节点以称心实现证明
5)调整第 3 步中添加的叶子节点,使得计算的根哈希等于第 1 步中拔取的提交胜利的准确根哈希
6)最末构造出该特定区块(110217401)的提款证明 Beosin Trace 正在对被盗资金停止实时逃踪。
进攻 hash: 0xebf83628ba893d35b496121fb8201666b8e09f3cbadf0e269162baa72efe3b8b
No.5
10 月 9 日,XaveFinance 项目遭受黑客进攻,招致 RNBW 增发了 1000 倍。进攻交易为 0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a。
进攻过程如下,进攻者起首创建进攻合约 0xe167cdaac8718b90c03cf2cb75dc976e24ee86d3,该进攻合约起首挪用 DaoModule 合约 0x8f90 的 executeProposalWithIndex() 函数施行提案,提案内容为挪用 mint() 函数铸造 100,000,000,000,000 个 RNBW,并将 ownership 权限转移给进攻者。最初黑客将其兑换为 xRNBW,存放在进攻者地址上(0x0f44f3489D17e42ab13A6beb76E57813081fc1E2)。
进攻 hash: 0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a
No.6
10 月 11 日,TempleDAO 项目因合约函数没有查抄输进的参数遭受进攻,缺践约 237 万美圆。
进攻 hash: 0x8c3f442fc6d640a6ff3ea0b12be64f1d4609ea94edd2966f42c01cd9bdcf04b5
No.7
10 月 11 日,QANplatform 项目遭到进攻。进攻者的地址为0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11(BNB chain)疑似合约摆设者的私钥泄露。进攻者将窃取的 QANX 代币在 1inch 上换为 WBNB 代币。
进攻 hash:
0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51
0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82
No.8
10 月 11 日,DeBank 开发的插件钱包 Rabby 的 Swap Router 疑似存在一个破绽,可肆意转移用户资产。其合约中代币兑换函数间接通过 OpenZeppelin Addresslibrary 中的 functionCallWith Value 函数停止外部挪用,而挪用的目标合约以及挪用数据都可由用户传进,但合约中并未对用户传进的参数停止查抄,招致了肆意外部挪用问题。进攻者操纵此问题窃取对此合约受权过的用户的资金。
进攻者地址: 0xb687550842a24d7fbc6aad238fd7e0687ed59d55
No.9
10 月 12 日,Journey of awakening (ATK) 项目,遭受闪电贷进攻。
No.10
10 月 12 日,基于 Solana 的往中心化金融平台 Mango 遭受潜在 1 亿美圆价格把持进攻。经阐发,进攻者通过闪电贷,将 Mango 代币的价格拉升了 20 倍以上,然后做为抵押,借贷了其他的货币,并都提取,将活动性掏空。
No.11
10 月 13 日,FTX 交易所遭到 gas 窃取进攻,黑客操纵 FTX 付出的 gas 费用铸造了大量 XEN TOKEN。
详细进攻过程如下: 1.以此中一笔进攻交易为例 (0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),进攻者先在链上摆设进攻合约 (0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3) 2.FTX 热钱包地址会向进攻合约地址转进小额的资金,操纵进攻合约 (0xCba9…7FD3) 停止批量创建子合约。因为整个进攻中创建了大量合约,而且每次施行完子合约之后,子合约城市自毁。 3.接下来子合约 fallback() 函数往向 Xen 合约倡议铸币恳求,如下函数,claimRank() 函数传进一个时间期限(最小 1 天)停止铸币,铸币前提是只用付出挪用 gas 费,并没有其他成本,而且 claimMintReward() 函数为提取函数,该函数只揣度能否到达时间期限(本次黑客设置的时间期限为最小值 1 天),即可无前提提取。但在此次挪用过程中,交易倡议者为 FTX 热钱包地址,所以整个挪用过程的 gas 都是由 FTX 热钱包地址所付出,而 Xen 铸币地址为进攻者地址。 4. 1-3 中的步调,反复屡次,而且每次反复过程中城市将已到期的代币提取出来,而且同时倡议新的铸币恳求。
No.12
10 月 14 日,MEV 机器人(0x00000…..be0d72)被操纵,缺践约为 187.75WETH。此中进攻者用 Flashloan 借了 1WETH 并发送给机器人,随后机器人将 WETH 换成 USDC 并发送到进攻者的合约,进攻者将 USDC 换成 WETH 并提现。
No.13
10 月 14 日,Eden Network 的摆设者地址在链上倡议反常交易,摆设者挪用 setMetadataManager 将其元数据治理员权限转移到进攻者地址 0x5C95123b1c8d9D8639197C81a829793B469A9f32,随后该地址操纵此权限将 EDEN 币的名称和符号修改为”EDEN Hack Inu”和”EDENHACK”,因为摆设者地址关于 EDEN token 的 admin 权限早已转移,目前进攻暂未形成其他影响。破绽产生的原因,或由或由 profanity 破绽招致。
No.14
10 月 15 日,BNB Chain 上 RKC 代币合约(0x043d0B1cC034b79546d384aBDAeBA838d627F234)留有组合类后门,进攻者可通过预留的后门函数操做成为联系关系合约 Pool(0x7115a81Fa8226Caa629bE7363b621e4a46E1E3cd)的 admin,然后操纵 RKC 代币中具有后门的 transferFrom 转走肆意地址的代币。目前 PinkLock 上的锁定代币已被全数转出,并将被盗代币已换为 BNB(约 17.6 个)发送至地址 0xeB2cD19A76DF7B4C19965e0B0cba059658750D23。
No.15
10 月 15 日,Earning.Farm 的 EFLeverVault 合约遭到两次闪电贷进攻,第一笔进攻被 MEV bot 截获,形成合约缺失 480 ETH;第二笔黑客完成进攻,黑客获利 268 ETH。 颠末阐发,破绽是由合约的闪电贷回调函数未验证闪电贷倡议者产生,进攻者可自行触发合约的闪电贷回调逻辑:了偿合约内的 Aave stETH 债务并提现,然后将 stETH 兑换为 ETH。随后进攻者可挪用 withdraw 函数提现所有合约内的 ETH 余额。
No.16
10 月 17 日,NFT 平台 LiveArtX 的钱包在 10 月 17 日凌晨 0:24 被进攻,获得财库钱包的拜候权限,共窃取 197 枚 NFT,此中 100 枚属于金库,97 枚方案本用于营销活动。
No.17
10 月 17 日,MTDAO 项目方的未开源合约 0xFaC064847aB0Bb7ac9F30a1397BebcEdD4879841 遭受闪电贷进攻,受影响的代币为 MT 和 ULM。进攻交易为 0xb1db9743efbc306d9ba7b5b892e5b5d7cc2319d85ba6569fed01892bb49ea499,共获利 487,042.615 BUSD。进攻者通过未开源合约中的 0xd672c6ce 和 0x70d68294 函数,挪用了 MT 与 ULM 代币合约中的 sendtransfer 函数获利(因为同为项目方摆设,未开源合约 0xFaC06484 具有 minter 权限)。
MTDAO 合约地址: 0xFaC064847aB0Bb7ac9F30a1397BebcEdD4879841
进攻 hash: 0xb1db9743efbc306d9ba7b5b892e5b5d7cc2319d85ba6569fed01892bb49ea499
No.18
10 月 19 日,Celo 上的 Moola 协议遭受进攻,黑客获利约 900 万美圆。
详细进攻过程阐发如下:
第一步:进攻者停止了多笔交易,用 CELO 买进 MOO,进攻者起始资金(182000 枚 CELO).
第二步:进攻者利用 MOO 做为抵押品借出 CELO。根据抵押借贷的常见逻辑,进攻者抵押了价值 a 的 MOO,可借出价值 b 的 CELO。
第三步:进攻者用贷出的 CELO 购置 MOO,从而陆续进步 MOO 的价格。每次交换之后,Moo 对应 CELO 的价格变高。
第四步:因为抵押借贷合约在借出时会利用交易对中的实市价格停止揣度,招致用户之前的借贷数量,并未到达价值 b,所以用户能够陆续借出 CELO。通过不竭反复那个过程,进攻者把 MOO 的价格从 0.02 CELO 进步到 0.73 CELO。
第五步:进攻者停止了累计 4 次抵押 MOO,10 次 swap(CELO 换 MOO),28 次借贷,到达获利过程。
No.19
10 月 19 日,链上 Mev 机器人被进攻。合约地址开头为 0xf6d7 的 MEV 机器人因闪电贷回调缺践约 15 万美圆,进攻者地址为 smithbot.eth。
No.20
10 月 20 日,以太坊闹钟办事(Ethereum Alarm Clock)破绽被操纵,目前已招致约 26 万美圆被窃取。 以太坊闹钟办事让用户可以通过预先确定领受方地址、发送金额和交易时间来安放将来的交易。
No.21
10 月 21 日,OlympusDAO 的 BondFixedExpiryTeller 合约中的 redeem() 函数因无法准确验证输进招致了约 29.2 万美圆的缺失。
No.22
10 月 24 日,QuickSwap Lend 的项目因 Curve 预言机破绽被进攻,目前已因闪电贷进攻缺失 22 万美圆。
No.23
10 月 25 日,Melody SGS 项目标 Assets Deposit Upgrade 合约疑似遭受黑客进攻,进攻共形成 2225 枚 BNB 缺失。 初步思疑是因为项目标链下签名生成模块存在破绽,招致进攻者绕过拜候掌握,从而操纵 API 破绽生成了合法签名进而提取 SGS 和 SNS,并通过 Dex 抛售被盗资金,最末获利 2225BNB。
No.24
10 月 25 日,ULME 代币项目被黑客进攻,目前形成 50646 BUSD 缺失。
进攻过程如下:黑客起首操纵闪电贷借出 BUSD,因为用户前面给 ULME 合约受权,进攻者遍历了对合约停止受权的地址,然后批量转出已受权用户的 BUSD 到合约中,进步价格 ULME 价格,然后黑客卖掉之前闪电贷借出的 ULME,赚取 BUSD,回还闪电贷获利离场。
进攻 hash: 0xdb9a13bc970b97824e082782e838bdff0b76b30d268f1d66aac507f1d43ff4ed
No.25
10 月 27 日,Team Finance 在由 Uniswap v2 迁徙至 v3 的过程中遭到黑客进攻,已确定的缺失为 1450 万美圆。
进攻 hash:0xb2e3ea72d353da43a2ac9a8f1670fd16463ab370e563b9b5b26119b2601277ce
No.26
10 月 27 日,UVT 项目被黑客进攻,涉及金额为 150 万美圆。进攻交易为 0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499。经阐发进攻者起首操纵开发者摆设的另一个合约的具有 Controller 权限的 0xc81daf6e 办法,该办法会挪用被进攻合约的 0x7e39d2f8 办法,因为合约具有 Controller 权限,所以通过验证间接转走了被进攻合约的所有 UVT 代币。
进攻 Hash: 0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499
No.27
10 月 29 日,FriesDAO 遭到进攻,缺践约 230 万美圆,原因是进攻者获得了该协议操做者钱包的掌握权——似乎是因为 Profanity 钱包生成器的破绽招致的。
1.2 RugPull 清点
No.1
10 月 2 日,BTU 代币: 0xf5e88c44093252db8c8250df3cd51c8fd96cd6c9,价格下跌 88%.
No.2
10 月 3 日,GSLS 代币: 0xb1Dd2Cff2eb22FFc26B0Dc706D84e0A7DB552887,价格下跌 85%。
No.3
10 月 4 日,FDO 代币: 0xB4dAB11C24eDa8e1565f6aBd0CFDF1fde5767A67,价格下跌 96%。
No.4
10 月 4 日,RRB 代币: 0x4161557153cf56b10836b3f76f9b82561f23cb0c,价格下跌 89%。
No.5
10 月 5 日,Web3 社交平台 Sex DAO 疑似 Rug。项目方先用大量的 SED 代币向池子停止兑换,换出一部门 USDT,然后又移除了之前添加的活动性,目前资金池活动性几乎为 0,响应的 SED 代币也失往了价值。 目前官网跟官方 Twitter 均已无法拜候。
No.6
10 月 6 日,EAI 代币: 0x82b558c60fc4d1e12862b0d8fad693ae81aba48c,价格下跌 66%。
No.7
10 月 6 日,FGD 代币: 0x2206c35e770b66fb6fd0d6c633101819e4358fb8,价格下跌 83%。
No.8
10 月 6 日,RES 代币: 0xeccd8b08ac3b587b7175d40fb9c60a20990f8d21,价格下跌 98%。
No.9
10 月 7 号,GMX 代币: 0x73ec30019ca98c1db932d06636f484cf9e559dbb, 价格下跌 88%。
No.10
10 月 9 号,Jumpnfinance 项目 Rugpull。进攻交易为 0x48333962e6e946748a26d6222db95ce97e76c9ed3917123a7c9f2731f896b72c。经阐发,进攻者起首挪用 0xe156 合约的 0x6b1d9018() 函数,提取了该合约中的用户资产,存放在进攻者地址上(0xd3de02b1af100217a4bc9b45d70ff2a5c1816982)。
进攻 hash:0x48333962e6e946748a26d6222db95ce97e76c9ed3917123a7c9f2731f896b72c
No.11
10 月 10 日,JST 疑似 RugPull, 删除了所有的社交媒体账号。
合约地址:0xee6cacddd3a9370d87db581ee6728226883578e5
No.12
10 月 10 日,MMF 代币: 0x64427e98B5403bbE8A95F12B935d4275d2802B26,价格下跌 93%。
No.13
10 月 11 日,DMC 代币: 0x256b001173111d632e87e6812fe9c23272d29600,价格下跌 87%。
No.14
10 月 11 日,TME 代币: 0xd631464f596e2ff3b9fe67a0ae10f6b73637f71e,价格下跌 95%。
No.15
10 月 11 日,FC 代币: 0xa48d94e1cca09c4867d710cd24f002cb6aa196d3,价格下跌 99%。
No.16
10 月 12 日,ATK 代币: 0x9cB928Bf50ED220aC8f703bce35BE5ce7F56C99c, 价格下跌 99%。
No.17
10 月 13 日,KFT 代币: 0xe1e17b24f32Cfe85a3C1aB63f14082D70592f6eE,价格下跌 100%。
No.18
10 月 13 日,LGT 代币: 0xd21d53fa113dd5769aa1b603c296d6ae15d0044a, 价格下跌 95%。
No.19
10 月 15 日,PDB 代币:0x18a2E0ba304112134bd407744Ff0b0a03aE77327, 价格下跌 99%。
No.20
10 月 17 日,SHOK 代币:0xe1f41f5f11e89c674d6c6c23899f7773322756f2,价格下跌 83%。
No.21
10 月 17 日,BadySUC: 0x6890637881C60271C77275c0597b74df8540a596, 价格下跌 86%
No.22
10 月 18 日,Shih-Tzu: 0x74d00122a5d038914EAe062af8174C888F3166Dc,价格下跌 52%。
No.23
10 月 19 日,DDCX 代币: 0x2a895aFAEB582b5C914dAA3DEECc08C9705C9fBC,价格下跌 94%。
No.24
10 月 20 日,DD 代币: 0x7f7a036aba49122dbbdb3da9bd67b45f10fcd765,价格下跌 87%。
No.25
10 月 20 日,MNGO 代币: 0x335e14d18d8a903b782a39059dc35d61b94e1c1b,价格下跌 80%。
No.26
10 月 22 日,SocialShow 代币: 0x10B5F130B1191b4838500274de3cce9233C34b8B,价格下跌 80%。
No.27
10 月 23 日,ATV 代币: 0x06114Cad0D3B9B06963Aaba6a5Ec0c46C195838a,价格下跌 100%。
No.28
10 月 23 日,BTDOG 代币: 0x3e7960A0Cd30Dfde3C57E071936b98c7E98c8303,价格下跌 65.5%.
No.29
10 月 24 日,A6 项目: 0xE77D77309027c71F006DfF5d2F1b76060F4F5F13, 价格下跌 91.38%。
No.30
10 月 24 日,加密平台 Freeway 已停行平台所有取款,项目方删除了官方名单疑似 rugpull,涉及金额或超 1 亿美圆。
No.31
10 月 25 日,SANTA 代币:0x4F1A6FC6A7B65Dc7ebC4EB692Dc3641bE997c2F2,价格下跌 68.18%。
No.32
10 月 26 日,NWT 代币: 0x2c44c71df4dbd3634e43ab0bc6dcb809d5286443,价格狂跌 53%。
No.33
10 月 28 日,HLG 代币: 0x10f9Ccb9CfCa4ad48BC9256c22ade8303cf5E95E, 价格狂跌 90%。
No.34
10 月 29 日,GDAO 代币: 0xeB0dafA840Df31F5Ae18d54d96Bf9c7760fDb904 价格狂跌 96%,疑似项目方 rugpull。
No.35
10 月 29 日,LOO 代币: 0xfDB0fE3dD8F7e9A671f63b7e7db0935A955659ab 发作 rugpull, 价格下跌 97%。
No.36
10 月 30 日,ETT 代币:0xa941Ca288f7f79Eb215EA3492a0662BF12E7A205 发作 rugpull, 价格下跌 74%。
1.3 社媒诈骗与垂钓清点
社交诈骗类
No.1
10 月 1 日,BadDogsCompany 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.2
10 月 3 日,kinkverse 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.3
10 月 3 日,beeple 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.4
10 月 8 日,flaskiesNFT 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.5
10 月 12 日,DogeClub_NFT 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.6
10 月 12 日,thehirosnft 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.7
10 月 12 日,OthersideMeta twitter 账号被进侵,要小心那个账号发的任何链接
No.8
10 月 13 日,Devious_DeadNFT 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.9
10 月 13 日,GenuineUndead 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.10
10 月 14 日,ProjectKaitoNFT 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.11
10 月 16 日,WhisbeVandalz 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.12
10 月 17 日,SwampverseNFT 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.13
10 月 17 日,projectPXN 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.14
10 月 18 日,XANAMetaverse 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.15
10 月 18 日,AnimemeLabs 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.16
10 月 19 日,ForgottenTribe0 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.17
10 月 20 日,sougenco 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.18
10 月 22 日,Vivity_NFT 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.19
10 月 22 日,Shojira 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.20
10 月 22 日,经检测,加密平台 Gate 官方 Twitter 账户疑似被盗用。半小时前,进攻者操纵该账户发文,诱导用户进进虚假网站毗连钱包。
No.21
10 月 22 日,经阐发,@Blur_DAO 为收集垂钓账户,该虚假账户发布推文称目前已经开放 BLUR 代币查询,并贴出一个垂钓网址,提醒广阔用户切勿点击虚假链接。
No.22
10 月 26 日,Primordials_项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.23
10 月 28 日,OxyaOrigin 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.24
10 月 28 日,JunglersNFT 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.25
10 月 29 日,NFTInfernals 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.26
10 月 29 日,SchoolData_NFT 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.27
10 月 30 日,The_Chimpsons 项目 Discord 办事器已被进侵。请社区用户不要点击、铸造或批准任何交易。
No.28
10 月 31 日,Alexander Taub Twitter 账号被进侵,进攻者供给了一个假的网站要求扫码。请用户在点击一个网站前要确定网站。
加密网站垂钓类
No.1
10 月 5 日,检测到一个关于 uniswap 奖励的垂钓链接,进攻者会空投一些奖励代币到良多地址,并引导他们拜候该链接 /。
No.2
10 月 24 日,推特账号@zksync_io 是一个伪造的 zkSync 帐号,其主页上的 airdrop[.]zskync[.]io 是垂钓网站,提醒用户切勿点击虚假空投链接。
No.3
10 月 26 日,一名化名为“Monkey Drainer”的收集垂钓诈骗者在过往 24 小时内偷走 700 个 ETH,价值约 105 万美圆。
No.4
10 月 28 日,一伪造公链项目 Aptos 的虚假推特账号@AptosLabs_fi 发布诈骗空投垂钓链接,诈骗者已获利 114.8 枚 ETH。目前该虚假推特账号已有超 5 万名存眷者,airdrop[.]aptlabs[.]fi 为垂钓网站,提醒用户切勿点击垂钓网站,以免形成财富缺失。
1.4 其他
No.1
10 月 6 日,一个身份不明的垃圾邮件发送者正通过海量屏障交易输出填充 Zach 区块链的交易区块,目前已对 Zcash 节点运营商形成了严峻毁坏。
No.2
10 月 11 日,黑客正在向 Solana 加密货币所有者空投 NFT,假拆对新的 Phantom 平安更新发出警报,该更新招致安拆加密窃取歹意软件和偷盗加密货币钱包。
No.3
10 月 11 日,TokenPocket 官网遭受反常流量进攻,手艺团队正在停止告急庇护。手艺庇护期间,TokenPocket 网站将不克不及一般拜候,用户资产平安不会遭到影响。官方提醒用户进步警惕,重视识别欺诈风险。
No.4
10 月 21 日,Aptos Labs 团队在 10 月 20 日发现 Petra 上的一个 Bug,该 Bug 与现有钱包内的帐户创建有关,页面上展现的助记词可能会不准确。拜候准确的 12 个助记词短语的过程为,设置、治理帐户、输进密码,然后单击展现密钥恢复短语。当前,Petra 已修复该 Bug,将很快发布到 Google App Store。
No.5
10 月 26 日,Spookie Finance 项目前端疑似遭进攻,试图在任何提现操做之前受权 0xe316Ba 开头钱包地址,然后获取受害者的资产。相关资金似乎被发送至钱包地址 0x5451A25AFf1c14DDEF74D2AF703aaCc5d483782c,推特账号@SpookieFinance 已展现不存在,GHOST/WAVAX 跌幅达 100%。
二、平安总结
2022 年 10 月的平安事务涉及包罗钱包、MEV 机器人,DeFi 项目等多个方面。定见项目方在项目正式上线之前要觅觅可靠的平安审计机构对项目停止破绽审计,以免形成没必要要的缺失。
本月社媒诈骗事务较上月仍有大幅增加。项目方应该愈加重视 Discord 和 Twitter 等官方账号的庇护避免密码泄露,同时用户应进步对“freemint”活动的警惕,认真查看签订的交易能否契合预期。
同时不竭增加的 RugPull 项目也提醒着用户应当对高额回报连结警惕,而垂钓网站的增加也需要用户关于来路不明的所谓的官方链接连结间隔。