2023 年 5 月安全事件约造成 1800 万美元损失，相比上月有显著下降，但安全事件发生频率并未减少。

撰文：欧科云链

一、基本信息

2023 年 5 月安全事件约造成 1800 万美元损失，相比上月有显著下降，但安全事件发生频率并未减少。其中针对 Jimbos Protocol 的攻击造成了约 750 万美元损失。Arbitrum 链的 Swaprum 项目 Rug Pull 造成了约 300 万美元的损失。此外，社交媒体钓鱼事件仍然层出不穷，项目方 Discord 被控制并发布钓鱼链接的情况时常发生。

1.1 REKT 盘点

No.1

5 月 1 日，Level__Finance 被攻击，损失约 $1.1M。根本原因是 LevelReferralControllerV2 合约存在逻辑问题，合约中 claimMultiple 函数可以传入一组 epoch 让用户领取每个 epoch 的奖励，但如果传入的数组中有重复元素的话，这些奖励会被重复领取。

攻击准备交易：

https://www.oklink.com/cn/bsc/tx/0x6aef8bb501a53e290837d4398b34d5d4d881267512cfe78eb9ba7e59f41dad04

攻击交易：

https://www.oklink.com/cn/bsc/tx/0xe1f257041872c075cbe6a1212827bc346df3def6d01a07914e4006ec43027165

攻击者地址：

https://www.oklink.com/cn/bsc/address/0x61bbd8c1bc09c4f4549f3f77be5ad61a9929412e

No.2

5 月 3 日，Never Fall 项目被攻击，损失在 $70k 以上，攻击者通过价格计算的漏洞对价格进行操纵从而获利。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0xccf513fa8a8ed762487a0dcfa54aa65c74285de1bc517bd68dbafa2813e4b7cb

攻击者地址：

https://www.oklink.com/cn/bsc/address/0x53b757db8b9f3375d71eafe53e411a16acde75ee

No.3

5 月 3 日，AutoDonateUkraine（$ADU）代币遭遇闪电贷攻击，损失约 $7k。攻击者使用 deliver 函数增加 pair 中的 $ADU ，然后使用 skim 提取多余的 $ADU，重复操作几次后，pair 中的价格变得不平衡。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0xc6f6b70e9e35770b699da9b60244d461d02db66859df42319c3207d76931423c

攻击者地址：

https://www.oklink.com/cn/bsc/address/0xdaacd3431a29a21c0bae98ee220b075bebe70821

No.4

5 月 5 日，Deus Dao($DEI) 在 BSC 和 Arbitrum 链上均遭受攻击，损失 $1,337,375 ，主要漏洞在于 BurnFrom 函数中采用了错误的 allowance 计算，使得用户可以操纵合约对自己的 allowance 额度，从而将合约中的代币转走。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0xde2c8718a9efd8db0eaf9d8141089a22a89bca7d1415d04c05ba107dc1a190c3

https://www.oklink.com/cn/arbitrum/tx/0xb1141785b7b94eb37c39c37f0272744c6e79ca1517529fec3f4af59d4c3c37ef

攻击者地址：

https://www.oklink.com/cn/bsc/address/0x08e80ecb146dc0b835cf3d6c48da97556998f599

https://www.oklink.com/cn/arbitrum/address/0x189cf534de3097c08b6beaf6eb2b9179dab122d1

No.5

5 月 6 日， $BFT 代币似乎遭受攻击，损失约 275k USD。

攻击交易：https://www.oklink.com/cn/bsc/tx/0x5a89e083e8e3ad75c38be65a6a92d7e32249cf9b5ceb304bf1ae2409241993ff

攻击者地址：

https://www.oklink.com/cn/bsc/address/0x7e39468760c45205b616a385c414d2ffd7cbdc33

No.6

5 月 6 日，$MELO 遭受攻击，其原因是在 mint 函数中没有权限控制，任何人可以任意增发代币并转移到自己账户上。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0x3f1973fe56de5ecd59a815d3b14741cf48385903b0ccfe248f7f10c2765061f7

攻击地址：

https://www.oklink.com/cn/bsc/address/0x9bf2c7c21f3c488a1855dcd49158841c23e5c35b

No.7

5 月 9 日，MultiChainCapital（$MCC）代币遭受闪电贷攻击，作为反射型通缩代币，MCC 没有在地址中排出 Pair，允许攻击者调用 deliver 函数来 mint 代币，并出售获利 10eth。

攻击交易：

https://www.oklink.com/cn/eth/tx/0xf72f1d10fc6923f87279ce6c0aef46e372c6652a696f280b0465a301a92f2e26

攻击者地址：

https://www.oklink.com/cn/eth/address/0x8a4571c3a618e00d04287ca6385b6b020ce7a305

No.8

5 月 10 日，$SNK 代币被攻击，攻击者获利约 197k BUSD。其主要漏洞原因是奖励计算方式为存入资金数 * 存入时间。但在合约中没有控制时间和存入资金数量的对应关系。攻击者可以使用更早的时间参数和当前的资金量进行计算。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0x7394f2520ff4e913321dd78f67dd84483e396eb7a25cbb02e06fe875fc47013a

攻击者地址：

https://www.oklink.com/cn/bsc/tx/0x7394f2520ff4e913321dd78f67dd84483e396eb7a25cbb02e06fe875fc47013a

No.9

5 月 11 日，LW 代币受到攻击，攻击者获利 48,415 $USDT。这是一种价格操纵攻击，攻击者在将 USDT 换为 LW 代币过程中，触发了营销钱包的回购机制，拉升了代币的价格，然后攻击者卖出 LW 代币实现获利。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0xd0dd0c8aa71860ff2d7fe6f9763892d936e31fb8c1aef01ec5ffbc947dbedbeb

攻击者地址：

https://www.oklink.com/cn/bsc/address/0xffc21396bc3c981f057b4ec993edb2a305ef8a62

No.10

5 月 11 日，TrustTheTrident 遭受攻击，损失约 $95k。主要原因在于合约中 listToken[] 可以在 addLiquidity () 函数中设置。但是，这是操作应该由管理员完成。利用此漏洞，黑客可以在 listToken 中设置自创 token 并调用 sell 卖出。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0x247e61bd0f41f9ec56a99558e9bbb8210d6375c2ed6efa4663ee6a960349b46d

攻击者地址：

https://www.oklink.com/cn/bsc/address/0xc67af66b8a72d33dedd8179e1360631cf5169160

No.11

5 月 13 日，bitpaidio 遭受攻击，损失约 $30K。问题的根本原因是 Lock_Token () 没有正确更新锁定时间。 攻击者在 6 个月前做了一个 lock ()，导致 withdraw () 的时候计算出了超量的 reward。

攻击交易：https://www.oklink.com/cn/bsc/tx/0x1ae499ccf292a2ee5e550702b81a4a7f65cd03af2c604e2d401d52786f459ba6

攻击准备交易：

https://www.oklink.com/cn/bsc/tx/0xd4ee8a5ad903a00b03af10653cebde64d81781e7d4140a309ea707613106d4bb

攻击者地址：

https://www.oklink.com/cn/bsc/address/0x878a36edfb757e8640ff78b612f839b63adc2e51

No.12

5 月 13 日，TrustTheTrident 再次遭受攻击，损失了约 279 BNB，TrustTheTrident 允许用户做空代币，但价格依赖于 pair，很容易受到操纵。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0x7d04e953dad4c880ad72b655a9f56bc5638bf4908213ee9e74360e56fa8d7c6a

攻击者地址：

https://www.oklink.com/cn/bsc/address/0x1581262fd72776ba5da2337c4c4e1b92c6e36ae6

No.13

5 月 14 日，TrustTheTrident 再次遭受攻击，损失金额不明，根本原因是 StakingRewards 合约的 Claim () 函数没有正确验证输入参数，使得攻击者可以传递一个 Fake token 代替 USDT，从而获得更多 reward。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0xfe80df5d689137810df01e83b4bb51409f13c865e37b23059ecc6b3d32347136

攻击者地址：

https://www.oklink.com/cn/bsc/address/0xa3aa817587556c023e78b2285d381c68cee17069

No.14

5 月 14 日，landNFT 受到攻击，主要原因是项目的 mint 函数缺乏权限控制，攻击者为自己 mint 了 200 个 LandNFT，获利约 149616 BUSD。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0xe4db1550e3aa78a05e93bfd8fbe21b6eba5cce50dc06688949ab479ebed18048

攻击者地址：

https://www.oklink.com/cn/bsc/address/0x96b89c2560bcc43c342c12ba9c33dab7eb571a90

No.15

5 月 20 日，Tornado Cash 遭受恶意提案攻击。损失约 $1.1M。攻击者提出了一个恶意提案，在提案通过之后，采用合约自爆然后重新部署的方法更改了提案合约代码，在 tornado cash 合约执行提案时，为攻击者准备的地址增发选票获得合约控制权。

攻击交易：

https://www.oklink.com/cn/eth/tx/0x3274b6090685b842aca80b304a4dcee0f61ef8b6afee10b7c7533c32fb75486d

攻击者地址：

https://www.oklink.com/cn/eth/address/0x592340957ebc9e4afb0e9af221d06fdddf789de9

No.16

5 月 23 日，LFI 代币遭受攻击，损失约 36k USD。

攻击交易：

https://www.oklink.com/cn/polygon/tx/0xa0480d0f7c8d8bf898cadde954e773ddc3740f1ffa31cdd98fe4c5f5d8266243

攻击者地址：

https://www.oklink.com/cn/polygon/address/0x11576cb3d8d6328cf319e85b10e09a228e84a8de

No.17

5 月 23 日，$CS 代币遭受闪电贷攻击，攻击者获利约 714k USD。漏洞主要原因是 $CS 代币在每一次交易（或转账）过程中会销毁 pair 中部分代币以提高价格，burnAmount 由 sellAmount 计算出，但并没有更新 sellAmount 的值。使得攻击者可以通过多次交易推高代币价格从而以高价卖出代币获利。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0x906394b2ee093720955a7d55bff1666f6cf6239e46bea8af99d6352b9687baa4

攻击者地址：

https://www.oklink.com/cn/bsc/address/0x2cdeee9698ffc9fcabc116b820c24e89184027ba

No.18

5 月 23 日，LOCALTRADERSCL（$LCT) 遭受攻击，损失约 384BNB。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0x57b589f631f8ff20e2a89a649c4ec2e35be72eaecf155fdfde981c0fec2be5ba

https://www.oklink.com/cn/bsc/tx/0x49a3038622bf6dc3672b1b7366382a2c513d713e06cb7c91ebb8e256ee300dfb

攻击者地址：

https://www.oklink.com/cn/bsc/address/0xd771dfa8fa59bd2d1251a0481fca0cf216276dd7

No.19

5 月 25 日，GPT 遭受攻击，损失约 42k USD。漏洞主要原因是可以通过往 pair 中打入代币，再 skim 的方式触发代币 burn 机制，从而推高价格。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0x49a3038622bf6dc3672b1b7366382a2c513d713e06cb7c91ebb8e256ee300dfb

No.20

5 月 26 日，CNN 遭受攻击，攻击者获利约 5.6k USD。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0xd3bfd56c1f501d449199a4739f213631419dc6630e28355ce58196791eed63fc

攻击者地址：

https://www.oklink.com/cn/bsc/address/0xd771dfa8fa59bd2d1251a0481fca0cf216276dd7

No.21

5 月 28 日，jimbosprotocol 遭受攻击，损失约 $7.5M。

攻击交易：

https://www.oklink.com/cn/arbitrum/tx/0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda

攻击者地址：

https://www.oklink.com/cn/arbitrum/address/0x102be4bccc2696c35fd5f5bfe54c1dfba416a741

No.22

5 月 29 日，babydogecoin 遭受攻击，损失约 $157,000 ，攻击的关键在于 FarmZAP 合约中，babydoge 的买卖享受 0 费率，攻击者利用 babydoge 的回流机制，使得 FarmZAP 的 babydoge router 和 pancake 中的 babydoge pair 形成价差实现套利。

攻击交易：

https://www.oklink.com/cn/bsc/tx/0x098e7394a1733320e0887f0de22b18f5c71ee18d48a0f6d30c76890fb5c85375

攻击者地址：

https://www.oklink.com/cn/bsc/address/0xcbc0d0c1049eb011d7c7cfc4ff556d281f0afebb

No.23

5 月 30 日，ede_finance 的 vault 被利用，损失了约 $580,000 ，攻击者已经返还 90% 资金。

攻击者地址：

https://www.oklink.com/cn/arbitrum/address/0x80826e9801420e19a948b8ef477fd20f754932dc

No.24

5 月 31 日，ERC20TokenBank 被攻击，损失约 $119,000。

攻击交易：

https://www.oklink.com/cn/eth/tx/0x578a195e05f04b19fd8af6358dc6407aa1add87c3167f053beb990d6b4735f26

攻击者地址：

https://www.oklink.com/cn/eth/address/0xc0ffeebabe5d496b2dde509f9fa189c25cf29671

1.2 RugPull 盘点

No.1

5 月 04 日，wsbcoinofficial （$WSB ）的 zjz.eth rugpull，$WSB 下跌了 86%，zjz.eth 抛售了大部分 WSB 并获利 334ETH（约 653k USD）。

No.2

5 月 05 日， YODA 代币 rugpull，YODA 下跌了 -100%，yodacoineth 已经删除了其社交账户 / 群组，诈骗者已经将 68 ETH ($130K) 转移到 FixedFloat 。

No.3

5 月 08 日，Hakuna Matata rugpull，HAKUNA 下跌了 -100%。

No.4

5 月 09 日，Derpman rugged，DMAN 下跌了 -100% ，获利约 48.55 $ETH。

No.5

5 月 15 日， rugpull 团伙在过去 3 天内一直在创建虚假 token，例如 #PEPEPE、#LADYS、#BENZ、#GGBOND、#BENEN、#NEWPEPE、#PEN、#TURBOO， #PEPELOL。 诈骗者已经将大约 12 ETH 转移到 MEXC 。

No.6

5 月 19 日，Arbitrum 上的 Swaprum rugged，获利约 300 万美元。 Swaprum 的部署者使用 add() 后门函数窃取用户质押的 LP 代币，然后从池中移除流动性以牟利。

No.7

5 月 26 日， @SeaSwapSui 的 rugpull，它删除了 Twitter 并和其他社交账号。 管理员从代币销售合约中紧急撤回 SUI，总计 32787 SUI（32,000 美元）。

No.8

5 月 30 日，BlockGPT_BSC rugged。获利约 816BNB（约 $256K）。

1.3 社媒诈骗与钓鱼盘点

No.1

5 月 01 日 ，Twitter 上出现推广的钓鱼网站， 不要与 hxxps://claimbob.site/ 交互。

No.2

5 月 02 日，出现虚假的 CertiK 钓鱼网站，不要与 hxxps://claim.certik.app/ 交互。

No.3

5 月 04 日，Syncera_io Discord 服务器遭受攻击， 在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.4

5 月 04 日，推特上出现虚假的 Pepe Coin 帐户，不要与 hxxps://pepegives.xyz/ 交互 。

No.5

5 月 05 日，FeetLabsHQ Discord 服务器遭受攻击， 在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.6

5 月 06 日，STFX_IO Discord 服务器遭受攻击， 在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.7

5 月 07 日，出现虚假的 Pepe claim 网站，不要与 hxxps://pepegift.org/ 交互

No.8

5 月 08 日，Evmos Discord 服务器中发布了钓鱼链接，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.9

5 月 08 日，推特上出现虚假的 MetaMask 帐户，不要与 hxxps://meta-token.net/# 网站连接。

No.10

5 月 08 日，出现了虚假 Bob claim 网站，不要与 hxxps://bob-airdrop.com/ 交互。

No.11

5 月 09 日， 推特上出现了虚假的 peckShield 账户，不要相信该账号发布的任何吸引眼球的内容。

No.12

5 月 09 日，出现了虚假 Ben 空投网站，不要与 hxxps://bencoineth.net/ 交互。

No.13

5 月 10 日，出现了虚假 Pepe claim 网站，不要与 hxxps://rewardspepe.com/ 交互。

No.14

5 月 11 日，请注意在 Twitter 上宣传的虚假 layerzero claim 网站，不要与 hxxps://layerzero-network.app/ 网站交互。

No.15

5 月 14 日，OnchainTrade Discord 服务器已被入侵，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.16

5 月 14 日，opentensor Discord 服务器已被入侵，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.17

5 月 15 日，BTFDRabbits Twitter 和#Discord 服务器同时遭到破坏，在团队确认控制权之前，请勿点击任一平台上的任何链接。

No.18

5 月 15 日，Tyche 协议 Discord 服务器中发布了一个钓鱼链接，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.19

5 月 16 日，taskonxyz Discord 服务器已被发布的虚假网络钓鱼链接所破坏，不要与 hxxps://airdrop.taskon.tech/ 交互。

No.20

5 月 16 日，freshcut #Discord 服务器已被入侵，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.21

5 月 16 日，MorphexFTM #Discord 服务器已被入侵，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.22

5 月 17 日，NEARProtocol Discord 服务器已被入侵，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.23

5 月 17 日，lifiprotocol Discord 服务器已被入侵，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.24

5 月 17 日，auroraisnear Discord 服务器已被入侵，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.25

5 月 18 日，Probably0 Discord 服务器已被入侵，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.26

5 月 18 日，oDDbOOG Discord 服务器遭受攻击，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.27

5 月 19 日，TheHoraHub Discord 服务器遭受攻击，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.28

5 月 19 日，ArbitrumNewsDAO Discord 服务器已被入侵，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.29

5 月 20 日，avianfoundation Twitter 帐户已被入侵并正在宣传钓鱼网站，不要与 hxxps://avn.finance/ 交互。

No.30

5 月 20 日，警惕在 Twitter 上推广的假 yoda 币 claim 网站 ，不要与 hxxps://claim-yoda.com 交互。

No.31

5 月 20 日，警惕在 Twitter 上推广的虚假 Psyop claim 网站 ，不要与 hxxps://claim-psyop.live/ 交互。

No.32

5 月 21 日， VenomBridge Discord 服务器已被入侵，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.33

5 月 22 日，asymmetryfin Discord 服务器已被入侵，在团队确认重新获得对服务器的控制之前，请勿点击任何链接。

No.34

5 月 22 日，虚假 的 Dex Tools Twitter 帐户。 不要与 hxxps://dextoois.com/ 网站进行交互。

No.35

5 月 22 日，Superlotl Discord 服务器遭受攻击， 在团队确认他们已重新获得服务器控制权之前，请勿点击链接。

No.36

5 月 23 日，zerpmonxrp Discord 服务器已被入侵，在团队确认他们已重新获得服务器控制权之前，请勿点击链接。

No.37

5 月 23 日，mail3dao Discord 服务器遭受攻击， 在团队确认他们已重新获得服务器控制权之前，请勿点击链接。

No.38

5 月 23 日，网络钓鱼链接已发布在 MetaStars Striker Discord 服务器中，在团队确认他们已重新获得服务器控制权之前，请勿点击链接。

二、安全总结

2023 年 5 月，DeFi 发生了多起安全事件，代码逻辑漏洞利用、闪电贷价格操纵等依然是黑客常用的攻击手段，拥有较为复杂经济模型如反射机制、回流机制等代币更容易成为攻击的对象。同时也出现了一些新的攻击方式，如 Tornado Cash 遭受的恶意提案攻击等。为了避免类似的事件再次发生，开发者需要采取行动保障项目安全，包括对代码逻辑、经济模型进行充分验证、定期对项目进行审计以及发布项目上线后的漏洞赏金计划等。同时，本月社交媒体钓鱼事件也较为多发，投资者需保持警惕，注意在与链接交互之前充分核实其真实性，以免造成资产损失。