2023 年 2 月安全事件共造成约 3796 万美元损失，相较于上个月，安全事件数量与损失金额都有显著上升。

撰文：欧科云链

一、基本信息

2023 年 2 月安全事件共造成约 3796 万美元损失，相较于上个月，安全事件数量与损失金额都有显著上升，其中 Platypus Finance 闪电贷攻击为单次利用损失之最高达 850 万美元。本月 RugPull 数量基本与上月持平，损失金额占比显著降低，但社媒诈骗等事件依然高发，Twitter 项目方账户伪造与官方 Discord 被攻击发布钓鱼链接层出不穷。

1.1 REKT 盘点

No.1

2 月 2 日，非托管借贷平台 BonqDAO 和加密基础设施平台 AllianceBlock 因 BonqDAO 的智能合约漏洞而被黑客攻击，损失价值约 1.2 亿美元的代币，攻击者在抛售部分攻击得到的代币后实际获利约 200 万美元。黑客在抵押 10 个 TRB 代币后拥有了调用 Bonq 智能合约中预言机「updatePrice」功能的权限，接着更新了 WALBT 抵押品 Tellor 的喂价。攻击者将 WALBT 的价格设置为一个极高的值，这使得他可以在更新价格后在同一笔交易中借入几乎不需要抵押品的资产。然后攻击者几乎零抵押从 Bonq 铸造资产，并将其兑换成其他资产。

攻击交易：

https://www.oklink.com/zh-cn/polygon/tx/0x31957ecc43774d19f54d9968e95c69c882468b46860f921668f2c55fadd51b19

BonqDAO 合约地址：

https://www.oklink.com/zh-cn/polygon/address/0x4248fd3e2c055a02117eb13de4276170003ca295

攻击合约：

https://www.oklink.com/zh-cn/polygon/address/0xed596991ac5f1aa1858da66c67f7cfa76e54b5f1

攻击者地址：

https://www.oklink.com/zh-cn/polygon/address/0xcacf2d28b2a5309e099f0c6e8c60ec3ddf656642

No.2

2 月 3 日，Orion Protocol 遭受重入攻击，在 ETH 和 BSC 链上损失超 300 万美元。此次漏洞原因主要是 swapThroughOrionPool 函数允许用户提供交换 token 的路径，而黑客通过构造包含钩子的恶意 token，劫持了交换路径，将调用逻辑转移到 depositAsset 函数，从而 0 成本增加余额。

BSC 攻击交易：

https://www.oklink.com/zh-cn/bsc/tx/0xfb153c572e304093023b4f9694ef39135b6ed5b2515453173e81ec02df2e2104

ETH 攻击交易：

https://www.oklink.com/zh-cn/eth/tx/0xa6f63fcb6bec8818864d96a5b1bb19e8bd85ee37b2cc916412e720988440b2aa

BSC 攻击者地址：

https://www.oklink.com/zh-cn/bsc/address/0x837962b686fd5a407fb4e5f92e8be86a230484bd

ETH 攻击者地址：

https://www.oklink.com/zh-cn/eth/address/0x837962b686fd5a407fb4e5f92e8be86a230484bd

BSC 攻击合约地址（已自毁）：

https://www.oklink.com/zh-cn/bsc/address/0x84452042cb7be650be4eb641025ac3c8a0079b67

ETH 攻击合约地址（已自毁）：

https://www.oklink.com/zh-cn/eth/address/0x5061f7e6dfc1a867d945d0ec39ea2a33f772380a

No.3

2 月 4 日，Arbitrum 上的收益自动化协议 SperaxUSD 遭受攻击，损失约 30 万美元。 造成黑客攻击的根本原因在合约存在将帐户从 rebasing-based 迁移到 non-rebasing 时，过早的修改账户类型导致提前使用 non-rebasing 机制计算余额。 

攻击交易：

https://www.oklink.com/zh-cn/arbitrum/tx/0xe74641b4b7e9c9eb7ab46082f322efbc510b8d39af609d934f41c41d7057fe49

https://www.oklink.com/zh-cn/arbitrum/tx/0xfaf84cabc3e1b0cf1ff1738dace1b2810f42d98baeea17b146ae032f0bdf82d5

攻击者：

https://www.oklink.com/zh-cn/arbitrum/address/0x5c978dF5F8AF72298fe1c2C8C2C05476a10F2539

https://www.oklink.com/zh-cn/arbitrum/address/0x4AfcD19bB978Eaf4F993814298504eD285df1181

No.4

2 月 7 日，BSC 链上的 TWT 项目遭受攻击，黑客获利 13.73 万美元。导致本次攻击的原因是 claimReward() 函数存在缺陷，黑客转移代币到奖励合约就能获得超额奖励。

合约地址：

https://www.oklink.com/zh-cn/eth/address/0xd4df22556e07148e591b4c7b4f555a17188cf5cf

No.5

2 月 7 日，ETH 链上的 CoWSwap 项目遭受攻击，黑客获利 18.1 万美元。导致本次攻击的起因是 CoWDAO 引入了一种白名单机制来降低 solver 竞争带来的 CoW 结算合约资金风险，而白名单中的 Barter Solver 对一个存在任意调用的合约进行了授权，所用人都可以通过这个授权来进行代币转移。

合约地址：

https://www.oklink.com/zh-cn/eth/address/0x9008d19f58aabd9ed0d60971565aa8510560ab41

攻击交易：

https://www.oklink.com/zh-cn/eth/tx/0x61a5196468b276bcedc3aab2f2fe255c2d54ca1c655523f4b25c99b1a224e715

No.6

2 月 8 日，BSC 链 HZUSD 项目遭受攻击，损失约 7 万美元。漏洞核心为提款函数缺乏权限限制。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0xcb9d192f6b846d9adcefa56382f6cf60b2e2b0fb

No.7

2 月 10 日，去中心化金融协议 dforce 遭受只读重入攻击，损失约 365 万美元。漏洞原因在于获取价格函数 get_virtual_price 获取的是代币比值，而 remove_liquidity 函数中的 raw_call 函数可以实现对 get_virtual_price 的外部调用，导致攻击者通过 flashloan 操纵价格。

optimistic 攻击交易：

https://www.oklink.com/zh-cn/optimism/tx/0x6c19762186c9f32c81eb2a79420fc7ad4485aa916cab37ec278b216757bfba0d

arbitrum 攻击交易：

https://www.oklink.com/zh-cn/arbitrum/tx/0x5db5c2400ab56db697b3cc9aa02a05deab658e1438ce2f8692ca009cc45171dd

黑客地址:

ETH:https://www.oklink.com/zh-cn/eth/address/0xe0d551017c0111ac11108641771897aa33b2817c

Optimistic:https://www.oklink.com/zh-cn/optimism/address/0xe0d551017c0111ac11108641771897aa33b2817c

Arbitrum:https://www.oklink.com/zh-cn/arbitrum/address/0xe0d551017c0111ac11108641771897aa33b2817c

Arbitrum 被攻击合约：

https://www.oklink.com/zh-cn/arbitrum/address/0x6eb2dc694eb516b16dc9fbc678c60052bbdd7d80

Optimistic 被攻击合约：

https://www.oklink.com/zh-cn/optimism/address/0xb90b9b1f91a01ea22a182cd84c1e22222e39b415

No.8

2 月 16 日，Avalanche 链上的 Platypus Finance 在其稳定币 USP 上遭受闪电贷攻击，损失了 850 万美元。漏洞核心是提取抵押品的检查机制不完善，emergencyWithdraw() 函数只检查用户的头寸目前是否有偿付能力，但忽略应该首先检查任何借入资金的影响。这使得黑客可以提取所提供的抵押品的同时保留借来的 USP。

No.9

2 月 17 日，去中心化交易聚合器 Dexible 遭受攻击，在以太坊和 Arbitrum 上总共损失了 200 万美元。漏洞核心在于 Dexiblev2 合约允许用户通过 selfSwap 功能定义自己的交易路由。然而，该功能并没有通过使用链上许可列表来检查路由器地址是否真的是一个 DEX 合约。路由器地址没有以任何方式在链上得到验证，意味着黑客可以直接调用代币合约，转移任何在 Dexible 合约上有过授权的账户的代币。

攻击者地址：

ETH:https://www.oklink.com/zh-cn/eth/address/0x684083f312ac50f538cc4b634d85a2feafaab77a

BSC:https://www.oklink.com/zh-cn/bsc/address/0x684083f312ac50f538cc4b634d85a2feafaab77a

Arbitrum:https://www.oklink.com/zh-cn/arbitrum/address/0x684083f312ac50f538cc4b634d85a2feafaab77a

攻击交易示例：

https://www.oklink.com/zh-cn/eth/tx/0x138daa4cbeaa3db42eefcec26e234fc2c89a4aa17d6b1870fc460b2856fd11a6

No.10

2 月 24 日，Shata Capital 的 EFVault 被攻击，损失约 510 万美元，问题原因在于升级出现错误。

攻击交易：

https://www.oklink.com/zh-cn/eth/tx/0x1fe5a53405d00ce2f3e15b214c7486c69cbc5bf165cf9596e86f797f62e81914

https://www.oklink.com/zh-cn/eth/tx/0x31565843d565ecab7ab65965d180e45a99d4718fa192c2f2221410f65ea03743

攻击合约：

https://www.oklink.com/zh-cn/eth/address/0x8b5a8333ec272c9bca1e43f4d009e9b2fad5efc9

No.11

2 月 27 日，BSC 链上的 SwapXOfficial 项目遭受攻击损失 100 万美元，黑客获利约 31.3 万美元。漏洞核心在于购买函数存在权限控制缺陷，黑客在购买代币后，「强制」代币其它授权此合约的用户进行够购买拉升价格，最后抛售。

攻击交易：

https://www.oklink.com/zh-cn/bsc/tx/0xb05164989d3ccefd68e81791841c20723e6cfcaf980e9bcbd506d8551173eedb

攻击者地址：

https://www.oklink.com/zh-cn/bsc/address/0x2c1f05e120710de792061031cfb05847ce53fc56

攻击合约：

https://www.oklink.com/zh-cn/bsc/address/0xc4bea60f5644b20ebb4576e34d84854f9588a7e2

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x0ccee62efec983f3ec4bad3247153009fb483551

1.2 RugPull 盘点

No.1

2 月 5 日，polygon 链 YAYO 项目疑似 RugPull，攻击者移除了 8 万美元的流动性，YAYO 币价下跌超过 81%。

合约地址：

https://www.oklink.com/zh-cn/polygon/token/0x078f358208685046a11c85e8ad32895ded33a249

No.2

2 月 5 日，BSC 链 DOXED (DOX) 疑似 RugPull，攻击者移除了 3 万美元的流动性，YAYO 币价下跌超过 99%。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0xeda3eb7a5494443beb800cd4cc70388228cee84e

No.3

2 月 6 日，BSC 链 SUI 项目疑似 RugPull，涉及金额超过 10 万美元。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x29bb058cc9f11ec778a6691a4ea4c54186837112

No.4

2 月 6 日，BSC 链 DCT 项目发生 RugPull，攻击者移除了 2.7 万美元的流动性，并将手中的 DCT 兑换为了 9700USDT。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x48a0b5f2d0f36598f470334f4fe21900bf2bf71b

No.5

2 月 6 日，BSC 链 ZODC 项目发生 RugPull，部署者移除流动性，获利 3 万美元。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x436f510a72f7972996b07dc2edeafa26308539e7

No.6

2 月 9 日，BSC 链 Aki 项目疑似发生 RugPull，流动性被部署者移除，金额约 3.4 万美元。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x4b6cb2bf1f0b594d0211c4df2b0dd1aa4c7a1892

No.7

2 月 9 日，BSC 链 ROT 项目疑似发生 Rug pull，移除流动性金额为 11.6 万美元。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0xc631a358c9ef5da18144a185b7122735d4c04be9

No.8

2 月 9 日，BSC 链 OBB 项目发生 RugPull，OBB 币价下跌超过 98%，攻击者获利 15.6 万美元。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0xd23b64dbd334d12c38f09cc9eb23350aa1034c30

No.9

2 月 10 日，BSC 链 MOON 项目发生 RugPull，MOON 币价下跌超过 99%，攻击者活力 4.2 万美元。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x5a6b8dad072bb9257dcd6b3125126c0637aa2f0a

No.10

2 月 11 日，BSC 链 MHT 项目发生 RugPull，币价下跌超过 50%。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x5cb2c3ed882e37da610f9ef5b0fa25514d7bc85b

No.11

2 月 11 日，BSC 链 BAT 项目发生 RugPull，币价下跌超过 88%。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x8d9b0d8cbb313969059a029322a3911059087899

No.12

2 月 13 日，BSC 链 SwtAi 项目发生 RugPull，币价下跌超过 88%。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x8741021bd9f7124e5fcb638c1b3c181260a99022

No.13

2 月 19 日，BSC 链 SATT KING (Satt King) 项目发生 RugPull，以约 5.2 万美元的价格出售，币价下跌超过 99%。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x26822d43f34224707e267e6496a3f22cf8478bdd

No.14

2 月 19 日，BSC 链 TG 项目发生 RugPull，币价下跌超过 95%。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x73d4f19933ad86cc004bf5de696b1f1e64ec6377

No.15

2 月 22 日，BSC 链 SNW 项目发生 RugPull，攻击者获利 16.1 万美元，币价下跌 97%。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x8aa19e10d52817cacba5ee066eff38330c900223

No.16

2 月 22 日，BSC 链 DYNA 项目发生 RugPull，攻击者获利 2.2 万美元，币价下跌 93%。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x5c0d0111ffc638802c9efccf55934d5c63ab3f79

No.17

2 月 28 日，BSC 链 JNB 项目发生 RugPull，攻击者获 10.6 万美元，币价下跌 98%。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x9119e3f30c18b9e6b16ab6589534391e5e4a5653

1.3 社媒诈骗与钓鱼盘点

No.1

2 月 1 日，Rektdogs 项目 Discord 服务器遭攻击，攻击者发布钓鱼消息。

No.2

2 月 1 日，Squishiverse 项目 Discord 遭攻击，攻击者发布钓鱼消息。

No.3

2 月 1 日，realmhunterio 项目 Discord 服务器遭攻击，攻击者发布虚假消息。

No.4

2 月 1 日，oogyNFT 项目 Discord 服务器遭受攻击，攻击者发布虚假消息。

No.5

2 月 1 日，SoDeadNFT 项目 Discord 服务器遭受攻击，攻击者发布虚假消息。

No.6

2 月 1 日，Candies_NFT 项目 Discord 服务器遭受攻击，攻击者发布虚假消息。

No.7

2 月 2 日，TheSquaresNFTs 项目 Discord 服务器遭受攻击，攻击者发布虚假消息。

No.8

2 月 2 日，SuperordinaryF 项目的 Twitter 遭受盗用，攻击者发布虚假消息。

No.9

2 月 3 日，OogaVerse 项目的 Twitter 和 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.10

2 月 4 日，gemxyz 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.11

2 月 5 日，loudpunxnft 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.12

2 月 6 日，3mojiHQ 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.13

2 月 7 日，ChimpersNFT 项目的 Twitter 遭受盗用，攻击者发布虚假消息。

No.14

2 月 7 日，假冒推特账户 subberxyz 发布虚假消息。

No.15

2 月 7 日，EXONIKS_NFTs 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.16

2 月 7 日，ScarecrowwNft 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.17

2 月 8 日，DrunkenApeSC 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.18

2 月 8 日，TheWanderverse_项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.19

2 月 10 日，weaboveofficial 项目的 Twitter 账户遭受盗用，攻击者发布虚假消息。

No.20

2 月 11 日，FusionXnft 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.21

2 月 14 日，Yosei_NFT 项目的 Discord 服务器发布虚假消息。

No.22

2 月 14 日，虚假账户 LidoFinance 发布钓鱼消息。

No.23

2 月 15 日，PRJTzumi 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.24

2 月 15 日，ssv_network 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.25

2 月 15 日，Undeadscom 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.26

2 月 16 日，arts_dao 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.27

2 月 18 日，OkCat_NFT 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.28

2 月 18 日，虚假账户 RealFlokiInu 发布钓鱼消息。

No.29

2 月 19 日，虚假账户 compusophy 发布钓鱼消息。

No.30

2 月 20 日，虚假账户 API3DAO 发布钓鱼消息。

No.31

2 月 20 日，gitcoin 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.32

2 月 21 日，虚假账户 garbagefriends 发布钓鱼消息。

No.33

2 月 21 日，虚假账户 CyberBotsNFT 发布钓鱼消息。

No.34

2 月 21 日，fwenclub 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.35

2 月 22 日，fRiENDSiES_Ai 项目被确认为骗局。

No.36

2 月 22 日，DaosaurNFT 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.37

2 月 22 日，虚假账户 STFX_IO 发布钓鱼消息。

No.38

2 月 22 日，虚假账户 blur_io 发布钓鱼消息。

No.39

2 月 23 日，Level__Finance 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.40

2 月 24 日，CryptoRubic 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.41

2 月 24 日，虚假账户 arbitrum 发布钓鱼消息。

No.42

2 月 25 日，MurAll_art 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.43

2 月 25 日，虚假账户 lBlur_io 发布钓鱼消息。

No.44

2 月 25 日，EldritchOrdr 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

No.45

2 月 28 日，虚假账户 BuildOn_Base 发布钓鱼消息。

No.46

2 月 28 日，gangstaguysnft 项目的 Discord 服务器遭受盗用，攻击者发布虚假消息。

1.4 其他

No.1

2 月 7 日，BSC 链 LianGoProtocol 项目私钥泄漏，币价下跌超过 97%，金额损失超过 160 万美元。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0x62e8e3036964e9cfa21e970e8257b27f487175d8

No.2

2 月 12 日，BSC 链 MMT 项目私钥泄漏，币价下跌超过 79%，金额损失超过 6.2 万美元。

合约地址：

https://www.oklink.com/zh-cn/bsc/address/0xc91f7096ff24b8caee44f7c0c94b00b70cec682a

No.3

2 月 21 日，hope_fin 项目内部员工利用权限修改合约内容，骗取用户约 200 万资产。

No.4

2 月 28 日，Myalgo 钱包攻击事件或导致 ALgorand 上逾 920 万美元资产被盗。

二、安全总结

2023 年 2 月多次出现达到甚至超过百万美元的黑客攻击提醒着项目方，项目安全不容疏忽，不止在项目上线前需要进项目审计，在项目正式运行后还需要漏洞赏金或者持续审计。特别是本月两次出现重入漏洞攻击，这在审计活动中发现概率较高，如果进行审计或存在漏洞赏金，有望在被攻击前发现问题。本月社媒诈骗钓鱼项目多发，数个项目官方 discord 被攻击发布钓鱼链接，用户参与相关项目时，需要时刻保持警惕，请不要随意点击可疑链接，以防止资产损失。