Được viết bởi: OKLink

1. Thông tin cơ bản

Vào tháng 9 năm 2023, sự cố REKT và RugPull đã gây ra khoản lỗ lũy kế khoảng 114,34 triệu USD, tăng đáng kể so với khoản lỗ 41,82 triệu USD trong tháng trước và số lượng sự cố được báo cáo đã giảm đáng kể. Sau các sự cố vào tháng trước, Balancer, một dự án hàng đầu lâu đời, cũng gặp phải các vấn đề bảo mật với các trang giao diện người dùng của nó trong tháng này và nó đã hứng chịu các cuộc tấn công chiếm quyền điều khiển BGP hoặc DNS. Tuy nhiên, vì nhóm dự án đã xử lý phản hồi về lỗ hổng một cách khẩn cấp sau khi nhận được nên tổn thất đã giảm đi rất nhiều. Khoản lỗ lớn nhất trong tháng này là sàn giao dịch tiền điện tử CoinEx, với khoản lỗ lên tới 70 triệu USD. Số lượng sự cố RugPull trong tháng này đã giảm so với tháng trước. Trong sự cố RugPull trong tháng này, nó chủ yếu xảy ra trên chuỗi ETH và BSC, gây thiệt hại 2,32 triệu USD cho người dùng. Cuối cùng, các sự cố lừa đảo trên mạng xã hội vẫn xảy ra hết lần này đến lần khác, quyền Discord và Twitter của chủ dự án được kiểm soát và các sự cố xuất bản liên kết lừa đảo vẫn thỉnh thoảng xảy ra.

1.1 tồn kho REKT

số 1

Vào ngày 4 tháng 9, Stake.com, sòng bạc tiền điện tử lớn nhất thế giới trên chuỗi ETH, đã bị hacker tấn công, gây thiệt hại 41,3 triệu USD. Nền tảng này đã đình chỉ tất cả các khoản gửi và rút tiền, khiến nhiều người dùng không thể rút tiền. Thông báo chính thức cho biết ví nóng ETH/BSC của Stake đã thực hiện các giao dịch trái phép.

Giao dịch tấn công:

https://www.oklink.com/cn/eth/tx/0x53a2955e4d332c9fde95e20576851971132fe6b41df3474dcff5820b683d11b2

https://www.oklink.com/cn/eth/tx/0xfc62e5c5370bea0608ca1861dded21829298b5b84a37ba92f8de65db5d1da244

https://www.oklink.com/cn/eth/tx/0xdd0e92f674778aca4eb36db9c247b6316eacb2277e15ba3c41dd3a2f51f41ef9

https://www.oklink.com/cn/eth/tx/0x8f442f4411eb566d3bb64e7816cc73e8b8f4016dd793bab9981a483864ddacd1

https://www.oklink.com/cn/eth/tx/0x22d556dcd9e49552041b27b79b871b7c0c8de9ed9cac0260738666145ff82188

https://www.oklink.com/cn/eth/tx/0x557306497d98878e4f460e8350531a851443150728a06afd8a719a5bfe4560b6

https://www.oklink.com/cn/eth/tx/0xdec634997b4219d3498dc40c41fe41e53d62fa2f323e308b6d1bde1efd244f5f

https://www.oklink.com/cn/eth/tx/0x7462907580bfb3244a167bd02aefa87bcec0f5ae4c2514006f6d61c59d64a757

https://www.oklink.com/cn/eth/tx/0x61a46b1828477c9860742f2a4ff47369f59d79a768277dc8852d330d66e88a6d

Địa chỉ của kẻ tấn công:

Địa chỉ của kẻ tấn công:

https://www.oklink.com/cn/eth/address/0x3130662aece32f05753d00a7b95c0444150bcd3c

Số 2

Vào ngày 5 tháng 9, lớp thanh khoản NFT-Fi FloorDAO đã bị hacker tấn công và mất khoảng 40 WETH, trị giá khoảng 65.000 USD. Cuộc tấn công xảy ra do lỗi thiết kế trong chức năng "phân phối" và "rebase".

Giao dịch tấn công:

https://www.oklink.com/cn/eth/tx/0x1274b32d4dfacd2703ad032e8bd669a83f012dde9d27ed92e4e7da0387adafe4

Số 3

Vào ngày 10 tháng 9, BFCToken đã phải chịu một cuộc tấn công cho vay nhanh, dẫn đến thiệt hại khoảng 38.000 USD. Nguyên nhân của sự cố này là kẻ tấn công có thể sử dụng chức năng "_transfer" để tiêu diệt BFCTokens khỏi nhóm.

Hợp đồng bị tấn công: https://www.oklink.com/cn/bsc/address/0x595eac4a0ce9b7175a99094680fbe55a774b5464

Số 4

Vào ngày 11 tháng 9, hợp đồng dự án OxODexPool đã bị một cuộc tấn công cho vay nhanh và kẻ tấn công đã kiếm được khoản lãi khoảng 61.000 USD. Kẻ tấn công đã tạo một hợp đồng độc hại và thực hiện cuộc tấn công cho vay nhanh trong một giao dịch duy nhất, thu được 39,45 ETH.

Giao dịch tấn công: https://www.oklink.com/cn/eth/tx/0x00b375f8e90fc54c1345b33c686977ebec26877e2c8cac165429927a6c9bdbec

Hợp đồng bị tấn công: https://www.oklink.com/cn/eth/address/0x6128d5f7c64dab48a1c66f9d62eaefa1d5aa03ed

Hợp đồng tấn công: https://www.oklink.com/cn/eth/address/0xC44ea7650B27f83A6B310A8Fed9E9Daf2864a65B

Số 5

Ngày 12/9, dự án súng Banana đưa ra thông cáo cho biết đã bị hacker tấn công nhưng số tiền thiệt hại không được công bố. Nguyên nhân của cuộc tấn công này là do phí chuyển khoản nội bộ () không được người gửi trừ khi chuyển token Banana, dẫn đến lỗi tính toán số dư tài khoản.

Liên kết liên quan:

https://twitter.com/BananaGunBot/status/1701322684313817459 https://twitter.com/MetaTrustAlert/status/1701436883392422208 https://twitter.com/Phalcon_xyz/status/1701518882631295269

Số 6

Vào ngày 12 tháng 9, dự án 0x0Audits bị nghi ngờ đã bị hack, dẫn đến mất 39,9 ETH, trị giá khoảng 61 nghìn đô la Mỹ.

Giao dịch tấn công:

https://www.oklink.com/cn/eth/tx/0x00b375f8e90fc54c1345b33c686977ebec26877e2c8cac165429927a6c9bdbec

Số 7

Vào ngày 13 tháng 9, sàn giao dịch tiền điện tử CoinEx đã bị hacker tấn công, theo thông báo chính thức, nguyên nhân vụ việc là do rò rỉ khóa riêng. Tin tặc đã đánh cắp số token trị giá hơn 70 triệu USD. Đồng thời, họ cho biết số tiền này chỉ chiếm một phần nhỏ trong tổng tài sản do họ quản lý và những người dùng bị ảnh hưởng sẽ được bồi thường đầy đủ cho mọi tổn thất về vốn.

số 8

Vào ngày 14 tháng 9, dự án Remitano trên chuỗi ETH bị nghi ngờ bị hack dẫn đến thiệt hại khoảng 2,7 triệu USD.

Hợp đồng tấn công:

https://www.oklink.com/cn/eth/address/0x74530e81E9f4715c720b6b237f682CD0e298B66C

số 9

Vào ngày 20 tháng 9, dự án XSDWETHpool trên ETH đã bị đánh cắp trong một cuộc tấn công cho vay nhanh với khoảng 4,34 WETH. Nguyên nhân của lỗ hổng là do việc triển khai chức năng swapXSDForETH() do hợp đồng bộ định tuyến cung cấp không tuân theo mẫu Kiểm tra-Hiệu ứng-Tương tác, dẫn đến tấn công reentrancy khi gửi ETH cho người dùng.

Địa chỉ của kẻ tấn công:

https://www.oklink.com/cn/eth/address/0x42abe1f4ded3498ea539d429fbce74bdb52d961a

Giao dịch tấn công:

https://www.oklink.com/cn/eth/tx/0x10e3388dc801fbeb9be80687803034047f787cfe78ada237db65a027afb1ca9e

Số 10

Vào ngày 21 tháng 9, dự án Sunflower trên ETH đã bị tấn công và kẻ tấn công đã kiếm được khoản lãi khoảng 500 USD. Nguyên nhân của lỗ hổng là do có lỗ hổng trong logic triển khai mã của SunflowerV2, cho phép người dùng gửi tài sản một lần trong SunflowerV1, nhưng có thể rút chúng lần lượt trong SunflowerV2 và SunflowerV1.

Gấp đôi tài sản.

Địa chỉ của kẻ tấn công:

https://www.oklink.com/cn/eth/address/0x0000f7848F682C69404721A3f7B5070c46D80000

Giao dịch tấn công:

https://www.oklink.com/cn/eth/tx/0x6e133d36636819be29cc3cc8d349de3ecae09a802c0b8d15a2cd67cd3c42b1ad

Số 11

Vào ngày 24 tháng 9, khoảng 78.400 USD token KUB/KUB-Split trên BSC đã bị đánh cắp trong một cuộc tấn công cho vay nhanh. Kẻ tấn công đã tạo một hợp đồng độc hại để tương tác với hợp đồng bị xâm phạm và thao túng nhóm khai thác bằng cách sử dụng mã thông báo USDC giả.

Địa chỉ liên quan:

Hợp đồng mã thông báo KUB-SPLIT: https://www.oklink.com/cn/bsc/address/0xc98E183D2e975F0567115CB13AF893F0E3c0d0bD

Hợp đồng mã thông báo KUB: https://www.oklink.com/cn/bsc/address/0x808602d91e58f2d58D7C09306044b88234ab4628

Địa chỉ hợp đồng của kẻ tấn công: https://www.oklink.com/cn/bsc/address/0xa7Fe9c5D4b87b0d03E9bB99F4B4E76785de26b5D

Địa chỉ kẻ tấn công: https://www.oklink.com/cn/bsc/address/0x7Ccf451D3c48C8bb747f42F29A0CdE4209FF863e

Mã thông báo USDC giả: https://www.oklink.com/cn/bsc/address/0xa88D48a4c6D8dD6a166A71CC159A2c588Fa882BB

Số 12

Vào ngày 24 tháng 9, dự án siriSwap trên chuỗi BSC đã bị tấn công cho vay nhanh và kẻ tấn công đã kiếm được khoản lãi khoảng 22 nghìn đô la.

Giao dịch tấn công:

https://www.oklink.com/cn/bsc/tx/0x2b0877b5495065e90d956e44ffde6aaee5e0fcf99dd3c86f5ff53e33774ea52d

Số 13

Vào ngày 27 tháng 9, khoảng 56,96 WBNB đã bị đánh cắp khỏi dự án XSDWETHpool trên BSC trong một cuộc tấn công cho vay nhanh. Kẻ tấn công đã tạo ra một hợp đồng độc hại để tương tác với hợp đồng bị tấn công và kiếm được lợi nhuận 12,1 nghìn đô la. Nguyên nhân của lỗ hổng là do việc triển khai chức năng swapXSDForETH() do hợp đồng bộ định tuyến cung cấp không tuân theo mẫu Kiểm tra-Hiệu ứng-Tương tác, dẫn đến tấn công reentrancy khi gửi BNB cho người dùng.

Hợp đồng bị tấn công: https://www.oklink.com/cn/bsc/address/0xbfBcB8BDE20cc6886877DD551b337833F3e0d96d

Hợp đồng độc hại: https://www.oklink.com/cn/bsc/address/0x202E059a16D29a2F6aE0307AE3D574746b2B6305

Giao dịch tấn công: https://www.oklink.com/cn/bsc/tx/0xbdf76f22c41fe212f07e24ca7266d436ef4517dc1395077fabf8125ebe304442

1.2 Kho RugPull

số 1

Vào ngày 2 tháng 9, một RugPull đã xảy ra trong dự án CoredeFinance trên chuỗi ETH và địa chỉ EOA (0x18500) đã kiếm được lợi nhuận khoảng 27 ETH, trị giá 43,9 nghìn USD.

Số 2

Vào ngày 5 tháng 9, địa chỉ người triển khai mã thông báo Lybra Finance giả trên chuỗi ETH đã kiếm được lợi nhuận 23 WETH, trị giá 37 nghìn đô la, bằng cách thêm 60 WETH làm LP và sau đó rút 83 WETH.

Số 3

Vào ngày 5 tháng 9, một lượng lớn thanh khoản đã bị người triển khai hợp đồng loại bỏ khỏi token Base giả được triển khai trên chuỗi ETH, dẫn đến lợi nhuận là 544 nghìn đô la. Mã thông báo Base giả được triển khai trên chuỗi BSC đã bị người triển khai hợp đồng loại bỏ một lượng lớn thanh khoản, tạo ra lợi nhuận 71,6 nghìn đô la

Số 4

Vào ngày 5 tháng 9, một lượng lớn thanh khoản đã bị người triển khai hợp đồng loại bỏ khỏi mã thông báo Haribo được triển khai trên chuỗi ETH, tạo ra lợi nhuận 24 ETH, trị giá 35,4 nghìn đô la.

Số 5

Vào ngày 7 tháng 9, một lượng lớn thanh khoản đã bị người triển khai hợp đồng loại bỏ khỏi token Patex giả trên chuỗi BSC, tạo ra khoản lợi nhuận 97,5 nghìn đô la.

Số 6

Vào ngày 8 tháng 9, một lượng lớn thanh khoản đã bị người triển khai hợp đồng xóa khỏi mã thông báo Giao thức Helio giả trên chuỗi BSC, dẫn đến lợi nhuận là 127 nghìn đô la.

Số 7

Vào ngày 15 tháng 9, mã thông báo FriendChipsTech được triển khai trên chuỗi ETH đã được người triển khai hợp đồng đúc và bán với số lượng lớn, tạo ra lợi nhuận 77,5 nghìn đô la.

số 8

Vào ngày 16 tháng 9, dự án mã thông báo MED trên chuỗi BSC đã được người triển khai hợp đồng đúc và bán một số lượng lớn mã thông báo, tạo ra lợi nhuận khoảng 53 nghìn đô la.

số 9

Vào ngày 17 tháng 9, một RugPull đã xảy ra trên mã thông báo BitGo giả trên chuỗi BSC, dẫn đến khoản lỗ khoảng 194,3 nghìn đô la.

Số 10

Vào ngày 20 tháng 9, một RugPull đã xảy ra trong dự án Baka Casino (BAKAC) trên chuỗi BSC, dẫn đến khoản lỗ khoảng 57 nghìn USD.

Số 11

Vào ngày 21 tháng 9, một RugPull đã xảy ra trong dự án PEPEP trên chuỗi ETH, dẫn đến tổn thất khoảng 45 nghìn đô la.

Số 12

Số 11

Vào ngày 21 tháng 9, một RugPull đã xảy ra trong dự án PEPEP trên chuỗi ETH, dẫn đến tổn thất khoảng 45 nghìn đô la.

Số 12

Vào ngày 21 tháng 9, dự án YZER trên chuỗi ETH đã gặp phải RugPull do loại bỏ tính thanh khoản, dẫn đến khoản lỗ khoảng 28,6 nghìn đô la.

Số 13

Vào ngày 21 tháng 9, dự án BNBpay trên chuỗi BSC đã gặp phải RugPull do loại bỏ tính thanh khoản, dẫn đến khoản lỗ khoảng 114 nghìn đô la.

Số 14

Vào ngày 22 tháng 9, dự án BEAST trên chuỗi BSC đã gặp phải RugPull do loại bỏ tính thanh khoản, dẫn đến khoản lỗ khoảng 55,3 nghìn đô la.

số 15

Vào ngày 23 tháng 9, dự án CAT trên chuỗi ETH đã có RugPull bằng cách loại bỏ thanh khoản, tạo ra lợi nhuận 18,7 WETH, trị giá 29,7 USD

Số 16

Vào ngày 23 tháng 9, dự án DUO trên chuỗi BSC đã gặp phải RugPull do loại bỏ tính thanh khoản, dẫn đến khoản lỗ khoảng 352,9 USD

Số 17

Vào ngày 25 tháng 9, RugPull đã xảy ra trong dự án Justus giả trên chuỗi BSC, dẫn đến thiệt hại khoảng 59 nghìn USD.

1.3 Gian lận trên mạng xã hội và hàng tồn kho lừa đảo

số 1

Vào ngày 1 tháng 9, Discord chính thức của @lamasfinance đã bị tấn công và kẻ tấn công đã đăng một liên kết lừa đảo.

Số 2

Vào ngày 2 tháng 9, Discord chính thức của @BalthazarDao đã bị tấn công và kẻ tấn công đã kiểm soát kênh chính thức.

Số 3

Vào ngày 3 tháng 9, Twitter @ParasHQ chính thức đã bị tấn công và kẻ tấn công đã đăng một liên kết lừa đảo.

Số 4

Vào ngày 4 tháng 9, Discord chính thức của @The_Saber_DAO đã bị tấn công và kẻ tấn công đã đăng các liên kết lừa đảo.

Số 5

Vào ngày 6 tháng 9, Discord chính thức của @BigB_NFT đã bị tấn công.

Số 6

Vào ngày 7 tháng 9, Discord chính thức của @VictoryPoint_io đã bị tấn công và kẻ tấn công đã đăng các liên kết lừa đảo.

Số 7

Vào ngày 9 tháng 9, Discord chính thức của @ACGWORLDS_META đã bị tấn công và kẻ tấn công đã đăng một liên kết lừa đảo.

số 8

Vào ngày 10 tháng 9, tài khoản Twitter chính thức của @VitalikButerin đã bị tấn công và kẻ tấn công đã đăng một liên kết lừa đảo.

số 9

Vào ngày 11 tháng 9, Discord chính thức của @witnet_io đã bị tấn công và kẻ tấn công đã đăng một liên kết lừa đảo.

Số 10

Vào ngày 17 tháng 9, Discord chính thức của @OneMintNFT đã bị tấn công và kẻ tấn công đã đăng một liên kết lừa đảo.

Số 11

Vào ngày 23 tháng 9, Discord chính thức của @timesoulcom đã bị tấn công và kẻ tấn công đã đăng một liên kết lừa đảo.

Số 12

Số 11

Vào ngày 23 tháng 9, Discord chính thức của @timesoulcom đã bị tấn công và kẻ tấn công đã đăng một liên kết lừa đảo.

Số 12

Vào ngày 23 tháng 9, Discord chính thức của @D3STAB1LIZED đã bị tấn công và kẻ tấn công đã đăng một liên kết lừa đảo.

Số 13

Vào ngày 23 tháng 9, Discord chính thức của @bedu_io đã bị tấn công và kẻ tấn công đã đăng các liên kết lừa đảo.

Số 14

Vào ngày 26 tháng 9, Discord chính thức của @Entanglefi đã bị tấn công và kẻ tấn công đã đăng các liên kết lừa đảo.

1.4 Khác

số 1

Vào ngày 16 tháng 9, doanh nhân tỷ phú và chủ sở hữu Dallas Mavericks Mark Cuban xác nhận rằng ông đã bị hack vào cuối ngày thứ Sáu và mất khoảng 870.000 USD. (Tổng cộng có 10 tài sản mã thông báo bao gồm ETH)

Số 2

Vào ngày 20 tháng 9, Balancer giao thức thanh khoản DeFi đã bị tấn công chiếm quyền điều khiển BGP hoặc DNS và kẻ tấn công đã kiếm được khoản lãi khoảng 238.000 USD. Đây là một cuộc tấn công kỹ thuật xã hội nhằm vào EuroDNS, công ty đăng ký tên miền được sử dụng cho miền cấp cao nhất .fi. Balancer đang tìm cách ngừng sử dụng TLD .fi để chuyển sang một công ty đăng ký an toàn hơn và khuyến nghị các dự án khác sử dụng TLD nên thực hiện điều này như nhau.

Số 3

Vào ngày 23 tháng 9, Mixin Network đã bị vi phạm an ninh quy mô lớn. Thiệt hại do vi phạm gây ra được cho là khoảng 200 triệu USD. Lỗ hổng xảy ra trong cơ sở dữ liệu của nhà cung cấp dịch vụ đám mây MixinKernel, dẫn đến việc mất tiền của mạng chính.

Số 4

Vào ngày 24 tháng 9, do lỗi kỹ thuật trong hệ thống Upbit, Upbit, sàn giao dịch tiền điện tử lớn nhất Hàn Quốc, đã bị tấn công với mức thiệt hại chưa xác định. Vấn đề là một lỗ hổng trong quy trình nhận dạng mã thông báo trong quá trình gửi tiền, ảnh hưởng đến việc gửi và rút mã thông báo Aptos ($APT) trên nền tảng.

Số 5

Vào ngày 25 tháng 9, nhà tư vấn HTX và người sáng lập Tron Justin Sun cho biết HTX (trước đây là Huobi) đã bị hack, với tổng thiệt hại 5.000 ETH trị giá khoảng 8 triệu USD.

Vụ việc xảy ra vào Chủ nhật và ngay lập tức được xác nhận. Justin Sun được thêm vào nền tảng truyền thông xã hội

2. Tóm tắt an toàn

Vào tháng 9 năm 2023, mặc dù số lượng sự cố bảo mật REKT và RugPull giảm đáng kể nhưng thiệt hại kinh tế do chúng gây ra lại tăng lên đáng kể. Thiệt hại chính là do các cuộc tấn công vào dự án Stake sòng bạc tiền điện tử lớn nhất thế giới và sàn giao dịch tiền điện tử CoinEx. Tuy nhiên, các loại vấn đề bảo mật khác như tấn công reentrancy, thao túng giá, rò rỉ khóa riêng, v.v. vẫn xảy ra thường xuyên.

Đối mặt với các vấn đề và thách thức bảo mật nêu trên, chúng ta phải tăng cường hơn nữa các biện pháp phòng ngừa bảo mật và cải thiện khả năng chống lại các cuộc tấn công của hệ thống. Trước hết, chúng tôi thực sự khuyến nghị tất cả các nền tảng tiền điện tử và các bên dự án tăng cường kiểm tra bảo mật và đánh giá rủi ro của các dự án để các lỗ hổng bảo mật tiềm ẩn có thể được phát hiện và sửa chữa kịp thời. Thứ hai, người dùng thông thường cũng nên nâng cao nhận thức về bảo mật và tăng cường bảo vệ thông tin cá nhân để tránh những tổn thất kinh tế không đáng có do vô tình tiết lộ khóa riêng hoặc mật khẩu.

Cuối cùng, các cuộc tấn công gian lận và lừa đảo vẫn đang diễn ra trên mạng xã hội, vì vậy cả nhà phát triển dự án và người dùng cần nâng cao nhận thức về bảo vệ an ninh cộng đồng.