Một số tin tặc đã lạm dụng và tận dụng hàng trăm triệu tiền trong hệ sinh thái Solana trong khi những người khác khai thác lỗ hổng của các sàn giao dịch. Đồng thời, một số dự án Web3 cũng bị rò rỉ khóa riêng tư và các cuộc tấn công cho vay nhanh.
Beosin EagleEye Web3 Security Monitor cho thấy tính đến thời điểm viết bài, có tổng cộng 8 sự cố bảo mật Web3 đã xảy ra vào tuần trước, với tổng thiệt hại khoảng 120 triệu đô la Mỹ.
ngày 9 tháng 10
1. Xave Finance bị hack khiến lượng phát hành RNBW tăng gấp 1.000 lần.
Vào ngày 9 tháng 10, tin tặc đã triển khai một hợp đồng độc hại gọi là hàm execProposalWithIndex() trong hợp đồng DaoModule 0x8f90 để thực hiện một đề xuất. Nội dung đề xuất là gọi hàm mint(), tạo ra 100.000.000.000.000 RNBW và chuyển quyền sở hữu cho kẻ tấn công. Cuối cùng, hacker đã đổi nó lấy xRNBW.
2. Thảm Jumpn Finance đã rút, rút khoảng 1,15 triệu đô la Mỹ đến địa chỉ của kẻ tấn công.
Kẻ tấn công (hoặc nhóm) gọi hàm 0x6b1d9018() của hợp đồng 0xe156 để trích xuất tất cả tài sản của người dùng trong hợp đồng và lưu trữ chúng trong địa chỉ của kẻ tấn công. Hiện tại, 2100 BNB ($581,700) trong số tiền bị đánh cắp đã được chuyển sang Tornado.Cash và 2058 BNB ($571,128) còn lại vẫn được lưu trữ trong địa chỉ của kẻ tấn công.
ngày 11 tháng 10
1. Cầu nối chuỗi chéo nền tảng QAN đã bị khai thác thông qua khóa cá nhân bị rò rỉ và khoảng 1,89 triệu đô la Mỹ đã bị rút khỏi đó.
Đầu tiên, tin tặc bắt đầu chuyển tiền trên BSC bằng cách sử dụng địa chỉ (0x68e..), sau đó gọi hàm bridgeWithdraw trong hợp đồng cầu nối chuỗi chéo BridgeQANX để chuyển 1444169100 mã thông báo QANX sang địa chỉ ví (0xF163...). Một cuộc tấn công thứ cấp cũng đã được thực hiện đối với 1431880339 mã thông báo QANX. Địa chỉ người gọi của hai cuộc tấn công này giống với địa chỉ người tạo hợp đồng cầu nối chuỗi chéo (0x68e...), do đó có khả năng cuộc tấn công này là do rò rỉ khóa riêng.
2. Hợp đồng hoán đổi Ví Rabby đã bị tấn công theo đó chức năng trao đổi mã thông báo của họ được gọi trực tiếp từ bên ngoài thông qua thư viện địa chỉ OpenZeppelin. Các tin tặc đã kiếm được hơn 190.000 đô la Mỹ.
Lỗ hổng cuộc gọi bên ngoài này trong chức năng hoán đổi của RabbyRouter cho phép bất kỳ ai cũng có thể dễ dàng chuyển tiền chỉ bằng cách gọi chức năng. Hiện tại, những kẻ tấn công đã tiến hành các cuộc tấn công vào nhiều chuỗi khác nhau mà Rabby đang vận hành, bao gồm Ethereum, chuỗi BSC, Polygon, Avax, Fantom, Optimistic và Arbitrum.
3. TempleDAO đạt 2,36 triệu đô la Mỹ khai thác, khoảng 4% tổng giá trị bị khóa (TVL).
Chức năng migrateStake của TempleDAO trong hợp đồng StaxLPStake của họ thiếu xác minh quyền. Điều này cho phép mọi người rút StaxLP trong hợp đồng bằng cách gọi chức năng này. Sau khi khai thác thành công, tin tặc đã đổi tất cả các mã thông báo StaxLP lấy được ETH.
ngày 12 tháng 10
1. Dự án Hành trình thức tỉnh (ATK) bị tấn công cho vay chớp nhoáng.
Hợp đồng chiến lược của dự án ATK được nhắm mục tiêu bằng khoản vay nhanh và một lượng lớn mã thông báo ATK đã được lấy từ hợp đồng. Sau đó, kẻ tấn công đã đổi tất cả các mã thông báo ATK lấy được BSC-USD, chuyển đổi thành BNB và gửi đến Tornado Cash, với tổng trị giá khoảng 120.000 đô la Mỹ.
2. Nền tảng giao dịch Solana defi, Mango Markets, đã bị tấn công thông qua thao túng giá trên mã thông báo MNGO bản địa, làm mất 116 triệu đô la Mỹ cho tin tặc.
Tin tặc đã sử dụng hai tài khoản với tổng số tiền ban đầu là 10 triệu USDT.
Trong bước đầu tiên, những kẻ tấn công đã gửi 5 triệu USDC vào Mango Markets.
Trong bước thứ hai, kẻ tấn công sau đó đã tạo một vị trí PlacePerpOrder2 trị giá 483 triệu trong thị trường MNGO-PERP.
Trong bước thứ ba, giá của MNGO đã bị thao túng, từ 0,0382 USD lên 0,91 USD, bằng cách giao dịch ngược lại với vị thế của họ bằng một tài khoản riêng (tài khoản 2).
Tài khoản 2 hiện có 483 triệu * ($0,91 - $0,03298) = $423 triệu, cho phép kẻ tấn công vay $116 triệu.
ngày 13 tháng 10
1. FTX mất hơn 100 triệu XEN và 81 ETH trong một vụ khai thác lỗ hổng trộm gas.
Tin tặc đã sử dụng phí gas do FTX trả để đúc một lượng lớn XEN TOKEN.
Tin tặc đã sử dụng địa chỉ ví nóng FTX của mình để chuyển một lượng tiền nhỏ đến địa chỉ hợp đồng độc hại (0xCba9...7FD3) và sau đó sử dụng hợp đồng này để tạo các hợp đồng phụ theo lô.
Vì nhiều hợp đồng được tạo ra trong toàn bộ cuộc tấn công và mỗi khi hợp đồng phụ được thực thi, hợp đồng phụ sẽ tự hủy, vì vậy hình dưới đây được hiển thị làm ví dụ.
Trong bước thứ ba, chức năng dự phòng () của hợp đồng phụ sẽ bắt đầu yêu cầu đúc cho hợp đồng $XEN. Hàm khiếu nạiRank() (hình ảnh bên dưới) vượt qua thời hạn (>= 1 ngày) để đúc, chỉ yêu cầu trả phí gas khi gọi mà không có bất kỳ chi phí nào khác liên quan.
Hàm ClaimMintRewardAndShare() dùng để xác nhận quyền sở hữu, chỉ xác định thời hạn có đạt hay không (trường hợp này do hacker đặt là 1 ngày), sau đó có thể rút vô điều kiện về bất kỳ địa chỉ nào. Tuy nhiên, trong quy trình gọi này, người khởi tạo giao dịch là địa chỉ ví nóng FTX, do đó, gas của toàn bộ quá trình gọi được thanh toán bằng địa chỉ ví nóng FTX và địa chỉ đúc $XEN là địa chỉ của kẻ tấn công.
Dữ liệu trên được lấy từ Beosin EagleEye Web3 Security Monitor
OP_NET muốn mang lại khả năng biểu đạt và sáng tạo giống như Ethereum cho Bitcoin. Master nhấn mạnh nhu cầu về các ứng dụng có lợi cho tất cả những người nắm giữ Bitcoin. Ông tuyên bố rằng các ứng dụng này phải vượt ra ngoài phạm vi đầu cơ NFT.
Cheng YuanNhưng chính xác thì hợp đồng thông minh là gì? Tại sao tất cả những phát triển này lại xảy ra bên ngoài mạng Bitcoin? Liệu Bitcoin có thể áp dụng tất cả các trường hợp sử dụng thay thế này cho công nghệ blockchain không?
JinseFinanceCông ty kế toán Big Four Ernst & Young (EY) đã phát hành một dịch vụ mới để quản lý hợp đồng doanh nghiệp thông qua công nghệ blockchain vào ngày 17 tháng 4, được gọi là Trình quản lý hợp đồng OpsChain (OCM).
JinseFinanceTrong hơn nửa thế kỷ, máy tính và Internet đã ảnh hưởng sâu sắc đến sự hợp tác quy mô lớn trong xã hội loài người như thế nào
JinseFinanceThirdweb xác định lỗ hổng bảo mật trong hợp đồng thông minh Web3, thúc giục hành động ngay lập tức đối với các hợp đồng được tạo trước ngày 23 tháng 11. Các bước giảm thiểu bao gồm khóa hợp đồng, chụp ảnh nhanh và chuyển sang các lựa chọn thay thế an toàn. Chủ sở hữu mã thông báo trong nhóm nên rút mã thông báo và người xây dựng hợp đồng phải yêu cầu người dùng thu hồi phê duyệt. Thirdweb đã khắc phục các hợp đồng bị ảnh hưởng được tạo sau ngày 23 tháng 11, trong khi các dịch vụ khác vẫn hoạt động không bị ảnh hưởng.
Huang BoRebecca Rettig, muốn ngành này rõ ràng hơn và coi đó là chìa khóa để tiếp cận các nhà lập pháp.
TheBlockTheo một báo cáo mới, bất chấp những cơn gió ngược khốc liệt mà ngành công nghiệp tiền điện tử phải đối mặt trong năm qua, hoạt động phát triển Web3 đã tăng trưởng với tốc độ ấn tượng.
decryptSid Jha của dClimate, một diễn giả tại hội nghị IDEAS của CoinDesk, là một thị trường phi tập trung cho dữ liệu liên quan đến khí hậu.
CoindeskHợp đồng thông minh mang lại nhiều lợi ích, nhưng hãy tìm hiểu lý do tại sao những lợi ích đó có thể chỉ là một mặt của con dao hai lưỡi.
CointelegraphBinance đã tạm dừng việc rút tiền đối với LUNA và UST trong bối cảnh stablecoin UST mất giá trị so với đồng đô la Mỹ vào thứ Ba.
Cointelegraph