文章转载来源:Kyle
10 月 11 日,加密行业在这一天里发生了至少 5 起规模较大的漏洞事件,导致损失价值超过 1.16 亿美元的加密代币。
损失:超 1.12 亿美元
原因:黑客通过预言机价格操纵从 Solana 生态项目 Mango 中提取资金。
官方发布黑客攻击过程:
大约于北京时间 10 月 12 日 6:00 遭遇此次攻击事件:
2 个由 USDC 提供资金的账户在 MNGO-PERP 中持有过高的头寸,各个交易所(FTX、Ascendex)的 MNGO/USD 底层价格在几分钟内出现了 5-10 倍的价格上涨,导致 Switchboard 和 Pyth 预言机将其 MNGO 基准价格更新为 0.15 美元以上,进一步导致未实现的利润使做多 MNGO-ERP 的账户价值按市价计算增加,使得允许账户从 Mango 协议中借入和提取 BTC (sollet)、USDT、SOL、mSOL、USDC,使得平台上 1.9 亿美元等值存款的借贷额度达到了最大值,当时该账户提取的净值约为 1 亿美元。
波及影响:
Solana 生态收益聚合器和杠杆收益耕作平台 Tulip Protocol:受影响资金约 250 万美元
其在 Mango 攻击事件中的敞口仅限于 USDC/RAY 策略资金库的一部分,即 2,465,841.497167 USDC 和 66,721.925355 RAY,约合 250 万美元。
Solana 生态算法稳定币协议 UXD Protocol:受影响资金近 2000 万美元
在 Mango 攻击事件中受影响资金总额为 19,986,134.9037 美元。
UXD Protocol 表示:我们的保险基金足以弥补损失。UXD 是完全受安全保障的,一旦 Mango Markets 从漏洞利用中恢复,用户将可以赎回。保险基金总额为 53,527,304.7757 美元。UXD Protocol 已暂停 UXD 铸造以达到风险最小化。一旦我们确认 Mango Markets 的问题得到解决,将重新启用铸币功能。
黑客方面:
令人意想不到的是,黑客在获得资金之后并未想方设法销声匿迹。黑客竟然在项目治理社区发起提案,希望使用 Mango 资金库中约 7000 万枚 USDC 偿还坏账,如果此提案被通过,黑客将把账户中 MSOL、SOL 和 MNGO 转入 Mango 团队发布的地址。同时黑客利用手里盗取的治理代币投下了大量“YES”投票
黑客还表示:“协议中剩余的全部坏账将由 Mango 资金库偿还,没有坏账的用户将不受影响。任何坏账都将被视为漏洞赏金/保险,由 Mango 保险基金支付。如果 Mango Token 持有者通过对该提案的投票,就表示同意支付这笔奖金并用资金库偿还坏账,并放弃对坏账账户的任何潜在索赔,一旦 Token 按上述规则被偿还,将不会进行任何刑事调查或冻结资产。”
更新:据派盾检测(PeckShield)显示,约 5750 万美元 USDC 已从 Mango 攻击者地址转移到新地址 41 zCUJsKk...TwePu。
损失:损失大约 20 万美元
原因:Rabby Swap 智能合约出现漏洞
官方回应:Rabby Swap 智能合约遭受黑客攻击。官方将在 1 周内为用户提供令人满意的解决方案。撤销所有链上所有现有的 Rabby Swap 批准。对于那些没有使用过 Swap 的人来说,你的钱包是安全且不受影响的。官方整理了一份受影响地址的列表,这些地址仍然获得了被利用合约的批准。请检查您的地址是否在列表中,并尽快撤销 Rabby Swap 的批准。
https://docs.google.com/spreadsheets/d/1zAJrUAWWTmTBl0z9tBYwz96T5FCpGKtkCHxmK2shwLE/edit#gid=0
Rabby 也进行了升级,所有有风险的地址都将收到警告。检查上面的列表并采取行动,以确保您的地址不再暴露。
损失:未知
原因:合约部署地址私钥泄露。
官方回应:该地址在合约部署后已没有权限。没有发现漏洞。
其他回应:
据 Supremacy 安全团队监测,2022 年 10 月 11 日,paraswap 部署者地址在多个链(ETH、BSC、FTM)上发起异常交易,将其地址中的全部余额转移至 0 xf35875 a064 cdbc29 d7174 f5 c699 f1 ebeaa407036 地址。经过分析,该地址为 Profanity 漏洞利用者地址,其历史记录中有窃取多个靓号地址资产的痕迹。经过排查,目前只有 paraswap 部署者地址自身资产遭到窃取,暂不影响 paraswap 多签金库(签名阈值为 2),但不排除其他多签地址也由 Profanity 生成,所以多签金库也可能存在风险。
损失:约 230 万美元
原因:Temple DAO 应用 Stax 遭受黑客攻击。在 StaxLPStaking 合约的 migrateStake 函数缺少权限校验,导致任意人都可以通过该函数提取合约中的 StaxLP。
官方回应:TempleDAO 的一位贡献者在该项目的 Discord 频道中表示,其核心金库拥有超过 1 亿美元的稳定币,项目运转不受影响,攻击者不会造成进一步的伤害,将为所有受影响的用户进行补偿。目前该应用已经停止运行。
损失:约 210 万美元
原因:跨链桥智能合约遭受攻击。攻击者获得了以太坊上价值约 96 万美元资产和 BNB Chain 上价值约 114 万美元的资产
官方回应:可能会对攻击前进行链上快照,并以此进行代币空投。
来源:Kyle
发布人:暖色
声明:该文观点仅代表作者本人,不代表火讯财经立场。火讯财经系信息发布平台,仅提供信息存储空间服务。
如文章涉及侵权, 请及时致函告之,本站将第⼀时间删除⽂章。邮箱:840034348@qq.com