bitpie钱包下载|1 天发生 5 起黑客攻击事件，Crypto 已成为黑客乐土了吗？

10 月 11 日，加密行业在这一天里发生了至少 5 起规模较大的漏洞事件，导致损失价值超过 1.16 亿美元的加密代币。

1. Mango

损失：超 1.12 亿美元

原因：黑客通过预言机价格操纵从 Solana 生态项目 Mango 中提取资金。

官方发布黑客攻击过程：

大约于北京时间 10 月 12 日 6:00 遭遇此次攻击事件：

2 个由 USDC 提供资金的账户在 MNGO-PERP 中持有过高的头寸，各个交易所（FTX、Ascendex）的 MNGO/USD 底层价格在几分钟内出现了 5-10 倍的价格上涨，导致 Switchboard 和 Pyth 预言机将其 MNGO 基准价格更新为 0.15 美元以上，进一步导致未实现的利润使做多 MNGO-ERP 的账户价值按市价计算增加，使得允许账户从 Mango 协议中借入和提取 BTC (sollet)、USDT、SOL、mSOL、USDC，使得平台上 1.9 亿美元等值存款的借贷额度达到了最大值，当时该账户提取的净值约为 1 亿美元。

波及影响：

Solana 生态收益聚合器和杠杆收益耕作平台 Tulip Protocol：受影响资金约 250 万美元

其在 Mango 攻击事件中的敞口仅限于 USDC/RAY 策略资金库的一部分，即 2,465,841.497167 USDC 和 66,721.925355 RAY，约合 250 万美元。

Solana 生态算法稳定币协议 UXD Protocol：受影响资金近 2000 万美元

在 Mango 攻击事件中受影响资金总额为 19,986,134.9037 美元。

UXD Protocol 表示：我们的保险基金足以弥补损失。UXD 是完全受安全保障的，一旦 Mango Markets 从漏洞利用中恢复，用户将可以赎回。保险基金总额为 53,527,304.7757 美元。UXD Protocol 已暂停 UXD 铸造以达到风险最小化。一旦我们确认 Mango Markets 的问题得到解决，将重新启用铸币功能。

黑客方面：

令人意想不到的是，黑客在获得资金之后并未想方设法销声匿迹。黑客竟然在项目治理社区发起提案，希望使用 Mango 资金库中约 7000 万枚 USDC 偿还坏账，如果此提案被通过，黑客将把账户中 MSOL、SOL 和 MNGO 转入 Mango 团队发布的地址。同时黑客利用手里盗取的治理代币投下了大量“YES”投票

黑客还表示：“协议中剩余的全部坏账将由 Mango 资金库偿还，没有坏账的用户将不受影响。任何坏账都将被视为漏洞赏金/保险，由 Mango 保险基金支付。如果 Mango Token 持有者通过对该提案的投票，就表示同意支付这笔奖金并用资金库偿还坏账，并放弃对坏账账户的任何潜在索赔，一旦 Token 按上述规则被偿还，将不会进行任何刑事调查或冻结资产。”

更新：据派盾检测（PeckShield）显示，约 5750 万美元 USDC 已从 Mango 攻击者地址转移到新地址 41 zCUJsKk...TwePu。

2. Rabby Swap

损失：损失大约 20 万美元

原因：Rabby Swap 智能合约出现漏洞

官方回应：Rabby Swap 智能合约遭受黑客攻击。官方将在 1 周内为用户提供令人满意的解决方案。撤销所有链上所有现有的 Rabby Swap 批准。对于那些没有使用过 Swap 的人来说，你的钱包是安全且不受影响的。官方整理了一份受影响地址的列表，这些地址仍然获得了被利用合约的批准。请检查您的地址是否在列表中，并尽快撤销 Rabby Swap 的批准。

https://docs.google.com/spreadsheets/d/1zAJrUAWWTmTBl0z9tBYwz96T5FCpGKtkCHxmK2shwLE/edit#gid=0

Rabby 也进行了升级，所有有风险的地址都将收到警告。检查上面的列表并采取行动，以确保您的地址不再暴露。

3. Paraswap

损失：未知

原因：合约部署地址私钥泄露。

官方回应：该地址在合约部署后已没有权限。没有发现漏洞。

其他回应：

据 Supremacy 安全团队监测，2022 年 10 月 11 日，paraswap 部署者地址在多个链（ETH、BSC、FTM）上发起异常交易，将其地址中的全部余额转移至 0 xf35875 a064 cdbc29 d7174 f5 c699 f1 ebeaa407036 地址。经过分析，该地址为 Profanity 漏洞利用者地址，其历史记录中有窃取多个靓号地址资产的痕迹。经过排查，目前只有 paraswap 部署者地址自身资产遭到窃取，暂不影响 paraswap 多签金库（签名阈值为 2)，但不排除其他多签地址也由 Profanity 生成，所以多签金库也可能存在风险。

4. TempleDAO

损失：约 230 万美元

原因：Temple DAO 应用 Stax 遭受黑客攻击。在 StaxLPStaking 合约的 migrateStake 函数缺少权限校验，导致任意人都可以通过该函数提取合约中的 StaxLP。

官方回应：TempleDAO 的一位贡献者在该项目的 Discord 频道中表示，其核心金库拥有超过 1 亿美元的稳定币，项目运转不受影响，攻击者不会造成进一步的伤害，将为所有受影响的用户进行补偿。目前该应用已经停止运行。

5. QANplatform

损失：约 210 万美元

原因：跨链桥智能合约遭受攻击。攻击者获得了以太坊上价值约 96 万美元资产和 BNB Chain 上价值约 114 万美元的资产

官方回应：可能会对攻击前进行链上快照，并以此进行代币空投。