CoinEx、火币、FloorDAO：当密钥、逻辑和供应控制全部失效

又一个月，又一起密钥泄露——这次是 CoinEx（5400 万美元）和 Huobi（800 万美元）都因热钱包访问被盗。BFCToken 将自己燃烧成一个被操纵的价格。FloorDAO 的 Olympus 分叉忘记了将资金发送到哪里。这些不是边缘案例的错误；它们是运营、会计和功能路由方面的基本故障。总损失：超过 6000 万美元。

黑客攻击总结

黑客攻击分析

Huobi | 损失金额：800 万美元

9 月 24 日，以太坊主网上 Huobi Global 的漏洞利用由于私钥泄露导致 800 万美元的损失。攻击者通过向恶意合约发送 4,999 ETH，在单个交易中执行了攻击。然后，攻击者创建了第二个恶意合约，并将 1,001 ETH 转移到这个新合约。Huobi 已经确认他们已经确定了攻击者，并提出了 5% 的白帽赏金奖励，如果资金返回给交易所。

漏洞利用合约：0x2abc22eb9a09ebbe7b41737ccde147f586efeb6a

交易哈希：0xe9eefff04322a1e9262aad139e7b03954709a7c2ffea5ba9d1026a24fb58c029

CoinEx | 损失金额：5400 万美元

9 月 12 日，CoinEx 在多个链上的漏洞利用导致 5400 万美元的损失。此漏洞利用的根本原因是私钥泄露。攻击者耗尽了各种代币中的资金，包括 11M ETH、204K BKK、137M TRX、29K BNB 以及包括 BSC、Arbitrum 和 Optimism 在内的多个链上的更多代币。CoinEx 团队承认了漏洞利用，并暂时暂停了所有交易。该团队确认所有受影响的用户将获得全额赔偿。

漏洞利用合约：0x33Ddd548FE3a082d753E5fE721a26E1Ab43e3598

交易哈希：0xb6a07c2c591e43abc63add833aaf4d6ab47e66f05cf6b49a9dda7c2317b2d61c

BFCToken | 损失金额：3.8 万美元

9 月 10 日，由于价格操纵漏洞，BNB 链上的 BFCToken 漏洞利用导致 3.8 万美元的损失。根本原因是 BFCToken 合约中私有 _transfer() 函数中的漏洞。每当触发此函数时，它都会销毁 BFC 代币。攻击者通过销毁代币，人为地减少总供应量并抬高代币价格来利用这一点。然后，攻击者出售 BFC 代币以获取利润，并将资金在 PancakeSwap 上转换为 ETH。

漏洞利用合约（在 BNB 链上）：0x595eac4A0CE9b7175a99094680fbe55A774B5464

交易哈希：0x8ee76291c1b46d267431d2a528fa7f3ea7035629500bba4f87a69b88fcaf6e23

FloorDAO | 损失金额：6.5 万美元

9 月 5 日，由于逻辑漏洞，以太坊主网上 FloorDAO 的漏洞利用导致 1.6 万美元的损失。根本原因是 FloorDAO 合约中 stake() 函数中的漏洞，该合约是从 Olympus DAO 分叉出来的。stake() 函数没有将资金发送到预期的 warmupContract，而是错误地将资金发送给调用者。攻击者能够通过在同一交易中多次调用 stake() 和 unstake() 函数来利用此逻辑漏洞，从而获利。

漏洞利用合约：0x759c6De5bcA9ADE8A1a2719a31553c4B7DE02539

交易哈希：0x1274b32d4dfacd2703ad032e8bd669a83f012dde9d27ed92e4e7da0387adafe4

Olympix：你安全智能合约的合作伙伴

Olympix 提供先进的 Solidity 分析工具，以帮助开发人员在漏洞变成关键漏洞之前识别和修复它们。

立即开始 加强你的智能合约，并在不断发展的 Web3 安全领域主动保护它们免受漏洞利用。

通过以下方式与我们联系：

Twitter | LinkedIn | Discord | Medium | Instagram | Telegram

• 原文链接： blog.blockmagnates.com/c...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～