本月全网安全事件所造成损失环比上升27.27%,钓鱼与诈骗事件占比60%以上。安全意识是您保护数字资产的第一道防线,OKLink 提供 40+ 头部区块链浏览器与一站式查询入口;以及地址监控、代币授权查询、地址健康度等工具为您的资产安全保驾护航。
1、本月全网累计造成损失约1.4 亿美元,环比4 月上升 27.27%。
2、官方社媒遭受诈骗与钓鱼事件共计27 起,其损失占比60.08%。其主要集中在X、Discord 及各类钓鱼网站等渠道。
3、REKT 和 RugPull 事件损失分别占比 16.89%和 1.37%,其他安全事件损失事件占比21.66%。
案例分析
5 月 15 日,Sonne Finance 遭到攻击,损失约2000 万美元。其原因为协议通过投票添加新的VELO 市场,但项目方未及时向 VELO 市场添加初始资金,导致黑客利用经典 rounding issue 操纵 VELO 市场的抵押率获利。
OKLink 已将其地址打上 #Hack 标签https://www.oklink.com/zh-hans/optimism/address/0xae4a7cde7c99fb98b0d5fa414aa40f0300531f43
攻击流程:
1) 攻击者调用攻击合约 0xa78aef 往 soVELO 市场进行初始存款获得 2 WEI 的 soVELO;
2) 主攻击合约 0x02fa26 抢先调用 timelock 合约来设置抵押系数,导致 soVELO 市场的资产可以作为抵押参与其他市场借贷;
3) 闪电贷约 35M VELO 并捐赠给 soVELO 市场合约以操纵汇率,2 WEI 的 soVELO 可以代表大量的 VELO,也代表了大量的抵押价值;
4)创建子攻击合约 0xa16388,并向其转移 2 WEI 的 soVELO,然后借出 265 WETH,并使用 1 WEI 的 soVELO 赎回约 35M VELO。此处是利用了被操纵的汇率,使计算出的 soVELO 数量约为 1.9999 WEI,由于四舍五入,最终变成了 1 WEI;
5) 清算子攻击合约 0xa16388 的借款以取回 1 WEI 的 soVELO 并返还到主攻击合约 0x02fa26。由于此时汇率已较小,因此可以使用少量 WETH 获得 1 WEI 的 soVELO;
6) 重新 mint 1 WEI 的 soVELO 并通过向 soVELO 市场捐赠以重新操纵汇率,重复以上步骤,以借出更多的WETH、USDC 等资产。
问题代码:
最大安全事件–RugPull
5 月 23 日,假的 TON 代币项目发生 RugPul小白导航l,造成的损失约 60 万美金。
最大安全事件–钓鱼诈骗
5 月 3 日,某巨鲸用户遭受钓鱼攻击,损失约7000 万美金(1155 WBTC)。但在 5 月 10 号,黑客将 90% 资金返还给受害者。
最大安全事件-私钥泄漏
5 月 21 日,Gala Games 遭攻击,私钥疑似泄露,攻击者铸造了 50 亿个 GALA,价值约 2 亿美元。通过出售 GALA 代币,攻击者最终获利约2100 万美金。5 月 22 日,攻击者归还了全部资产。
OKLink安全贴士
本月钓鱼攻击和私钥泄密攻击占比较大。OKLink 提醒大家,请注意保护个人信息,切记不可向任何人透露您的私钥或助记词,也不要简单地以截图等方式存储。此外,在进行资金转账时务必仔细核对接收者地址,从交易记录或聊天记录等地直接拷贝地址需确认准确。安全意识是您在Web3 世界中最强大的护盾,也是您保护数字资产的第一道防线。
文章来源于互联网:Web3 安全月报 | 5 月钓鱼事件频发,链上工具如何见招拆招?
相关推荐: SEC 打算向 Uniswap Labs 提起一个不可能赢的诉讼
我们越团结,就越强大,就越难被杀死。 撰文:Will 阿望 2024 年 4 月 10 日,Uniswap Labs 收到了来自美国证券交易委员会(SEC)执法部门的 Wells Notice 通知,告知 SEC 可能对 Uniswap Labs 采取诉讼等监…