区块链小白导航 区块链小白导航
Popular
Move in now

Q3安全季报揭秘|全网链上损失席卷7.4亿美金,近五成源于钓鱼诈骗陷阱

All articles2个月前更新 wyatt
17 0 0
2024年Q3 全网链上累计造成损失约7.43 亿美元,环比上升 58%。发生主要攻击事件 110 起,其中诈骗与钓鱼事件共计61起,损失金额3.4亿美元,损失占比46.03%。

2024年Q3 全网链上累计造成损失约7.43 亿美元,环比上升 58%。发生主要攻击事件 110 起,其中诈骗与钓鱼事件共计61起,损失金额3.4亿美元,损失占比46.03%。

据 OKLink 数据统计,因私钥泄漏事件所造成的损失约2.7 亿美元,占比36.06%。REKT 事件损失约 8,042 万美元,占比10.78%。RugPull 事件损失约 461 万美元,占比 0.62% 。

Q3安全季报揭秘|全网链上损失席卷7.4亿美金,近五成源于钓鱼诈骗陷阱

在 7 月和 8 月期间,每月均遭受了大约 3 亿美元的重大损失,9 月总损失陡然下降 57%,尽管如此,仍面临着钓鱼事件和私钥泄露等Safety风险的挑战,这些Safety事件具有高度的随机性,构成了不容忽视的威胁。OKLink 提醒大家务必提高Safety防范意识,不要轻信任何未经验证的签名请求,尤其是在授权 “Permit” 或涉及资金转移时,一定要核实签名的真实性。

同时,妥善保管好您的私钥和助记词,切勿泄露给任何人,也不要通过截图或存储在不Safety的设备上保存。

Q3安全季报揭秘|全网链上损失席卷7.4亿美金,近五成源于钓鱼诈骗陷阱

最大安全事件-钓鱼诈骗

8 月 19 日,一名潜在受害者疑似因钓鱼攻击损失了 4,064 BTC,价值约 2.38 亿美元。这笔巨额资金在被steal取后迅速通过 ThorChain、eXch、Kucoin、ChangeNow、Railgun 和 Avalanche Bridge 等多个平台进行了复杂的转移操作。

最大安全事件-私钥泄漏

7 月 18 日,WazirX exchange因多签wallet私钥泄露,Xiaobai Navigation导致损失约 2.35 亿美元.

最大安全事件-REKT

9 月 3 日,Penpie 因其奖励协议存在重入漏洞遭受攻击,导致损失约 2,734 万美元.

最大安全事件-RugPull

7 月 21 日,ETHTrustFund 发生RugPull,并在 Base 窃取了价值约 200 万美元ofcryptocurrency.

案例分析

9 月 3 日,Penpie contract遭受重入攻击,攻击者在重入阶段向contract添加流动性来冒充奖励金额,从而获取contract内原有的奖励Token。资产损失高达 2,734 万美元.

1、攻击者使用恶意的 SY_1 Token合约在 Pendle 协议上创建出恶意的 SY_1_PENDLE-LPT 市场。随后攻击者使用该恶意 SY_1_PENDLE-LPT 市场在 Penpie 上创建出新抵押池,并在该抵押池中存入了大量的 SY_1_PENDLE-LPT Token;

Q3安全季报揭秘|全网链上损失席卷7.4亿美金,近五成源于钓鱼诈骗陷阱

2、攻击者闪电贷获取大量的 wstETH,sUSDe,egETH 和 rswETH 代币,并存入到 SY_1 代币合约,当作是 SY_1 代币合约产生的奖励。之后调用 Penpie.batchHarvestMarketRewards 函数,该函数会触发 SY_1 代币合约的 claimRewards 函数,期望从 SY_1 代币合约获取奖励代币;

Q3安全季报揭秘|全网链上损失席卷7.4亿美金,近五成源于钓鱼诈骗陷阱

3、但是,在 SY_1代币的claimRewards 函数中,攻击者利用 Penpie 协议的重入漏洞,将闪电贷获得的 wstETH,sUSDe,egETH 和 rswETH 代币存入到相应的 Pendle 市场,并将获得的 LP 代币存入到 Penpie 协议中。

由于该操作发生在 Penpie.batchHarvestMarketRewards 函数调用期间,Penpie 错误地将这些新存入的代币当作奖励代币,并将这些错误数量的奖励代币发送给 RewardDistributor 合约。因为攻击者是该恶意 Pendle 市场的唯一存款者,所以攻击者可以获得所有的奖励;

Q3安全季报揭秘|全网链上损失席卷7.4亿美金,近五成源于钓鱼诈骗陷阱

4、最后攻击者从 Penpie 赎回所有 Pendle-LP 代币,随后从 Pendle 赎回 wstETH,sUSDe,egETH 和 rswETH 等代币并归还闪电贷。

Q3安全季报揭秘|全网链上损失席卷7.4亿美金,近五成源于钓鱼诈骗陷阱

OKLink小贴士

OKLink 提醒用户在进行链上操作时,请仔细核对链上地址,避免因地址篡改而遭受损失。建议定期检查并撤销不再使用的合约授权,防止恶意合约滥用。合理利用链上工具对操作进行保障,OKLink 提供代币授权查询、地址监控、合约对比等功能,轻松管理代币授权,合约风险尽在掌控,点击文末左下角“阅读原文”进行体验。

面对高收益项目要保持理性,尤其是那些没有透明度或审计报告的项目,谨防落入 RugPull 和 REKT 陷阱。

The article comes from the Internet:Q3安全季报揭秘|全网链上损失席卷7.4亿美金,近五成源于钓鱼诈骗陷阱

相关推荐: Initia 最新研报:探索 Initia 生态中有趣的 DeFi 和消费级加密应用

Initia VIP 的设计旨在有效地“整理你的资源”。 作者:woogieboogie 编译:小白小白导航导航coderworld 关于 Omnitia 的一份极其全面的报告终于来了。 这是一份对原始“启动报告”的更新,新增了 PKS、VIP、公共测试网结果…

share to
© 版权声明
The copyright of the article belongs to the author, please do not reproduce without permission.

相关文章

拥抱牛市:2024各链应用侧生态展望和趋势
Avatar wyatt
70
Placeholder:DeFi 蓬勃发展,但 Web3 的下一步是非金融应用
Avatar wyatt
51
The final step from Web2 to Web3: Why zkWASM?
Avatar wyatt
16
AI Meme 的尽头是神秘学?一文速览神秘学 Meme $THE 的由来
Avatar wyatt
17
AI Bot 在线直播 Pump.fun 打狗?了解题材正确的 AI Meme 币 FUN | 今日 Meme 角度大赏
Avatar wyatt
12
TON 开发者大会回顾:探索 Web2 到 Web3 的创新之旅
Avatar wyatt
32

Popular URLs

没有数据!
Blockchain navigation for newbies, I want to be your favorites. It only includes top safe websites and is only for newcomers in the currency circle. Anti-phishing, find the right circle, every website and APP is manually verified by the platform, escorting you every day in the crypto universe.

sitemap Hot spots to watch Hot spots to watch Hot spots to watch

© 2023. All Rights Reserved.