4 月安全月报:全网链上总损失环比 3 月下降 42.11%

OKLink
2024-04-30 14:51:14
收藏
本月的安全事件造成的损失相较上月有所减少,但仍有许多私钥泄漏导致资损的案例,请务必避免向任何人透露您的私钥或助记词,也不要以截图的方式存储它们。

安全意识是您在 Web3 世界中最强大的护盾,也是您保护数字资产的第一道防线。
OKLink 作为您的安全第一站,提供 40+ 头部区块链浏览器,为用户提供一站式查询入口。
与此同时,地址监控、代币授权查询、地址健康度等工具,全方位助力用户以安全的姿态畅行 Web3。详见 https://www.oklink.com/zh-hans/tools?channelId=wx0001

1、本月全网累计造成损失约 1.1 亿美元,环比 3 月下降 42.11%。

2、官方社媒遭受诈骗与钓鱼事件共计 32 起,其损失占比 7.67%。其主要集中在 X、Discord 及各类钓鱼网站等渠道。

3、REKT 和 RugPull 事件损失分别占比 43.90% 和 44.07%,其他安全事件损失事件占比 4.36%。

案例分析:

4 月 19 日 Hedgey Finance 在以太坊和 Arbitrum 上存在重大安全漏洞,损失约 4470 万美元。黑客利用了一个缺乏用户输入验证的漏洞,获得了易受攻击合约的授权,从而窃取了合约中的资产。该事件成为4月损失最大REKT安全事件。

攻击流程:

攻击交易:https://www.oklink.com/cn/eth/tx/0xa17fdb804728f226fcd10e78eae5247abd984e0f03301312315b89cae25aa517

1) 从 Balancer 闪电贷 130 万USDC;

2) 通过 createLockedCampaign() 将 130 万 USDC 存入 ClaimCampaigns 合约;

3) 由于输入验证的缺失,ClaimCampaigns 合约错误地对恶意地址进行了 130 万 USDC 的授权;

4) 通过 cancelCampaign() 将存入的 130 万 USDC 取回。至此,攻击者获得了合约 130 万 USDC 的授权,攻击者可以在随后的攻击交易中将合约中的 130 万 USDC 盗走;

5) 偿还闪电贷;

https://www.oklink.com/cn/eth/tx/0x2606d459a50ca4920722a111745c2eeced1d8a01ff25ee762e22d5d4b1595739

6) 利用获得的授权从 ClaimCampaigns 合约中窃取 130 万 USDC。

问题代码

https://etherscan.deth.net/address/0xbc452fdc8f851d7c5b72e1fe74dfb63bb793d511

4RugPull损失最大安全事件

4 月 21 日,加密博彩平台 ZKasino 发生 Rugpull,造成的损失约 3300 万美元。

OKLink安全贴士

本月的安全事件造成的损失相较上月有所减少,但仍有许多私钥泄漏导致资损的案例,请务必避免向任何人透露您的私钥或助记词,也不要以截图的方式存储它们。此外,下载软件时务必保持谨慎,以免设备受到木马的侵害,导致私钥或助记词泄漏。对那些声称能提供异常高回报的项目要保持怀疑态度,并在考虑投资前进行充分的项目和团队调研。

链捕手ChainCatcher提醒,请广大读者理性看待区块链,切实提高风险意识,警惕各类虚拟代币发行与炒作, 站内所有内容仅系市场信息或相关方观点,不构成任何形式投资建议。如发现站内内容含敏感信息,可点击“举报”,我们会及时处理。
ChainCatcher 与创新者共建Web3世界