安全月报 | 一个链接导致巨额损失,视频教你如何防范
作者:欧科云链
6 月 10 日,以太坊上借贷协议 UwU Lend 被攻击,合计损失 2270 万美元,攻击者利用合约存在预言机价格操纵的漏洞造成损失约 1900 万美元,并在 6 月 13 日再次利用项目方对合约治理操作失误再次攻击,获利 370 万美元。
攻击流程:
1) Flashloan 获取 USD,从而操纵 SUSDE 降低其价格;
2) 地址 0xf19d66 向 pool_2409 存入 19979 WBTC、6.15 亿 DAI 和 3.01 亿 SUSDSE;
3) 地址 0x87ed92 向 pool_2409 存入 31.8 万 ETH(约等于 11.93 亿 SUSDSE);
4)地址 0x87ed92 借款 3.02 亿 SUSDSE 并转给地址 0xf19d66,然后地址 0xf19d66 使用这些 SUSDSE 存入 pool_2409。地址 0x87ed92 重复此操作四次;
5) 地址 0xf19d66 借款 31.9 万 ETH 给地址 0x87ed92,然后地址 0x87ed92 重复步骤 3 和步骤 4;
6) 地址 0x87ed92 从 UwULend 中提取 34.4 万 WETH;
7) 地址 0xf19d66 操纵 SUSDSE 价格并清算地址 0x87ed92 的借款;
8) 使用 uSUSDE 作为抵押品,地址 0x4cd6fe 从 UwU 借入 350 万 DAI 和 420 万 USDT。
最大安全事件-RugPull
6 月 8 日, zkSync 生态 emholicECO 发生 Rugpull, 造成的损失约 340 万美元。
最大安全事件-钓鱼诈骗
6 月 23 日,某巨鲸用户遭受钓鱼攻击,损失约 1100 万美元。
最大安全事件-私钥泄漏
6 月 22 日,BtcTurk 中的一些热钱包遭遇攻击,怀疑与私钥泄露相关,造成资金损失 9000 万美元,其中 530 万美元的被盗资金被冻结追回。
OKLink小贴士
6 月遭受诈骗与钓鱼事件占比下降,但依旧不能掉以轻心。OKLink 提醒大家,不要向任何人透露你的私钥或助记词,对于承诺异常高回报的项目要保持怀疑态度,投资前,务必对项目和团队进行深入研究,不能忽视任何一次点击,诸如社群内消息,一个短信中的链接,一个冒充官方客服的私信链接,这当中都可能藏着不可逆的陷阱。
利用 OKLink 等工具查询币种与项目等多项信息,充分调研。以数据为基石,方能坐怀不乱,先为自己的链上安全筑起防线。