4月の安全月報：全ネットワークのチェーン上総損失は3月比で42.11%減少

安全意識は、Web3の世界で最も強力な盾であり、デジタル資産を保護するための第一の防線です。
OKLinkはあなたの安全第一の拠点として、40以上の主要なブロックチェーンブラウザを提供し、ユーザーにワンストップの検索入口を提供します。
同時に、アドレス監視、トークン承認の確認、アドレスの健康度などのツールが、ユーザーが安全にWeb3を楽しむための全方位のサポートを提供します。詳しくは https://www.oklink.com/zh-hans/tools?channelId=wx0001

1. 今月全体での損失は約1.1億ドルで、3月比で42.11%減少しました。

2. 公式のSNSで発生した詐欺やフィッシング事件は合計32件で、その損失割合は7.67%です。主にX、Discord、各種フィッシングサイトなどのチャネルに集中しています。

3. REKTとRugPull事件の損失割合はそれぞれ43.90%と44.07%、その他の安全事件の損失割合は4.36%です。

ケース分析：

4月19日、Hedgey FinanceはイーサリアムとArbitrum上で重大なセキュリティホールが存在し、約4470万ドルの損失が発生しました。ハッカーはユーザー入力検証の欠如を利用して、脆弱な契約の承認を取得し、契約内の資産を盗みました。この事件は4月の最大の損失をもたらしたREKTセキュリティ事件となりました。

攻撃フロー：

攻撃取引：https://www.oklink.com/cn/eth/tx/0xa17fdb804728f226fcd10e78eae5247abd984e0f03301312315b89cae25aa517

1) Balancerから130万USDCのフラッシュローンを取得；

2) createLockedCampaign()を通じて130万USDCをClaimCampaigns契約に預け入れ；

3) 入力検証の欠如により、ClaimCampaigns契約が悪意のあるアドレスに130万USDCの承認を誤って行った；

4) cancelCampaign()を通じて預け入れた130万USDCを引き出す。これにより、攻撃者は契約の130万USDCの承認を得て、後の攻撃取引で契約内の130万USDCを盗むことができる；

5) フラッシュローンを返済；

https://www.oklink.com/cn/eth/tx/0x2606d459a50ca4920722a111745c2eeced1d8a01ff25ee762e22d5d4b1595739

6) 得た承認を利用してClaimCampaigns契約から130万USDCを盗む。

問題コード

https://etherscan.deth.net/address/0xbc452fdc8f851d7c5b72e1fe74dfb63bb793d511

4月RugPull損失最大の安全事件

4月21日、暗号賭博プラットフォームZKasinoでRugpullが発生し、約3300万ドルの損失が発生しました。

OKLink安全ヒント

今月の安全事件による損失は先月に比べて減少しましたが、依然として多くの私鍵漏洩による資産損失のケースがあります。必ず誰にも私鍵やリカバリーフレーズを漏らさないようにし、スクリーンショットで保存することも避けてください。また、ソフトウェアをダウンロードする際は慎重に行動し、デバイスがマルウェアに感染しないようにし、私鍵やリカバリーフレーズが漏洩しないように注意してください。異常に高いリターンを提供すると主張するプロジェクトには懐疑的な態度を持ち、投資を考える前に十分なプロジェクトとチームの調査を行ってください。