安全月報 | 1つのリンクが巨額の損失を引き起こす、動画で防止方法を教えます

著者：オーコ・クラウドチェーン

6月10日、イーサリアム上の貸付プロトコルUwU Lendが攻撃され、合計損失2270万ドル。攻撃者は契約に存在するオラクル価格操作の脆弱性を利用し、約1900万ドルの損失を引き起こし、6月13日にはプロジェクト側の契約ガバナンス操作のミスを再利用して再度攻撃し、370万ドルを得ました。 攻撃の流れ：

1) フラッシュローンでUSDを取得し、SUSDEの価格を操作して下げる；

2) アドレス0xf19d66がpool_2409に19979 WBTC、6.15億DAI、3.01億SUSDSEを預け入れる；

3) アドレス0x87ed92がpool_2409に31.8万ETH（約11.93億SUSDSE）を預け入れる；

4) アドレス0x87ed92が3.02億SUSDSEを借りてアドレス0xf19d66に転送し、その後アドレス0xf19d66がこれらのSUSDSEをpool_2409に預け入れる。アドレス0x87ed92はこの操作を4回繰り返す；

5) アドレス0xf19d66が31.9万ETHをアドレス0x87ed92に貸し出し、その後アドレス0x87ed92はステップ3とステップ4を繰り返す；

6) アドレス0x87ed92がUwULendから34.4万WETHを引き出す；

7) アドレス0xf19d66がSUSDSEの価格を操作し、アドレス0x87ed92の借入を清算する；

8) uSUSDEを担保として、アドレス0x4cd6feがUwUから350万DAIと420万USDTを借りる。

最大のセキュリティ事件 -RugPull* 6月8日、zkSyncエコシステムのemholicECOでRugpullが発生し、約340万ドルの損失を引き起こしました。 最大のセキュリティ事件 -フィッシング詐欺* 6月23日、ある大口ユーザーがフィッシング攻撃を受け、約1100万ドルの損失を被りました。 最大のセキュリティ事件 -秘密鍵の漏洩** 6月22日、BtcTurkの一部のホットウォレットが攻撃を受け、秘密鍵の漏洩に関連していると疑われ、資金損失は9000万ドル、そのうち530万ドル**の盗まれた資金が凍結され回収されました。 *OKLinkのヒント*

6月の詐欺やフィッシング事件の割合は減少しましたが、依然として油断は禁物です。OKLinkは皆さんに、誰にも秘密鍵やリカバリーフレーズを明かさないように、異常に高いリターンを約束するプロジェクトには疑いの目を持つように、投資前にはプロジェクトやチームを徹底的に調査することを強く推奨します。クリック一つ一つを軽視してはいけません。コミュニティ内のメッセージ、SMS内のリンク、公式サポートを装ったプライベートメッセージのリンクなど、これらの中には取り返しのつかない罠が潜んでいる可能性があります。

OKLinkなどのツールを利用して、通貨やプロジェクトなどの情報を調べ、十分にリサーチを行いましょう。データを基盤にして、冷静さを保ち、自分のオンチェーンセキュリティの防御線を築くことが重要です。

出典動画：https://youtu.be/ed7cd9j15mw