QRコードをスキャンしてダウンロードしてください。
ホームページ
記事
速報
プロジェクトランキング
専題
専門コラム
ETF
ナレッジベース
カレンダー
イベント
ツールナビゲーション
DeInsight 2024

Q3 セキュリティ季報の揭秘|全ネットワークのチェーン上損失が74億ドルに達し、約50%がフィッシング詐欺の罠に起因

OKLink
2024-09-30 18:41:33
コレクション
2024年Q3全ネットチェーン上で累計損失は約7.43億ドルで、前期比58%増加しました。

著者:オーコ・クラウドチェーン

2024年Q3全ネットワークのチェーン上での累積損失は約7.43億ドルで、前期比58%の増加となりました。主な攻撃事件は110件発生し、その中で詐欺およびフィッシング事件は合計61件、損失額は3.4億ドル、損失割合は46.03%です。

OKLinkのデータによると、私鍵の漏洩事件による損失は約2.7億ドルで、割合は36.06%です。REKT事件の損失は約8,042万ドルで、割合は10.78%です。RugPull事件の損失は約461万ドルで、割合は0.62%です。

画像

7月と8月の間、毎月約3億ドルの重大な損失を被り、9月の総損失は急激に57%減少しました。それにもかかわらず、フィッシング事件や私鍵の漏洩などのセキュリティリスクの挑戦に直面しており、これらのセキュリティ事件は高度なランダム性を持ち、無視できない脅威を構成しています。OKLinkは、必ずセキュリティ意識を高め、未確認の署名要求を軽信しないように、特に「Permit」を承認する際や資金移動に関与する場合は、署名の真実性を確認することを強く推奨します。

また、私鍵とリカバリーフレーズを適切に保管し、他の誰にも漏らさないようにし、スクリーンショットを撮ったり、安全でないデバイスに保存したりしないでください。

画像

最大のセキュリティ事件 - フィッシング詐欺

8月19日、潜在的な被害者がフィッシング攻撃により4,064 BTCを失い、約2.38億ドルの価値がありました。この巨額の資金は、盗まれた後、ThorChain、eXch、Kucoin、ChangeNow、Railgun、Avalanche Bridgeなどの複数のプラットフォームを通じて迅速に複雑な移転操作が行われました。

最大のセキュリティ事件 - 私鍵の漏洩

7月18日、WazirX取引所はマルチシグウォレットの私鍵が漏洩し、約2.35億ドルの損失を被りました。

最大のセキュリティ事件 - REKT

9月3日、Penpieはその報酬プロトコルに重入れの脆弱性があるため攻撃を受け、約2,734万ドルの損失を被りました。

最大のセキュリティ事件 - RugPull

7月21日、ETHTrustFundでRugPullが発生し、Baseで約200万ドルの暗号通貨が盗まれました。

ケース分析

9月3日、Penpieの契約が重入れ攻撃を受け、攻撃者は重入れの段階で契約に流動性を追加して報酬額を偽装し、契約内の元々の報酬トークンを取得しました。資産損失は2,734万ドルに達しました。

  1. 攻撃者は悪意のあるSY1トークン契約を使用してPendleプロトコル上に悪意のあるSY1PENDLE-LPT市場を作成しました。その後、攻撃者はこの悪意のあるSY1PENDLE-LPT市場を使用してPenpieに新しい担保プールを作成し、その担保プールに大量のSY1_PENDLE-LPTトークンを預け入れました;

画像

  1. 攻撃者はフラッシュローンを利用して大量のwstETH、sUSDe、egETH、rswETHトークンを取得し、SY1トークン契約に預け入れ、SY1トークン契約からの報酬として扱いました。その後、Penpie.batchHarvestMarketRewards関数を呼び出し、この関数はSY1トークン契約のclaimRewards関数をトリガーし、SY1トークン契約から報酬トークンを取得することを期待しました;

画像

  1. しかし、SY_1トークンのclaimRewards関数内で、攻撃者はPenpieプロトコルの重入れの脆弱性を利用し、フラッシュローンで得たwstETH、sUSDe、egETH、rswETHトークンを対応するPendle市場に預け入れ、得られたLPトークンをPenpieプロトコルに預け入れました。

この操作はPenpie.batchHarvestMarketRewards関数の呼び出し中に発生したため、Penpieはこれらの新しく預け入れられたトークンを報酬トークンとして誤って扱い、誤った数量の報酬トークンをRewardDistributor契約に送信しました。攻撃者はこの悪意のあるPendle市場の唯一の預金者であったため、攻撃者はすべての報酬を取得できました;

画像

  1. 最後に、攻撃者はPenpieからすべてのPendle-LPトークンを引き出し、その後PendleからwstETH、sUSDe、egETH、rswETHなどのトークンを引き出し、フラッシュローンを返済しました。

画像

OKLinkは、ユーザーがチェーン上の操作を行う際に、チェーン上のアドレスを慎重に確認し、アドレスの改ざんによる損失を避けるように警告しています。使用しなくなった契約の承認を定期的に確認し、取り消すことをお勧めします。悪意のある契約の悪用を防ぐために、チェーン上のツールを合理的に利用して操作を保護してください。OKLinkはトークンの承認確認、アドレス監視、契約比較などの機能を提供し、トークンの承認を簡単に管理し、契約リスクをコントロールできます。

高収益プロジェクトに対しては冷静さを保ち、特に透明性や監査報告がないプロジェクトには注意し、RugPullやREKTの罠に陥らないようにしてください。

関連タグ
安全四半期報告 フィッシング詐欺 ラグプル事件 レクト事件 秘密鍵漏洩
ChainCatcherは、広大な読者の皆様に対し、ブロックチェーンを理性的に見るよう呼びかけ、リスク意識を向上させ、各種仮想トークンの発行や投機に注意することを提唱します。当サイト内の全てのコンテンツは市場情報や関係者の見解であり、何らかの投資助言として扱われるものではありません。万が一不適切な内容が含まれていた場合は「通報」することができます。私たちは迅速に対処いたします。
OKLink
OKLink
ビットコインはあとどれくらい「燃える」ことができるのか?
ビットコインはあとどれくらい「燃える」ことができるのか?
Devcon 回顧|AltLayer Rollup Dayで200人の開発者と対峙した後の気づき
Devcon 回顧|AltLayer Rollup Dayで200人の開発者と対峙した後の気づき
関連タグ
安全四半期報告 フィッシング詐欺 ラグプル事件 レクト事件 秘密鍵漏洩
関連読み物
DEXXの創設者にインタビュー:盗難の責任は完全に私たちにあり、賠償プラットフォームの入口がまもなくオープンします。
DEXXの創設者にインタビュー:盗難の責任は完全に私たちにあり、賠償プラットフォームの入口がまもなくオープンします。
pump.science ウォレットの秘密鍵漏洩:終わらない騒動
pump.science ウォレットの秘密鍵漏洩:終わらない騒動
監守自盗かハッカーの仕業か、DEXX盗難事件の追跡
監守自盗かハッカーの仕業か、DEXX盗難事件の追跡
8月の安全月報|フィッシング詐欺が29億ドルを巻き込み、チェーン上の安全攻撃と防御を解明
8月の安全月報|フィッシング詐欺が29億ドルを巻き込み、チェーン上の安全攻撃と防御を解明
著作権 © 2023年
私たちについて
メディアリソース
コラムの申請
免責声明
RSSリンク
募集
琼ICP备2021009392号
琼ICP备2021009392号
チェーンキャッチャー イノベーターとともにWeb3の世界を構築する
アプリを開く