7월 안전 월보 | 개인 키 유출 손실이 총 손실의 약 88%를 차지하며, 2.6억 달러를 초과함
7월 전체 네트워크에서 누적 손실 약 2.9억 달러 발생, 개인 키 유출로 인한 손실이 총 손실의 88.31%를 차지하며, 그중 WazirX는 다중 서명 지갑의 개인 키 유출로 약 2.35억 달러의 손실을 초래하여 7월 최대 보안 사건이 되었습니다.
최대 보안 사건 - 개인 키 유출 7월 18일, WazirX 다중 서명 지갑의 개인 키 유출로 약 2.35억 달러의 손실이 발생했습니다. 최대 보안 사건 - 피싱 사기 7월 24일, ETH 체인 상 주소 0x07…fDC9에서 469만 달러 가치의 Pendle 재질권 토큰이 손실되었습니다. 최대 보안 사건 -REKT 7월 16일, LiFi Protocol의 크로스 체인 브리지 집계 프로토콜이 공격을 받아 약 1천만 달러의 손실이 발생했습니다. 공격자는 임의 호출 취약점을 이용하여 이 계약에 권한을 부여한 사용자의 자산을 탈취할 수 있었습니다. 최대 보안 사건 -RugPull 7월 21일, ETH TrustFund에서 RugPull이 발생하여 Base에서 약 200만 달러의 암호화폐가 도난당했습니다.
사례 분석
7월 15일, Minterest가 Mantle에서 중대한 보안 사고를 겪어 약 140만 달러의 손실이 발생했습니다. 현재, 프로젝트 팀은 해당 프로토콜을 중단했습니다.
프로세스 분석:
1) Mantle DEX의 USDY/USDT 자금 풀에서 426.5만 USDY를 플래시 론으로 대출받았습니다;
콜백 함수에서: 총 25회 FlashLoan & Redeem Underlying 작업을 반복했습니다;
2) mUSDY 시장에서 39.27만 USDY를 플래시 론으로 대출받았습니다;
콜백 함수에서: 두 가지 방법 wrap & lendRUSDY를 호출했습니다;
3) 426.5만 USDY를 예치하여 share price에 따라 447.3만 mUSD를 교환했습니다;
4) 이전 단계에서 얻은 447.3만 mUSD의 지분 토큰으로 2,747,677만 mUSDY를 대출했습니다;
단계 1: 447.3만 mUSD 지분 토큰을 전송합니다;
단계 2: 447.3만 mUSD를 unwrap하여 426.5만 USDY로 변환하고 mUSDY 시장 계약에 넣습니다;
단계 3: 사용자에게 2,747,677만 mUSDY를 전송합니다;
5) 기본 USDY 자산을 회수하고, 해커는 426.5만 USDY를 회수하는 데 필요한 Redeem Tokens(mUSDY)의 수를 계산하여 Redeem Underlying 시 해커는 단지 2,566,963만 mUSDY를 반환하면 된다는 것을 발견했습니다. 이렇게 하면 해커는 180,714만 mUSDY를 남길 수 있습니다;
6) 위 단계를 약 25회 반복한 후, 해커는 약 140만 달러의 이익을 얻었습니다.
OKLink 팁
7월 전체 네트워크에서 누적 손실 약 2.9억 달러, 6월 총 손실 대비 38.01% 증가, 개인 키 유출로 인한 손실이 총 손실의 88.31%를 차지합니다. OKLink는 사용자에게 개인 키나 시드 문구를 누구에게도 공개하지 말고, 스크린샷 등의 형태로 저장하거나 기억하지 말 것을 권장합니다. 검증되지 않은 링크는 클릭하지 말고, 안전 의식은 Web3 세계에서 자신을 보호하는 중요한 방어선입니다.
Web3 체인 상 도구는 위험 회피의 중요한 수단이 되었습니다. OKLink는 주소 조회 및 모니터링, 체인 상 데이터 방송 및 개인 태그 설정 등의 도구를 제공하며, 다각적인 데이터 비교로 각 작업을 안전하게 지원합니다.
동시에, OKLink는 EaaS (Explorer-as-a-Service, 탐색기 서비스)를 출시했습니다. 이는 프로젝트가 직면한 문제를 해결하기 위한 확장 가능한 솔루션으로, 제로 비용 설정, 빠른 배포, 멀티 체인 지원, 고급 블록 분석 및 개방형 API 등의 기능을 제공합니다.