QR 코드를 스캔하여 다운로드하세요.
첫 페이지
속보
주제
전문 칼럼
ETF
지식 저장소
일정표
활동
도구 탐색기
RootData
DeInsight 2024🔥
Devcon 2024

Q3 안전 시즌 보고서 공개|전망망 체인 상 손실 7.4억 달러, 거의 절반이 피싱 사기 함정에서 발생

OKLink
2024-09-30 18:41:33
수집
2024년 Q3 전 네트워크 체인상 누적 손실 약 7.43억 달러, 전분기 대비 58% 증가.

저자: 오커클라우드체인

2024년 Q3 전체 네트워크에서 누적 손실은 약 7.43억 달러로, 전년 대비 58% 증가했습니다. 주요 공격 사건은 110건 발생했으며, 그 중 사기 및 피싱 사건은 총 61건으로 손실 금액은 3.4억 달러로, 손실 비율은 46.03%입니다.

OKLink 데이터 통계에 따르면, 개인 키 유출 사건으로 인한 손실은 약 2.7억 달러로, 비율은 36.06%입니다. REKT 사건의 손실은 약 8,042만 달러로, 비율은 10.78%입니다. RugPull 사건의 손실은 약 461만 달러로, 비율은 0.62%입니다.

이미지

7월과 8월 동안 매달 약 3억 달러의 큰 손실을 입었고, 9월 총 손실은 급격히 57% 감소했습니다. 그럼에도 불구하고 피싱 사건과 개인 키 유출 등 보안 위험의 도전에 직면해 있으며, 이러한 보안 사건은 높은 무작위성을 가지고 있어 무시할 수 없는 위협을 구성합니다. OKLink는 사용자들에게 반드시 보안 예방 의식을 높이고, 검증되지 않은 서명 요청을 쉽게 믿지 말 것을 당부합니다. 특히 "Permit"을 승인하거나 자금 이동과 관련된 경우, 서명의 진위를 반드시 확인해야 합니다.

동시에 개인 키와 니모닉 문구를 안전하게 보관하고, 절대 다른 사람에게 유출하지 말며, 스크린샷을 찍거나 안전하지 않은 장치에 저장하지 말아야 합니다.

이미지

최대 보안 사건 - 피싱 사기

8월 19일, 한 잠재적 피해자가 피싱 공격으로 4,064 BTC를 잃었으며, 이는 약 2.38억 달러에 해당합니다. 이 거액의 자금은 도난당한 후 ThorChain, eXch, Kucoin, ChangeNow, Railgun 및 Avalanche Bridge와 같은 여러 플랫폼을 통해 복잡하게 이동되었습니다.

최대 보안 사건 - 개인 키 유출

7월 18일, WazirX 거래소는 다중 서명 지갑의 개인 키 유출로 인해 약 2.35억 달러의 손실을 입었습니다.

최대 보안 사건 - REKT

9월 3일, Penpie는 보상 프로토콜의 재진입 취약점으로 공격을 받아 약 2,734만 달러의 손실을 입었습니다.

최대 보안 사건 - RugPull

7월 21일, ETHTrustFund에서 RugPull이 발생하여 Base에서 약 200만 달러의 암호화폐가 도난당했습니다.

사례 분석

9월 3일, Penpie 계약이 재진입 공격을 받았으며, 공격자는 재진입 단계에서 계약에 유동성을 추가하여 보상 금액을 가장하여 계약 내 기존 보상 토큰을 확보했습니다. 자산 손실은 2,734만 달러에 달했습니다.

  1. 공격자는 악성 SY1 토큰 계약을 사용하여 Pendle 프로토콜에서 악성 SY1PENDLE-LPT 시장을 생성했습니다. 이후 공격자는 해당 악성 SY1PENDLE-LPT 시장에서 Penpie에 새로운 담보 풀을 생성하고, 그 담보 풀에 대량의 SY1_PENDLE-LPT 토큰을 예치했습니다;

이미지

  1. 공격자는 플래시 론을 통해 대량의 wstETH, sUSDe, egETH 및 rswETH 토큰을 확보하고, 이를 SY1 토큰 계약에 예치하여 SY1 토큰 계약에서 발생한 보상으로 간주했습니다. 이후 Penpie.batchHarvestMarketRewards 함수를 호출하여, 이 함수는 SY1 토큰 계약의 claimRewards 함수를 트리거하여 SY1 토큰 계약에서 보상 토큰을 얻기를 기대했습니다;

이미지

  1. 그러나 SY_1 토큰의 claimRewards 함수에서 공격자는 Penpie 프로토콜의 재진입 취약점을 이용하여 플래시 론으로 얻은 wstETH, sUSDe, egETH 및 rswETH 토큰을 해당 Pendle 시장에 예치하고, 얻은 LP 토큰을 Penpie 프로토콜에 예치했습니다.

이 작업은 Penpie.batchHarvestMarketRewards 함수 호출 중에 발생했기 때문에, Penpie는 이러한 새로 예치된 토큰을 보상 토큰으로 잘못 간주하고, 잘못된 수량의 보상 토큰을 RewardDistributor 계약으로 전송했습니다. 공격자는 해당 악성 Pendle 시장의 유일한 예치자였기 때문에 모든 보상을 받을 수 있었습니다;

이미지

  1. 마지막으로 공격자는 Penpie에서 모든 Pendle-LP 토큰을 상환한 후, Pendle에서 wstETH, sUSDe, egETH 및 rswETH 등의 토큰을 상환하고 플래시 론을 갚았습니다.

이미지

OKLink는 사용자가 체인 상에서 작업을 수행할 때, 체인 상 주소를 주의 깊게 확인하여 주소 변조로 인한 손실을 피할 것을 권장합니다. 더 이상 사용하지 않는 계약 권한을 정기적으로 확인하고 철회하여 악성 계약의 남용을 방지하는 것이 좋습니다. 체인 상 도구를 합리적으로 활용하여 작업을 보장하고, OKLink는 토큰 권한 조회, 주소 모니터링, 계약 비교 등의 기능을 제공하여 토큰 권한을 쉽게 관리하고 계약 위험을 통제할 수 있습니다.

높은 수익 프로젝트에 대해서는 이성을 유지해야 하며, 특히 투명성이나 감사 보고서가 없는 프로젝트에 주의하여 RugPull 및 REKT 함정에 빠지지 않도록 해야 합니다.

관련 태그
안전 계절 보고서 피싱 사기 러그풀 사건 렉트 사건 개인 키 유출
체인캐처(ChainCatcher)는 독자들에게 블록체인을 이성적으로 바라보고, 리스크 인식을 실제로 향상시키며, 다양한 가상 토큰 발행 및 조작에 경계해야 함을 상기시킵니다. 사이트 내 모든 콘텐츠는 시장 정보나 관련 당사자의 의견일 뿐이며 어떠한 형태의 투자 조언도 제공하지 않습니다. 만약 사이트 내에서 민감한 정보를 발견하면 “신고하기”를 클릭하여 신속하게 처리할 것입니다.
OKLink
OKLink
체인 상 데이터의 개방 가치를 어떻게 측정할 수 있을까?
체인 상 데이터의 개방 가치를 어떻게 측정할 수 있을까?
대화 블룸버그, 데이터 집합에서 가치 창출까지
대화 블룸버그, 데이터 집합에서 가치 창출까지
관련 태그
안전 계절 보고서 피싱 사기 러그풀 사건 렉트 사건 개인 키 유출
관련 독서
감시자가 도둑질을 했는지 해커의 소행인지, DEXX 도난 사건 추적
감시자가 도둑질을 했는지 해커의 소행인지, DEXX 도난 사건 추적
8월 안전 월보|피싱 사기가 2.9억 달러를 휘젓다, 블록체인 보안 공격과 방어의 비밀
8월 안전 월보|피싱 사기가 2.9억 달러를 휘젓다, 블록체인 보안 공격과 방어의 비밀
7월 안전 월보 | 개인 키 유출 손실이 총 손실의 약 88%를 차지하며, 2.6억 달러를 초과함
7월 안전 월보 | 개인 키 유출 손실이 총 손실의 약 88%를 차지하며, 2.6억 달러를 초과함
암호화폐 게임 농장으로의 유입, 필리핀인의 복음?
암호화폐 게임 농장으로의 유입, 필리핀인의 복음?
저작권 © 2023
우리에 대해서
BitouchNews → 비터치 뉴스
전문 칼럼 신청
면책 성명
RSS 링크
채용
경ICP2021009392호
경ICP2021009392호
체인캐처 혁신가들과 함께하는 Web3 세상 구축
앱을 열기