4 月安全月報：全網鏈上總損失環比 3 月下降 42.11%

安全意識是您在 Web3 世界中最強大的護盾，也是您保護數字資產的第一道防線。
OKLink 作為您的安全第一站，提供 40+ 頭部區塊鏈瀏覽器，為用戶提供一站式查詢入口。
與此同時，地址監控、代幣授權查詢、地址健康度等工具，全方位助力用戶以安全的姿態暢行 Web3。詳見 https://www.oklink.com/zh-hans/tools?channelId=wx0001

1、本月全網累計造成損失約 1.1 億美元，環比 3 月下降 42.11%。

2、官方社媒遭受詐騙與釣魚事件共計 32 起，其損失占比 7.67%。其主要集中在 X、Discord 及各類釣魚網站等渠道。

3、REKT 和 RugPull 事件損失分別占比 43.90% 和 44.07%，其他安全事件損失事件占比 4.36%。

案例分析：

4 月 19 日 Hedgey Finance 在以太坊和 Arbitrum 上存在重大安全漏洞，損失約 4470 萬美元。黑客利用了一個缺乏用戶輸入驗證的漏洞，獲得了易受攻擊合約的授權，從而竊取了合約中的資產。該事件成為4月損失最大REKT安全事件。

攻擊流程：

攻擊交易：https://www.oklink.com/cn/eth/tx/0xa17fdb804728f226fcd10e78eae5247abd984e0f03301312315b89cae25aa517

1) 從 Balancer 閃電貸 130 萬USDC；

2) 通過 createLockedCampaign() 將 130 萬 USDC 存入 ClaimCampaigns 合約；

3) 由於輸入驗證的缺失，ClaimCampaigns 合約錯誤地對惡意地址進行了 130 萬 USDC 的授權；

4) 通過 cancelCampaign() 將存入的 130 萬 USDC 取回。至此，攻擊者獲得了合約 130 萬 USDC 的授權，攻擊者可以在隨後的攻擊交易中將合約中的 130 萬 USDC 盜走；

5) 償還閃電貸；

https://www.oklink.com/cn/eth/tx/0x2606d459a50ca4920722a111745c2eeced1d8a01ff25ee762e22d5d4b1595739

6) 利用獲得的授權從 ClaimCampaigns 合約中竊取 130 萬 USDC。

問題代碼

https://etherscan.deth.net/address/0xbc452fdc8f851d7c5b72e1fe74dfb63bb793d511

4 月 RugPull 損失最大安全事件

4 月 21 日，加密博彩平台 ZKasino 發生 Rugpull，造成的損失約 3300 萬美元。

OKLink 安全貼士

本月的安全事件造成的損失相較上月有所減少，但仍有許多私鑰洩漏導致資損的案例，請務必避免向任何人透露您的私鑰或助記詞，也不要以截圖的方式存儲它們。此外，下載軟件時務必保持謹慎，以免設備受到木馬的侵害，導致私鑰或助記詞洩漏。對那些聲稱能提供異常高回報的項目要保持懷疑態度，並在考慮投資前進行充分的項目和團隊調研。