安全月報 | 一個鏈接導致巨額損失，視頻教你如何防範

作者：歐科雲鏈

6 月 10 日，以太坊上借貸協議 UwU Lend 被攻擊，合計損失2270 萬美元，攻擊者利用合約存在預言機價格操縱的漏洞造成損失約 1900 萬美元，並在 6 月 13 日再次利用項方對合約治理操作失誤再次攻擊，獲利 370 萬美元。 攻擊流程：

1) Flashloan 獲取 USD，從而操縱 SUSDE 降低其價格；

2) 地址 0xf19d66 向 pool_2409 存入 19979 WBTC、6.15 億 DAI 和 3.01 億 SUSDSE；

3) 地址 0x87ed92 向 pool_2409 存入 31.8 萬 ETH（約等於 11.93 億 SUSDSE）；

4）地址 0x87ed92 借款 3.02 億 SUSDSE 並轉給地址 0xf19d66，然後地址 0xf19d66 使用這些 SUSDSE 存入 pool_2409。地址 0x87ed92 重複此操作四次；

5) 地址 0xf19d66 借款 31.9 萬 ETH 給地址 0x87ed92，然後地址 0x87ed92 重複步驟 3 和步驟 4；

6) 地址 0x87ed92 從 UwULend 中提取 34.4 萬 WETH；

7) 地址 0xf19d66 操縱 SUSDSE 價格並清算地址 0x87ed92 的借款；

8) 使用 uSUSDE 作為抵押品，地址 0x4cd6fe 從 UwU 借入 350 萬 DAI 和 420 萬 USDT。

最大安全事件-RugPull* 6 月 8 日, zkSync 生態 emholicECO 發生 Rugpull, 造成的損失約 340 萬美元 。 最大安全事件-釣魚詐騙* 6 月 23 日，某巨鯨用戶遭受釣魚攻擊，損失約1100 萬美元 。 最大安全事件-私鑰洩漏**** 6 月 22 日，BtcTurk 中的一些熱錢包遭遇攻擊，懷疑與私鑰洩漏相關，造成資金損失 *9000 萬美元* ，其中 530 萬美元 的被盜資金被凍結追回。 OKLink小貼士

6 月遭受詐騙與釣魚事件占比下降，但依舊不能掉以輕心。OKLink 提醒大家，不要向任何人透露你的私鑰或助記詞，對於承諾異常高回報的項目要保持懷疑態度，投資前，務必對項目和團隊進行深入研究，不能忽視任何一次點擊，諸如社群內消息，一個短信中的鏈接，一個冒充官方客服的私信鏈接，這當中都可能藏著不可逆的陷阱。

利用 OKLink 等工具查詢幣種與項目等多項信息，充分調研。以數據為基石，方能坐懷不亂，先為自己的鏈上安全築起防線。

來源視頻：https://youtu.be/ed7cd9j15mw