7 月安全月報 | 私鑰洩露損失約占總損失 88%,超 2.6 億美元
7 月全網累計造成損失約 2.9 億美元,環比 6 月總損失上升 38.01%,因私鑰洩露所造成損失占總損失的 88.31%7 月全網累計造成損失約 2.9 億美元 ,因私鑰洩露所造成損失占總損失的88.31%,其中 WazirX 因多簽錢包私鑰洩露,造成約2.35 億美元 的損失,為 7 月最大安全事件。
最大安全事件 - 私鑰洩漏
7 月 18 日,WazirX 多簽錢包私鑰洩露,造成損失約 2.35 億美元。
最大安全事件 - 釣魚詐騙
7 月 24 日,ETH 鏈上地址 0x07…fDC9 損失價值 469 萬美元的 Pendle 重新質押代幣。
最大安全事件 -REKT
7 月 16 日,LiFi Protocol 跨鏈橋聚合協議被攻擊,導致損失約 1 千萬美元,攻擊者利用了任意調用漏洞,可以讓攻擊者盜取授權給這個合約用戶的資產。
最大安全事件 -RugPull
7 月 21 日,ETH TrustFund 發生 RugPull 並在 Base 上竊取了價值約 200 萬美元 的加密貨幣。
案例分析
7 月 15 日,Minterest 在 Mantle 上遭遇了重大的安全事故,並因此造成了約 140 萬美元的損失。目前,其項目團隊已暫停該協議。
流程分析:
1) 從 Mantle DEX 的 USDY/USDT 資金池中閃電貸出 426.5 萬 USDY;
在其回調函數中:共循環又進行了 25 次 FlashLoan \& Redeem Underlying 動作;
2) 從 mUSDY 市場中閃電貸出 39.27 萬 USDY;
在其回調函數中:調用了兩個方法 wrap \& lendRUSDY;
3) 存入 426.5 萬 USDY,按照 share price,換取了 447.3 萬 mUSD;
4) 使用上一步驟獲得的 447.3 萬 mUSD 份額代幣借出了 2,747,677 萬 mUSDY;
步驟一:轉入 447.3 萬 mUSD share token;
步驟二:將 447.3 萬 mUSD unwrap 回 426.5 萬 USDY 放在 mUSDY 市場合約中;
步驟三:轉給用戶 2,747,677 萬 mUSDY;
5) 取回底層 USDY 資產,黑客計算取回 426.5 萬 USDY 需要多少 Redeem Tokens (mUSDY),發現 Redeem Underlying 時,黑客只需要還回去 2,566,963 萬 mUSDY,如此一來,黑客便可留下 180,714 萬的 mUSDY;
6) 循環以上步驟約 25 次後,黑客獲利約 140 萬美元。
OKLink 小貼士
7 月全網累計造成損失約 2.9 億美元,環比 6 月總損失上升 38.01% ,因私鑰洩露所造成損失占總損失的 88.31%。OKLink 提醒用戶不要向任何人透露你的私鑰或助記詞,也不要通過截屏等形式來保存與記憶,未經驗證的鏈接不要點擊,安全意識是在 Web3 世界中保護自己的重要防線。
Web3 鏈上工具已經成為規避風險重要手段。OKLink 提供地址查詢與監控、鏈上數據播報以及私人標籤設立等工具,多維度的數據對比為每一次操作保駕護航。
同時,OKLink 推出 EaaS (Explorer-as-a-Service,瀏覽器即服務),這是一種可擴展的解決方案,旨在解決項目方面臨的挑戰,提供零成本設置、快速部署、多鏈支持、高級區塊分析和開放 API 等功能。
