8 月安全月報|釣魚詐騙狂捲 2.9 億美元,揭秘鏈上安全攻與防
8 月因釣魚詐騙事件導致巨額損失,全網鏈上安全事件累計造成損失約 3.16 億美元作者:歐科雲鏈
8 月全網鏈上安全事件累計造成損失約 3.16 億美元 ,環比上升 9.3%。
僅釣魚詐騙事件所造成損失占總損失的 93.37%,損失超 2.96 億美元 。釣魚推文暗藏陷阱,未經驗證的鏈接不要點擊。用戶需學會利用 Web3 鏈上工具規避風險,建立一套自己的安全操作流程並嚴格遵守,確保資金安全。 點擊視頻查看防詐 Tips
REKT 事件損失占比 5.97%, 共計損失約 1,893 萬美元 。RugPull 事件損失占比 0.19% ,共計損失約 59 萬美元。
最大安全事件 - 釣魚詐騙
8 月 19 日,發生一筆涉及 4,064 枚 BTC 的可疑轉帳,約合 2.38 億美元 ,隨後該筆資金很快被轉移到 ThorChain、eXch 等多個賬戶內。
截至 8 月 27 日,已有 20.5 萬美元被收回。
最大安全事件 - 私鑰洩漏
8 月 7 日,Nexera 由於合約管理憑證被惡意軟件獲取,導致被盜取 4,720 萬個 NXRA 代幣,損失約 150 萬美元。
最大安全事件 -REKT
8 月 6 日,遊戲區塊鏈 Ronin 由於橋實現合約升級後未正確初始化遭到攻擊,攻擊者從橋中提取了約 4,000 個 ETH 和 200 萬 USDC,價值約 1,200 萬美元。
截至 8 月 7 日,白帽歸還了 1,200 萬美元的資產,並獲得了項方額外 50 萬美元的漏洞賞金。
最大安全事件 -RugPull
8 月 16 日,Solana 上的 SIGMA 發生 RugPull,部署者通過出售其代幣獲得了 2,381.6 SOL,損失約 33 萬美元 。
案例分析
8 月 6 日,遊戲區塊鏈 Ronin 疑似遭攻擊,攻擊者從橋中提取了約 4,000 個 ETH 和 200 萬 USDC,價值約 1,200 萬美元 。
流程分析:
1) Ronin 團隊錯誤升級 Axie Infinity: Ronin Bridge V2 合約,對其合約的實現由 MainchainGatewayV3(舊)升級為 MainchainGatewayV3(新),並調用 MainchainGatewayV3(新)的 initializeV4 方法初始化;
2)攻擊者發現 MainchainGatewayV3(新)的 _totalOperatorWeight 未初始化,當前為 0,則可以繞過提取資金時的簽名驗證。攻擊者傳入任意的簽名數據直接提取了 3,996.09375 ETH;
3)在第二筆攻擊交易中,攻擊者傳入任意簽名,直接提取了 1,998,046 USDC;
4)攻擊者通過 Uniswap 將 1,998,046 USDC兌換成 796 WETH。
OKLink 小貼士
8 月因釣魚詐騙事件導致巨額損失。OKLink 提醒大家,不要向任何人透露你的私鑰或助記詞。連接錢包前需三思而後行,授權前,使用 OKLink 代幣授權管理工具 防患於未然,合約風險盡在掌控,多重保障。
