Q3 安全季報揭秘|全網鏈上損失席捲 7.4 億美金,近五成源於釣魚詐騙陷阱
2024 年 Q3 全網鏈上累計造成損失約 7.43 億美元,環比上升 58%。作者:歐科雲鏈
2024 年 Q3 全網鏈上累計造成損失約 7.43 億美元 ,環比上升 58%。發生主要攻擊事件 110 起,其中詐騙與釣魚事件共計 61 起,損失金額 3.4 億美元 ,損失占比 46.03%。
據 OKLink 數據統計,因私鑰洩漏事件所造成的損失約 2.7 億美元 ,占比 36.06%。REKT 事件損失約 8,042 萬美元 ,占比 10.78%。RugPull 事件損失約 461 萬美元 ,占比 0.62% 。
在 7 月和 8 月期間,每月均遭受了大約3 億美元 的重大損失,9 月總損失陡然下降 57% ,儘管如此,仍面臨著釣魚事件和私鑰洩漏等安全風險的挑戰,這些安全事件具有高度的隨機性,構成了不容忽視的威脅。OKLink 提醒大家務必提高安全防範意識,不要輕信任何未經驗證的簽名請求,尤其是在授權 "Permit" 或涉及資金轉移時,一定要核實簽名的真實性。
同時,妥善保管好您的私鑰和助記詞,切勿洩露給任何人,也不要通過截圖或存儲在不安全的設備上保存。
最大安全事件-釣魚詐騙
8 月 19 日,一名潛在受害者疑似因釣魚攻擊損失了 4,064 BTC ,價值約 2.38 億美元。這筆巨額資金在被竊取後迅速通過 ThorChain、eXch、Kucoin、ChangeNow、Railgun 和 Avalanche Bridge 等多個平台進行了複雜的轉移操作。
最大安全事件-私鑰洩漏
7 月 18 日,WazirX 交易所因多簽錢包私鑰洩漏,導致損失約 2.35 億美元。
最大安全事件-REKT
9 月 3 日,Penpie 因其獎勵協議存在重入漏洞遭受攻擊,導致損失約 2,734 萬美元。
最大安全事件-RugPull
7 月 21 日,ETHTrustFund 發生 RugPull,並在 Base 竊取了價值約 200 萬美元的加密貨幣。
案例分析
9 月 3 日,Penpie 合約遭受重入攻擊,攻擊者在重入階段向合約添加流動性來冒充獎勵金額,從而獲取合約內原有的獎勵代幣。資產損失高達 2,734 萬美元。
1、攻擊者使用惡意的 SY1 代幣合約在 Pendle 協議上創建出惡意的 SY1PENDLE-LPT 市場。隨後攻擊者使用該惡意 SY1PENDLE-LPT 市場在 Penpie 上創建出新抵押池,並在該抵押池中存入了大量的 SY1_PENDLE-LPT 代幣;
2、攻擊者閃電貸獲取大量的 wstETH,sUSDe,egETH 和 rswETH 代幣,並存入到 SY1 代幣合約,當作是 SY1 代幣合約產生的獎勵。之後調用 Penpie.batchHarvestMarketRewards 函數,該函數會觸發 SY1 代幣合約的 claimRewards 函數,期望從 SY1 代幣合約獲取獎勵代幣;
3、但是,在 SY_1代幣的claimRewards 函數中,攻擊者利用 Penpie 協議的重入漏洞,將閃電貸獲得的 wstETH,sUSDe,egETH 和 rswETH 代幣存入到相應的 Pendle 市場,並將獲得的 LP 代幣存入到 Penpie 協議中。
由於該操作發生在 Penpie.batchHarvestMarketRewards 函數調用期間,Penpie 錯誤地將這些新存入的代幣當作獎勵代幣,並將這些錯誤數量的獎勵代幣發送給 RewardDistributor 合約。因為攻擊者是該惡意 Pendle 市場的唯一存款者,所以攻擊者可以獲得所有的獎勵;
4、最後攻擊者從 Penpie 贖回所有 Pendle-LP 代幣,隨後從 Pendle 贖回 wstETH,sUSDe,egETH 和 rswETH 等代幣並歸還閃電貸。
OKLink小貼士
OKLink 提醒用戶在進行鏈上操作時,請仔細核對鏈上地址,避免因地址篡改而遭受損失。建議定期檢查並撤銷不再使用的合約授權,防止惡意合約濫用。合理利用鏈上工具對操作進行保障,OKLink 提供代幣授權查詢、地址監控、合約對比 等功能,輕鬆管理代幣授權,合約風險盡在掌控。
面對高收益項目要保持理性,尤其是那些沒有透明度或審計報告的項目,謹防落入 RugPull 和 REKT 陷阱。
