连续6年不跑路的安全速度最适合国人VPN
2024年q3全網鏈上累計造成損失約7.43億美元,環比上升 58%。發生主要攻擊事件110起,其中詐騙與釣魚事件共計61起,損失金額3.4億美元,損失佔比46.03%。
據 OKLink 數據統計,因私鑰泄漏事件所造成的損失約2.7 億美元,佔比36.06%。REKT 事件損失約8,042 萬美元,佔比10.78%。RugPull 事件損失約461 萬美元,佔比0.62% 。
在 7 月和 8 月期間,每月均遭受了大約3 億美元的重大損失,9 月總損失陡然下降57%,儘管如此,仍面臨着釣魚事件和私鑰泄露等安全風險的挑戰,這些安全事件具有高度的隨機性,構成了不容忽視的威脅。OKLink 提醒大家務必提高安全防範意識,不要輕信任何未經驗證的簽名請求,尤其是在授權 “Permit” 或涉及資金轉移時,一定要覈實簽名的真實性。
同時,妥善保管好您的私鑰和助記詞,切勿泄露給任何人,也不要通過截圖或存儲在不安全的設備上保存。
最大安全事件-釣魚詐騙
8 月 19 日,一名潛在受害者疑似因釣魚攻擊損失了4,064 BTC,價值約2.38 億美元。這筆鉅額資金在被竊取後迅速通過 ThorChain、eXch、Kucoin、ChangeNow、Railgun 和 Avalanche Bridge 等多個平臺進行了複雜的轉移操作。
最大安全事件-私鑰泄漏
7 月 18 日,WazirX 交易所因多籤錢包私鑰泄露,導致損失約2.35 億美元。
最大安全事件-REKT
9 月 3 日,Penpie 因其獎勵協議存在重入漏洞遭受攻擊,導致損失約2,734 萬美元。
最大安全事件-RugPull
7 月 21 日,ETHTrustFund 發生RugPull,並在 Base 竊取了價值約200 萬美元的加密貨幣。
案例分析
9 月 3 日,Penpie 合約遭受重入攻擊,攻擊者在重入階段向合約添加流動性來冒充獎勵金額,從而獲取合約內原有的獎勵代幣。資產損失高達2,734 萬美元。
1、攻擊者使用惡意的 SY_1 代幣合約在 Pendle 協議上創建出惡意的 SY_1_PENDLE-LPT 市場。隨後攻擊者使用該惡意 SY_1_PENDLE-LPT 市場在 Penpie 上創建出新抵押池,並在該抵押池中存入了大量的 SY_1_PENDLE-LPT 代幣;
2、攻擊者閃電貸獲取大量的 wstETH,sUSDe,egETH 和 rswETH 代幣,並存入到 SY_1 代幣合約,當作是 SY_1 代幣合約產生的獎勵。之後調用 Penpie.batchHarvestMarketRewards 函數,該函數會觸發 SY_1 代幣合約的 claimRewards 函數,期望從 SY_1 代幣合約獲取獎勵代幣;
3、但是,在 SY_1代幣的claimRewards 函數中,攻擊者利用 Penpie 協議的重入漏洞,將閃電貸獲得的 wstETH,sUSDe,egETH 和 rswETH 代幣存入到相應的 Pendle 市場,並將獲得的 LP 代幣存入到 Penpie 協議中。
由於該操作發生在 Penpie.batchHarvestMarketRewards 函數調用期間,Penpie 錯誤地將這些新存入的代幣當作獎勵代幣,並將這些錯誤數量的獎勵代幣發送給 RewardDistributor 合約。因爲攻擊者是該惡意 Pendle 市場的唯一存款者,所以攻擊者可以獲得所有的獎勵;
4、最後攻擊者從 Penpie 贖回所有 Pendle-LP 代幣,隨後從 Pendle 贖回 wstETH,sUSDe,egETH 和 rswETH 等代幣並歸還閃電貸。
OKLink小貼士
OKLink 提醒用戶在進行鏈上操作時,請仔細覈對鏈上地址,避免因地址篡改而遭受損失。建議定期檢查並撤銷不再使用的合約授權,防止惡意合約濫用。合理利用鏈上工具對操作進行保障,OKLink 提供代幣授權查詢、地址監控、合約對比等功能,輕鬆管理代幣授權,合約風險盡在掌控。
面對高收益項目要保持理性,尤其是那些沒有透明度或審計報告的項目,謹防落入 RugPull 和 REKT 陷阱。
以上就是Q3 安全季報揭祕|全網鏈上損失席捲 7.4 億美金,近五成源於釣魚詐騙陷阱的詳細內容,更多請關注本站其它相關文章!
