7 月全網累計造成損失約2.9 億美元,因私鑰洩漏所造成損失佔總損失的88.31%,其中WazirX 因多簽錢包私鑰洩露,造成約2.35 億美元的損失,為7 月最大安全事件。

7月安全月報 | 私鑰外洩損失約佔總損失88%,超2.6億美元

最大安全事件-私鑰洩漏

7月18日,WazirX多簽錢包私鑰洩露,造成損失約2.35億美元。

最大安全事件-釣魚詐騙

7 月24 日,ETH 鏈上地址0x07...fDC9 損失價值469 萬美元的Pendle 重新質押代幣。

最大安全事件-REKT

7 月16日,LiFi Protocol 跨鏈橋聚合協定被攻擊,導致損失約1 千萬美元,攻擊者利用了任意呼叫漏洞,可以讓攻擊者盜取授權給這個合約用戶的資產。

最大安全事件-RugPull

7 月21 日,ETH TrustFund 發生RugPull並在Base 上竊取了價值約200 萬美元的加密貨幣。

案例分析

7 月15 日,Minterest 在Mantle 上遭遇了重大的安全事故,並因此造成了約140 萬美元的損失。目前,其專案團隊已暫停該協議。

流程分析:

1)從Mantle DEX 的USDY/USDT 資金池中閃電貸出426.5 萬USDY;

7月安全月報 | 私鑰外洩損失約佔總損失88%,超2.6億美元

在其回呼函數中:共循環又進行了25 次FlashLoan & Redeem Underlying 動作;

7月安全月報 | 私鑰外洩損失約佔總損失88%,超2.6億美元

2)從mUSDY 市場中閃電貸出39.27 萬USDY;

7月安全月報 | 私鑰外洩損失約佔總損失88%,超2.6億美元

在其回調函數中:呼叫了兩個方法wrap & lendRUSDY;

7月安全月報 | 私鑰外洩損失約佔總損失88%,超2.6億美元

3)存入426.5 萬USDY,依照share price,換取了447.3 萬mUSD;

7月安全月報 | 私鑰外洩損失約佔總損失88%,超2.6億美元

4)使用上一步驟獲得的447.3 萬mUSD 份額代幣借出了2,747,677 萬mUSDY;

7月安全月報 | 私鑰外洩損失約佔總損失88%,超2.6億美元

步驟一:轉入447.3 萬mUSD share token;

步驟二:將447.3 萬mUSDunwrap 回426.5 萬USDY放在mUSDY市場合約;

步驟三:轉給用戶2,747,677萬mUSDY;

7月安全月報 | 私鑰外洩損失約佔總損失88%,超2.6億美元

5)取回底層USDY資產,駭客計算取回426.5 萬USDY需要多少Redeem Tokens (mUSDY),發現Redeem Underlying時,駭客只需要還回去2,566,963萬mUSDY,如此一來,駭客便可留下180,714萬的mUSDY ;

7月安全月報 | 私鑰外洩損失約佔總損失88%,超2.6億美元

6)循環以上步驟約25次後,駭客獲利約140萬美元。

OKLink小貼士

7 月全網累計造成損失約2.9 億美元,月增6 月總損失上升38.01%,因私鑰外洩所造成損失佔總損失的88.31%。 OKLink 提醒用戶不要向任何人透露你的私鑰或助記詞,也不要透過截圖等形式來保存與記憶,未經驗證的連結不要點擊,安全意識是在Web3世界中保護自己的重要防線。