7 月全網累計造成損失約2.9 億美元,因私鑰洩漏所造成損失佔總損失的88.31%,其中WazirX 因多簽錢包私鑰洩露,造成約2.35 億美元的損失,為7 月最大安全事件。
最大安全事件-私鑰洩漏
7月18日,WazirX多簽錢包私鑰洩露,造成損失約2.35億美元。
最大安全事件-釣魚詐騙
7 月24 日,ETH 鏈上地址0x07...fDC9 損失價值469 萬美元的Pendle 重新質押代幣。
最大安全事件-REKT
7 月16日,LiFi Protocol 跨鏈橋聚合協定被攻擊,導致損失約1 千萬美元,攻擊者利用了任意呼叫漏洞,可以讓攻擊者盜取授權給這個合約用戶的資產。
最大安全事件-RugPull
7 月21 日,ETH TrustFund 發生RugPull並在Base 上竊取了價值約200 萬美元的加密貨幣。
案例分析
7 月15 日,Minterest 在Mantle 上遭遇了重大的安全事故,並因此造成了約140 萬美元的損失。目前,其專案團隊已暫停該協議。
流程分析:
1)從Mantle DEX 的USDY/USDT 資金池中閃電貸出426.5 萬USDY;
在其回呼函數中:共循環又進行了25 次FlashLoan & Redeem Underlying 動作;
2)從mUSDY 市場中閃電貸出39.27 萬USDY;
在其回調函數中:呼叫了兩個方法wrap & lendRUSDY;
3)存入426.5 萬USDY,依照share price,換取了447.3 萬mUSD;
4)使用上一步驟獲得的447.3 萬mUSD 份額代幣借出了2,747,677 萬mUSDY;
步驟一:轉入447.3 萬mUSD share token;
步驟二:將447.3 萬mUSDunwrap 回426.5 萬USDY放在mUSDY市場合約;
步驟三:轉給用戶2,747,677萬mUSDY;
5)取回底層USDY資產,駭客計算取回426.5 萬USDY需要多少Redeem Tokens (mUSDY),發現Redeem Underlying時,駭客只需要還回去2,566,963萬mUSDY,如此一來,駭客便可留下180,714萬的mUSDY ;
6)循環以上步驟約25次後,駭客獲利約140萬美元。
OKLink小貼士
7 月全網累計造成損失約2.9 億美元,月增6 月總損失上升38.01%,因私鑰外洩所造成損失佔總損失的88.31%。 OKLink 提醒用戶不要向任何人透露你的私鑰或助記詞,也不要透過截圖等形式來保存與記憶,未經驗證的連結不要點擊,安全意識是在Web3世界中保護自己的重要防線。
