Autor: Cadena de nubes Ouke
En agosto, los incidentes de seguridad en toda la red provocaron pérdidas acumuladas de aproximadamente 316 millones de dólares, un aumento intermensual del 9,3%.
Los incidentes de fraude de phishing por sí solos representaron el 93,37% de las pérdidas totales, con pérdidas que superaron los 296 millones de dólares. Los tweets de phishing contienen trampas ocultas. No haga clic en enlaces no verificados. Los usuarios deben aprender a utilizar las herramientas en cadena de Web3 para evitar riesgos, establecer sus propios procedimientos operativos de seguridad y cumplirlos estrictamente para garantizar la seguridad de los fondos.
Haga clic en el vídeo para ver consejos para la prevención del fraude
La pérdida por incidente de REKT representó el 5,97%, con una pérdida total de aproximadamente 18,93 millones de dólares estadounidenses. El incidente de RugPull representó el 0,19% de las pérdidas, con una pérdida total de aproximadamente 590.000 dólares estadounidenses.
El mayor incidente de seguridad: estafa de phishing
El 19 de agosto, se produjo una transferencia sospechosa que involucró 4.064 BTC, equivalente a aproximadamente 238 millones de dólares, y los fondos se transfirieron rápidamente a múltiples cuentas como ThorChain y eXch.
Hasta el 27 de agosto, se habían recuperado 205.000 dólares.
El mayor incidente de seguridad: la filtración de clave privada
El 7 de agosto, Nexera perdió aproximadamente 1,5 millones de dólares cuando sus credenciales de gestión de contratos fueron obtenidas mediante malware, lo que resultó en el robo de 47,2 millones de tokens NXRA.
El mayor incidente de seguridad-REKT
El 6 de agosto, la cadena de bloques de juegos Ronin fue atacada debido a que el puente no se inicializó correctamente después de la actualización del contrato. El atacante retiró alrededor de 4.000 ETH y 2 millones de USDC del puente, por un valor aproximado de 12 millones de dólares.
Hasta el 7 de agosto, White Hat había devuelto 12 millones de dólares en activos y recibió 500.000 dólares adicionales en recompensas por errores del proyecto.
El mayor incidente de seguridad: RugPull
El 16 de agosto, se produjo un RugPull en SIGMA en Solana, y el implementador ganó 2.381,6 SOL vendiendo sus tokens, lo que resultó en una pérdida de aproximadamente 330.000 dólares.
Estudio de caso
El 6 de agosto, se sospechaba que la cadena de bloques de juegos Ronin había sido atacada, y los atacantes retiraron aproximadamente 4.000 ETH y 2 millones de USDC del puente, por un valor aproximado de 12 millones de dólares.
Análisis de procesos:
1) El equipo de Ronin actualizó por error el contrato Axie Infinity: Ronin Bridge V2, actualizó la implementación de su contrato de MainchainGatewayV3 (antiguo) a MainchainGatewayV3 (nuevo) y llamó al método initializeV4 de MainchainGatewayV3 (nuevo) para inicializar;
2) El atacante descubre que el _totalOperatorWeight de MainchainGatewayV3 (nuevo) no está inicializado y actualmente es 0, por lo que puede omitir la verificación de firma al retirar fondos. El atacante pasó datos de firma arbitrarios y extrajo directamente 3.996,09375 ETH;
3) En la segunda transacción de ataque, el atacante pasó una firma arbitraria y retiró directamente 1.998.046 USDC;
4) El atacante intercambió 1.998.046 USDC por 796 WETH a través de Uniswap.
Consejos de OKLink
En agosto las estafas de phishing provocaron enormes pérdidas. OKLink les recuerda a todos que no revelen su clave privada o frase mnemotécnica a nadie. Debe pensarlo dos veces antes de conectarse a la billetera. Antes de autorizar, use la herramienta de administración de autorización de tokens OKLink para evitar problemas antes de que ocurran. Los riesgos del contrato están bajo control y tienen múltiples protecciones.
