En julio, toda la red causó una pérdida total de aproximadamente 290 millones de dólares, y las pérdidas debidas a fugas de claves privadas representaron el 88,31% de las pérdidas totales. Entre ellas, WazirX sufrió una pérdida de aproximadamente 235 millones de dólares debido a la fuga de múltiples. -Claves privadas de billetera de firma, lo que lo convierte en el mayor incidente de seguridad en julio.
El mayor incidente de seguridad: la filtración de clave privada
El 18 de julio, se filtró la clave privada de la billetera multifirma WazirX, lo que provocó una pérdida de aproximadamente 235 millones de dólares.
El mayor incidente de seguridad: estafa de phishing
El 24 de julio, la dirección 0x07...fDC9 en la cadena ETH perdió Pendle por valor de 4,69 millones de dólares y volvió a prometer los tokens.
El mayor incidente de seguridad-REKT
El 16 de julio, el protocolo de agregación de puentes entre cadenas del protocolo LiFi fue atacado, lo que resultó en una pérdida de aproximadamente 10 millones de dólares. El atacante aprovechó una vulnerabilidad de llamada arbitraria, que le permitió robar activos autorizados a los usuarios de este contrato.
El mayor incidente de seguridad: RugPull
El 21 de julio, se produjo un RugPull de ETH TrustFund y se robaron aproximadamente $2 millones en criptomonedas en Base.
Estudio de caso
El 15 de julio, Minterest sufrió un importante incidente de seguridad en Mantle, que resultó en una pérdida de aproximadamente 1,4 millones de dólares. Actualmente, su equipo de proyecto ha suspendido el acuerdo.
Análisis de procesos:
1) Préstamo rápido de 4,265 millones de USDY del fondo de capital USDY/USDT de Mantle DEX;
En su función de devolución de llamada: se realizaron un total de 25 acciones FlashLoan & Redeem Underlying en el bucle;
2) Préstamo flash de 392.700 USDY del mercado mUSDY;
En su función de devolución de llamada: se llaman dos métodos wrap y lendRUSDY;
3) Depositó 4,265 millones de USDY y los canjeó por 4,473 millones de mUSD según el precio de la acción;
4) Utilice los tokens de acciones de 4,473 millones de mUSD obtenidos en el paso anterior para prestar 27,47677 millones de mUSDY;
Paso 1: Transferir 4,473 millones de mUSD de tokens de acciones;
Paso 2: Desenvolver 4,473 millones de mUSD a 4,265 millones de USDY y colocarlos en el contrato de mercado de mUSDY;
Paso 3: Transferir 2.747.677 millones de mUSDY al usuario;
5) Para recuperar los activos subyacentes en USDY, el hacker calcula cuántos tokens de canje (mUSDY) se necesitan para recuperar 4,265 millones de USDY. Cuando se descubre el canje subyacente, el hacker solo necesita devolver 2,566,963 millones de mUSDY. dejar 1,80714 millones de mUSDY;
6) Después de repetir los pasos anteriores unas 25 veces, el hacker obtuvo una ganancia de aproximadamente 1,4 millones de dólares.
Consejos de OKLink
Las pérdidas acumuladas causadas por toda la red en julio fueron de aproximadamente 290 millones de dólares, un aumento del 38,01% con respecto a las pérdidas totales de junio, y las pérdidas causadas por la fuga de claves privadas representaron el 88,31% de las pérdidas totales. OKLink recuerda a los usuarios que no revelen su clave privada o frase mnemotécnica a nadie, y que no la guarden ni la recuerden mediante capturas de pantalla u otros formularios. No hagan clic en enlaces no verificados. La conciencia de seguridad es una línea de defensa importante para protegerse en el mundo Web3. .
Las herramientas en cadena Web3 se han convertido en un medio importante para evitar riesgos. OKLink proporciona herramientas como consulta y monitoreo de direcciones, informes de datos en cadena y establecimiento de etiquetas privadas. La comparación de datos multidimensionales protege cada operación.
Al mismo tiempo, OKLink lanzó EaaS (Explorer-as-a-Service, navegador como servicio), que es una solución escalable diseñada para resolver los desafíos que enfrenta el proyecto y proporcionar configuración sin costo, implementación rápida y múltiples funciones. soporte de cadena, análisis de bloques avanzado y API abierta y otras funciones.
