Sorotan insiden keamanan bulanan Zero Hour Technology telah dimulai! Menurut statistik dari beberapa platform pemantauan risiko keamanan blockchain, pada bulan Juni 2024, jumlah kerugian dari berbagai insiden keamanan meningkat dibandingkan dengan bulan Mei. Lebih dari 39 insiden keamanan umum terjadi pada bulan Juni, dengan total kerugian yang disebabkan oleh serangan hacker, penipuan phishing, dan penarikan permadani mencapai US$198 juta, meningkat sekitar 28,6% dari bulan Mei. Jumlah tersebut merupakan jumlah kerugian bulanan tertinggi kedua pada tahun 2024, dengan tambahan $1,3 juta yang dikembalikan jika terjadi insiden keamanan. Diantaranya, kerugian akibat exit Fraud sekitar US$4,8 juta, kerugian akibat flash loan sekitar US$23,5 juta, dan kerugian akibat eksploitasi kerentanan sekitar US$171,3 juta.

Serangan peretas

10 insiden keamanan yang umum

(1) Pada tanggal 2 Juni, bursa terdesentralisasi Velocore mengalami pelanggaran keamanan, yang mengakibatkan kerugian ETH sekitar US$6,8 juta. Menurut laporan analisis kecelakaan Velocore, penyebab utama kecelakaan tersebut adalah logika yang salah pada fungsi velocore__execute() dari ConstantProductPool.

(2) Pada tanggal 4 Juni, NCD diserang di BNBChain, mengakibatkan kerugian sekitar US$20.000.

(3) Pada tanggal 7 Juni, SteamSwap (STM) diserang di BNBChain, mengakibatkan kerugian sekitar US$105.000.

(4) Pada tanggal 7 Juni, Advance Auto Parts, Inc., pemasok utama suku cadang aftermarket otomotif, mengalami pelanggaran data berskala besar. Aktor ancaman bernama "Sp1d3r" mengklaim bahwa data Advance Auto Parts telah dilanggar. Pelaku ancaman juga mengklaim telah mencuri 3 TB data dari penyimpanan cloud Snowflake milik perusahaan. Informasi yang dicuri diduga dijual seharga $1,5 juta.

(5) Pada tanggal 9 Juni, dompet pintar Loopring telah disusupi. Serangan tersebut memanfaatkan dompet yang hanya memiliki satu wali, khususnya wali resmi Loopring. Peretas memulai proses pemulihan, menyamar sebagai pemilik dompet untuk mengatur ulang kepemilikan dan menarik aset. Peretas telah mengubah semua aset Loopring yang dicuri menjadi Ethereum, dan alamat tersebut saat ini menyimpan 1,373 ETH, bernilai lebih dari 5 juta dolar AS.

(6) Pada tanggal 10 Juni, protokol UwU mengalami beberapa serangan pinjaman kilat dari peretas, yang mengakibatkan kerugian hampir US$20 juta. Peretas telah menarik berbagai aset seperti WBTC dan DAI dari kumpulan dan mengubahnya menjadi ETH. Saat ini, UwU mengklaim telah melunasi utang macet sebesar 2,000,000 CRV, 100,000 bLUSD, dan 125,000 USDT. Sebanyak $11,600,000 telah dilunasi sejak kejadian pada 10 Juni 2024.

(7) Pada tanggal 17 Juni, Dyson diserang di BNBChain dan kehilangan sekitar US$31.000.

(8) Pada tanggal 21 Juni, kumpulan likuiditas proyek ekologi Blast YOLO Game di Bazaar dicuri sebesar US$1,5 juta. Akar penyebabnya adalah tidak adanya pemeriksaan izin dalam fungsi "exitPool", yang memungkinkan siapa pun berpura-pura menjadi penyedia likuiditas dan mengurasnya. Kolam modal. Para peretas telah mengembalikan 90% dana tersebut.

(9) Pada tanggal 23 Juni, platform perjudian online Sportsbet juga diduga diserang oleh peretas BtcTurk, yang mengakibatkan kerugian lebih dari US$3,5 juta.

(10) Pada tanggal 23 Juni, CoinStats diserang, dan peretas mengirimkan pemberitahuan berisi tautan phishing kepada pengguna melalui aplikasi. Sekitar 1.590 dompet terpengaruh. Mungkin yang paling terpengaruh adalah dompet milik Blurr.eth, yang telah dicuri dan diretas sebesar 3,657 MKR ($8,7 juta) untuk dijual secara on-chain seharga 2,482 ETH. Hal ini menyebabkan harga MKR turun dari $2,462 menjadi $2,280, penurunan jangka pendek sebesar 7%.

Penarikan Karpet / Penipuan Phishing

8 insiden keamanan yang khas

(1) Pada tanggal 2 Juni, alamat yang dimulai dengan 0x6435 kehilangan US$1,58 juta karena penipuan phishing.

(2) Pada tanggal 5 Juni, alamat yang dimulai dengan 0xa38a kehilangan US$2,12 juta karena penandatanganan lisensi tanda tangan phishing.

(3) Pada tanggal 6 Juni, alamat yang dimulai dengan 0x2ac2 kehilangan $368.717 karena penandatanganan lisensi tanda tangan phishing. Aset yang dicuri adalah token Uniswap dan SushiSwap LP.

(4) Pada tanggal 9 Juni, alamat yang dimulai dengan 0x1Ea4 kehilangan Pendle USD senilai $1,05 juta karena menandatangani tanda tangan lisensi phishing.

(5) Pada tanggal 13 Juni, alamat yang dimulai dengan 0x4dc kehilangan $249.365 karena penandatanganan tanda tangan phishing Uniswap Permit2.

(6) Pada tanggal 17 Juni, alamat yang dimulai dengan 0x107f kehilangan 170cbETH ($663,308) karena penandatanganan lisensi tanda tangan phishing.

(7) Pada tanggal 18 Juni, alamat yang dimulai dengan 0x6759 kehilangan $445.778 karena penandatanganan tanda tangan phishing.

(8) Pada tanggal 21 Juni, alamat yang dimulai dengan 0x4e9E mengalami serangan phishing, yang mengakibatkan kerugian sekitar US$214.000.

Meringkaskan

Dari analisis berbagai kejadian di atas, dibandingkan bulan Mei, jumlah kerugian meningkat di bulan Juni, dan penipuan phishing juga meningkat. Tim keamanan teknologi zero-hour merekomendasikan agar pihak proyek selalu waspada, melakukan pelatihan keamanan internal dan manajemen otoritas, serta mencari perusahaan keamanan profesional untuk melakukan audit dan melakukan investigasi latar belakang proyek sebelum proyek online.

Catatan:

Isi artikel ini semuanya dikumpulkan dari informasi yang tersedia untuk umum.

#é»‘å®¢ę”»å‡»Ā