安全月报 | 一个链接导致巨额损失,视频教你如何防范
时间:2024-07-03 来源:区块链网络 作者:OKLink
作者:欧科云链 6 月 10 日,以太坊上借贷协议 UwU Lend 被攻击,合计损失2270万美元,攻击者利用合约存在预言机价格操纵的漏洞造成损失约 1900 万美元,并在 6 月 13 日再次利用项目方对合约治理操作失误再次攻击,获利 370 万美元。 攻击流程: 1)Flashloan 获取 USD,从而操纵 SUSDE 降低其价格; 2)地址0xf19d66向pool_2409存入19979 WBTC、6.15亿DAI和3.01亿SUSDSE; 3)地址0x87ed92向pool_2409存入31.8万ETH(约等于11.93亿SUSDSE); 4)地址0x87ed92借款3.02亿SUSDSE并转给地址0xf19d66,然后地址0xf19d66使用这些SUSDSE存入pool_2409。地址0x87ed92重复此操作四次; 5)地址0xf19d66借款31.9万ETH给地址0x87ed92,然后地址0x87ed92重复步骤 3和步骤 4; 6)地址0x87ed92从UwULend中提取34.4万WETH; 7)地址0xf19d66操纵SUSDSE价格并清算地址0x87ed92的借款; 8)使用uSUSDE作为抵押品,地址0x4cd6fe从UwU 借入350万DAI和420万USDT。 最大安全事件-RugPull 6月8日, zkSync生态emholicECO发生Rugpull,造成的损失约340万美元。 最大安全事件-钓鱼诈骗 6月23日,某巨鲸用户遭受钓鱼攻击,损失约1100万美元。 最大安全事件-私钥泄漏 6月22日,BtcTurk 中的一些热钱包遭遇攻击,怀疑与私钥泄露相关,造成资金损失9000万美元,其中530万美元的被盗资金被冻结追回。 OKLink小贴士 6 月遭受诈骗与钓鱼事件占比下降,但依旧不能掉以轻心。OKLink 提醒大家,不要向任何人透露你的私钥或助记词,对于承诺异常高回报的项目要保持怀疑态度,投资前,务必对项目和团队进行深入研究,不能忽视任何一次点击,诸如社群内消息,一个短信中的链接,一个冒充官方客服的私信链接,这当中都可能藏着不可逆的陷阱。 利用OKLink等工具查询币种与项目等多项信息,充分调研。以数据为基石,方能坐怀不乱,先为自己的链上安全筑起防线。 |