零時科技每月安全事件看點开始了!據一些區塊鏈安全風險監測平台統計顯示,2024年8月,各類安全事件損失金額較7月持續增長。8月發生較典型安全事件超28起,因黑客攻擊、釣魚詐騙和Rug Pull造成的總損失金額達3.14億美元,較7月增長約9.7%。其中,網絡釣魚攻擊成爲主要威脅,佔據被盜資金總額的93.5%美元。
(1) 8月1日,Convergence Finance 合約被盜取約 20 萬美元。17 天前部署的用於分發 CVX 獎勵的 Convergence Finance 合約已被攻破。攻擊者鑄造了 5800 萬個 $CVG 代幣並將其兌換爲 60 WETH 和 15.9k crvFRAX。
(2) 8月6日,遊戲區塊鏈 Ronin 遭攻擊,Ronin Bridge 項目出現異常提取跨鏈資產的行爲。慢霧安全團隊分析,漏洞原因是由於權重被修改爲意外值,資金無需經過任何多重籤名閾值檢查即可提取。攻擊者從橋中提取了約 4000 個 ETH 和 200 萬 USDC,價值約 1200 萬美元。截至 8 月 7 日,白帽歸還了 1200 萬美元的資產,並獲得 50 萬美元的漏洞賞金。
(3) 8月7日,Nexera Fundrs 因存在安全漏洞導致 NXRA 代幣被盜。一個外部攻擊者未經授權地訪問了 Fundrs 的以太坊質押合約,轉移了代幣,導致約合 44.9 萬美元的損失。
(4) 8月13日,Vow 因合約漏洞遭攻擊,損失約 120 萬美元。據 VOW 消息,當時團隊正在測試 v$ 合約的 USD 匯率設置功能,以便爲新的借貸池和預言機功能鑄造 v$。
(5) 8月16日,Mantra DAO 的 DeFi 項目 Zenterest 遭受攻擊。攻擊者利用失真的價格來通過借貸進行獲利,最終導致攻擊者用極少的 MPH 掏空了項目方的 WHITE 代幣。攻擊者歸還從 Uniswap 借到的 85 WHITE 和 0.0085 WHITE利息,最終獲利 4.9 WHITE ,價值 21000 USD 。
(6) 8月19日,據鏈上偵探 ZachXBT 消息,一筆涉及 4064 BTC(約合 2.38 億美元)的可疑轉账可能來自一名潛在的受害者。隨後資金很快被轉移到 ThorChain、eXch、Kucoin、ChangeNow、Railgun 和 Avalanche Bridge。截至8月27日,已有 20.5 萬美元被收回。
(7) 8月23日,BnbSmartChain 上的項目 HFLH 遭到攻擊,攻擊者通過此次攻擊獲利約 9.099 BNB 約爲 5300 USD 。本次漏洞成因主要是因爲 HFLH 合約在獲取 HFLH Token 的價格時,通過單一來源 PancakeSwapV2 來計算,導致價格被攻擊者操縱,最終利用價差套利。
(8) 8月28日,DeFi 貸款平台 Aave 因合約漏洞遭攻擊,此次攻擊發生在 Aave 核心協議之外的一個智能合約,該合約用於允許用戶利用現有的抵押品償還貸款。攻擊者利用了一個任意調用錯誤,成功從這些不同的合約中盜取了約 5.6 萬美元。Aave 的相關人員強調,這次攻擊沒有對用戶資金造成風險,也沒有影響核心 Aave 協議的安全。
(1) 8月2日, 0x7371开頭地址遭遇網絡電魚,導致損失11.9萬美元。
(2) 8月13日,0xdB59开頭地址遭遇網絡電魚,導致損失126.85stETH,約34.5萬美元。
(3) 8月19日,0x293C开頭地址遭遇釣魚詐騙,損失3.2MEGA,約8.2萬美元。
(4) 8月21日,一名受害者在籤署了針對其 DeFi Saver Proxy 的網絡釣魚交易後,損失了價值 5543 萬美元的 DAI。據 MistTrack 分析,這筆資金被發送到多個地址,隨後大部分被兌換成 ETH。
(5) 8月23日,0xc423开頭地址遭遇釣魚詐騙,損失67stETH,約17.65萬美元。
從上述多個事件分析來看,8 月份發生的兩起最大規模黑客攻擊均涉及未經授權的轉账(網絡釣魚)。除此之外,黑客的攻擊對象不僅有區塊鏈知名項目,還包括明星及傳統行業的知名品牌,如足球明星 Kylian Mbappe,麥當勞等。
零時科技安全團隊建議項目方始終保持警惕,提醒廣大用戶謹防釣魚攻擊,謹慎投資。此外也需做好內部安全培訓和權限管理,在項目上线前尋找專業的安全公司進行審計並做好項目背景調查。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。