【安全月报】| 8月区块链安全事件连续增长,因黑客攻击等损失金额达3.14亿
https://i-blog.csdnimg.cn/direct/e2e208ee05304b16bb55e9203dac76f2.jpeg零时科技每月安全事件看点开始了!据一些区块链安全风险监测平台统计表现,2024年8月,各类安全事件损失金额较7月连续增长。8月发生较典型安全事件超28起,因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达3.14亿美元,较7月增长约9.7%。此中,网络钓鱼攻击成为主要威胁,占据被盗资金总额的93.5%美元。
黑客攻击方面
典型安全事件 8 起
(1) 8月1日,Convergence Finance 合约被盗取约 20 万美元。17 天前摆设的用于分发 CVX 嘉奖的 Convergence Finance 合约已被攻破。攻击者铸造了 5800 万个 $CVG 代币并将其兑换为 60 WETH 和 15.9k crvFRAX。
https://img-blog.csdnimg.cn/img_convert/d8d622d8fb3f083d4ade3a671d23b1bb.png
(2) 8月6日,游戏区块链 Ronin 遭攻击,Ronin Bridge 项目出现异常提取跨链资产的行为。慢雾安全团队分析,漏洞缘故起因是由于权重被修改为意外值,资金无需经过任何多重签名阈值检查即可提取。攻击者从桥中提取了约 4000 个 ETH 和 200 万 USDC,价值约 1200 万美元。截至 8 月 7 日,白帽归还了 1200 万美元的资产,并获得 50 万美元的漏洞赏金。
https://img-blog.csdnimg.cn/img_convert/933e7bb5cc98ab97b526b14bbcfeeb79.png
(3) 8月7日,Nexera Fundrs 因存在安全漏洞导致 NXRA 代币被盗。一个外部攻击者未经授权地访问了 Fundrs 的以太坊质押合约,转移了代币,导致约合 44.9 万美元的损失。
https://img-blog.csdnimg.cn/img_convert/9354f221ff34465563edf171e598e645.png
(4) 8月13日,Vow 因合约漏洞遭攻击,损失约 120 万美元。据 VOW 消息,当时团队正在测试 v$ 合约的 USD 汇率设置功能,以便为新的借贷池和预言机功能铸造 v$。
https://img-blog.csdnimg.cn/img_convert/044a7bfcf280b7d92a017ec0a2248ee0.png
(5) 8月16日,Mantra DAO 的 DeFi 项目 Zenterest 遭受攻击。攻击者使用失真的代价来通过借贷举行赢利,终极导致攻击者用极少的 MPH 掏空了项目方的 WHITE 代币。攻击者归还从 Uniswap 借到的 85 WHITE 和 0.0085 WHITE利钱,终极赢利 4.9 WHITE ,价值 21000 USD 。
https://img-blog.csdnimg.cn/img_convert/5d0fc3f4d983f636eecb94821f8d19f8.png
(6) 8月19日,据链上侦探 ZachXBT 消息,一笔涉及 4064 BTC(约合 2.38 亿美元)的可疑转账大概来自一名潜在的受害者。随后资金很快被转移到 ThorChain、eXch、Kucoin、ChangeNow、Railgun 和 Avalanche Bridge。截至8月27日,已有 20.5 万美元被收回。
https://img-blog.csdnimg.cn/img_convert/dfea02087722484c15448a16eec03b29.png
(7) 8月23日,BnbSmartChain 上的项目 HFLH 遭到攻击,攻击者通过此次攻击赢利约 9.099 BNB 约为 5300 USD 。本次漏洞成因主要是因为 HFLH 合约在获取 HFLH Token 的代价时,通过单一泉源 PancakeSwapV2 来计算,导致代价被攻击者操纵,终极使用价差套利。
https://img-blog.csdnimg.cn/img_convert/bbba933f890dd5ed88103e737aa5c221.png
(8) 8月28日,DeFi 贷款平台 Aave 因合约漏洞遭攻击,此次攻击发生在 Aave 焦点协议之外的一个智能合约,该合约用于答应用户使用现有的抵押品归还贷款。攻击者使用了一个恣意调用错误,乐成从这些差别的合约中盗取了约 5.6 万美元。Aave 的相关人员强调,这次攻击没有对用户资金造成风险,也没有影响焦点 Aave 协议的安全。
https://img-blog.csdnimg.cn/img_convert/08f574b40c598af667bf761a53ecd021.png
Rug Pull / 钓鱼诈骗
典型安全事件 5 起
(1) 8月2日, 0x7371开头地址遭遇网络电鱼,导致损失11.9万美元。
(2) 8月13日,0xdB59开头地址遭遇网络电鱼,导致损失126.85stETH,约34.5万美元。
(3) 8月19日,0x293C开头地址遭遇钓鱼诈骗,损失3.2MEGA,约8.2万美元。
(4) 8月21日,一名受害者在签署了针对其 DeFi Saver Proxy 的网络钓鱼生意业务后,损失了价值 5543 万美元的 DAI。据 MistTrack 分析,这笔资金被发送到多个地址,随后大部门被兑换成 ETH。
(5) 8月23日,0xc423开头地址遭遇钓鱼诈骗,损失67stETH,约17.65万美元。
总结
从上述多个事件分析来看,8 月份发生的两起最大规模黑客攻击均涉及未经授权的转账(网络钓鱼)。除此之外,黑客的攻击对象不仅有区块链着名项目,还包括明星及传统行业的着名品牌,如足球明星 Kylian Mbappe,麦当劳等。
零时科技安全团队发起项目方始终保持警惕,提示广大用户谨防钓鱼攻击,审慎投资。此外也需做好内部安全培训和权限管理,在项目上线前寻找专业的安全公司举行审计并做好项目配景观察。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]