8 月安全月报｜钓鱼诈骗狂卷 2.9 亿美元，揭秘链上安全攻与防

作者：欧科云链

8 月全网链上安全事件累计造成损失约 3.16 亿美元，环比上升 9.3%。

仅钓鱼诈骗事件所造成损失占总损失的 93.37%，损失超 2.96 亿美元。钓鱼推文暗藏陷阱，未经验证的链接不要点击。用户需学会利用 Web3 链上工具规避风险，建立一套自己的安全操作流程并严格遵守，确保资金安全。

点击视频查看 防诈 Tips

REKT 事件损失占比 5.97%， 共计损失约 1,893 万美元。RugPull 事件损失占比 0.19% ，共计损失约 59 万美元。

最大安全事件-钓鱼诈骗

8 月 19 日，发生一笔涉及 4,064 枚 BTC 的可疑转账，约合 2.38 亿美元，随后该笔资金很快被转移到 ThorChain、eXch 等多个账户内。

截至 8 月 27 日，已有 20.5 万美元被收回。

最大安全事件-私钥泄漏

8 月 7 日，Nexera 由于合约管理凭证被恶意软件获取，导致被盗取 4,720 万个 NXRA 代币，损失约 150 万美元。

最大安全事件-REKT

8 月 6 日，游戏区块链 Ronin 由于桥实现合约升级后未正确初始化遭到攻击，攻击者从桥中提取了约 4,000 个 ETH 和 200 万 USDC，价值约 1,200 万美元。

截至 8 月 7 日，白帽归还了 1,200 万美元的资产，并获得了项目方额外 50 万美元的漏洞赏金。

最大安全事件-RugPull

8 月 16 日，Solana 上的 SIGMA 发生 RugPull，部署者通过出售其代币获得了 2,381.6 SOL，损失约 33 万美元。

案例分析

8 月 6 日，游戏区块链 Ronin 疑似遭攻击，攻击者从桥中提取了约 4,000 个 ETH 和 200 万 USDC，价值约 1,200 万美元。

流程分析：

1) Ronin 团队错误升级 Axie Infinity: Ronin Bridge V2 合约，对其合约的实现由 MainchainGatewayV3（旧）升级为 MainchainGatewayV3（新），并调用 MainchainGatewayV3（新）的 initializeV4 方法初始化；

2）攻击者发现 MainchainGatewayV3（新）的 _totalOperatorWeight 未初始化，当前为 0，则可以绕过提取资金时的签名验证。攻击者传入任意的签名数据直接提取了 3,996.09375 ETH；

3）在第二笔攻击交易中，攻击者传入任意签名，直接提取了 1,998,046 USDC；

4）攻击者通过 Uniswap 将 1,998,046 USDC兑换成 796 WETH。

 OKLink 小贴士 

8 月因 钓鱼诈骗事件导致巨额损失 。 OKLink 提醒大家， 不要向任何人透露你的私钥或助记词。连接钱包前需三思而后行，授权前，使用  OKLink  代币授权管理工具 防患于未然， 合约风险尽在掌控， 多重保障。