Bitget App
交易“智”变
行情交易合约跟单策略理财Web3
Q3安全季报揭秘|全网链上损失席卷7.4亿美金,近五成源于钓鱼诈骗陷阱

Q3安全季报揭秘|全网链上损失席卷7.4亿美金,近五成源于钓鱼诈骗陷阱

深潮深潮2024/09/30 13:09
作者:深潮
2024年Q3 全网链上累计造成损失约7.43 亿美元,环比上升 58%。发生主要攻击事件 110 起,其中诈骗与钓鱼事件共计61起,损失金额3.4亿美元,损失占比46.03%。

2024 年 Q3 全网链上累计造成损失约 7.43 亿美元,环比上升 58%。发生主要攻击事件 110 起,其中诈骗与钓鱼事件共计 61 起,损失金额 3.4 亿美元,损失占比 46.03%。

据 OKLink 数据统计,因私钥泄漏事件所造成的损失约 2.7 亿美元,占比 36.06%。REKT 事件损失约 8,042 万美元,占比 10.78%。RugPull 事件损失约 461 万美元,占比 0.62% 。

在 7 月和 8 月期间,每月均遭受了大约 3 亿美元的重大损失,9 月总损失陡然下降 57%,尽管如此,仍面临着钓鱼事件和私钥泄露等安全风险的挑战,这些安全事件具有高度的随机性,构成了不容忽视的威胁。OKLink 提醒大家务必提高安全防范意识,不要轻信任何未经验证的签名请求,尤其是在授权 “Permit” 或涉及资金转移时,一定要核实签名的真实性。

同时,妥善保管好您的私钥和助记词,切勿泄露给任何人,也不要通过截图或存储在不安全的设备上保存。

最大安全事件-钓鱼诈骗

8 月 19 日,一名潜在受害者疑似因钓鱼攻击损失了 4,064 BTC,价值约 2.38 亿美元。这笔巨额资金在被窃取后迅速通过 ThorChain、eXch、Kucoin、ChangeNow、Railgun 和 Avalanche Bridge 等多个平台进行了复杂的转移操作。

最大安全事件-私钥泄漏

7 月 18 日,WazirX 交易所因多签钱包私钥泄露,导致损失约 2.35 亿美元

最大安全事件-REKT

9 月 3 日,Penpie 因其奖励协议存在重入漏洞遭受攻击,导致损失约 2,734 万美元

最大安全事件-RugPull

7 月 21 日,ETHTrustFund 发生 RugPull,并在 Base 窃取了价值约 200 万美元的加密货币。

案例分析

9 月 3 日,Penpie 合约遭受重入攻击,攻击者在重入阶段向合约添加流动性来冒充奖励金额,从而获取合约内原有的奖励代币。资产损失高达 2,734 万美元

1、攻击者使用恶意的 SY_1 代币合约在 Pendle 协议上创建出恶意的 SY_1_PENDLE-LPT 市场。随后攻击者使用该恶意 SY_1_PENDLE-LPT 市场在 Penpie 上创建出新抵押池,并在该抵押池中存入了大量的 SY_1_PENDLE-LPT 代币;

2、攻击者闪电贷获取大量的 wstETH,sUSDe,egETH 和 rswETH 代币,并存入到 SY_1 代币合约,当作是 SY_1 代币合约产生的奖励。之后调用 Penpie.batchHarvestMarketRewards 函数,该函数会触发 SY_1 代币合约的 claimRewards 函数,期望从 SY_1 代币合约获取奖励代币;

3、但是,在 SY_1代币的claimRewards 函数中,攻击者利用 Penpie 协议的重入漏洞,将闪电贷获得的 wstETH,sUSDe,egETH 和 rswETH 代币存入到相应的 Pendle 市场,并将获得的 LP 代币存入到 Penpie 协议中。

由于该操作发生在 Penpie.batchHarvestMarketRewards 函数调用期间,Penpie 错误地将这些新存入的代币当作奖励代币,并将这些错误数量的奖励代币发送给 RewardDistributor 合约。因为攻击者是该恶意 Pendle 市场的唯一存款者,所以攻击者可以获得所有的奖励;

4、最后攻击者从 Penpie 赎回所有 Pendle-LP 代币,随后从 Pendle 赎回 wstETH,sUSDe,egETH 和 rswETH 等代币并归还闪电贷。

OKLink小贴士

OKLink 提醒用户在进行链上操作时,请仔细核对链上地址,避免因地址篡改而遭受损失。建议定期检查并撤销不再使用的合约授权,防止恶意合约滥用。合理利用链上工具对操作进行保障,OKLink 提供代币授权查询、地址监控、合约对比等功能,轻松管理代币授权,合约风险尽在掌控,点击文末左下角“阅读原文”进行体验。

面对高收益项目要保持理性,尤其是那些没有透明度或审计报告的项目,谨防落入 RugPull 和 REKT 陷阱。

免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。

0

免责声明:文章中的所有内容仅代表作者的观点,与本平台无关。用户不应以本文作为投资决策的参考。

PoolX:锁仓获得新代币空投
不要错过热门新币,且APR 高达 10%+
立即参与!

你也可能喜欢

Swell Network (SWELL):让每个人都能享受以太坊质押和重新质押的便利

什么是Swell Network(SWELL)? Swell Network (SWELL) 是一个流动性质押平台,允许用户通过质押或重新质押 ETH 赚取被动收入。质押涉及锁定一定数量的 ETH 以帮助验证以太坊区块链上的交易。作为回报,用户将获得奖励。Swell 使这个过程更容易、更容易实现,即使对于那些没有大量 ETH 或技术专长的人来说也是如此。 谁创立了 Swell Network (SWELL)? Swell Network 由 Swell Labs 开发,该团队致力于创造安全、去中心化和透明的金融未来。Swell Labs 的目标是让每个人都能享受金融自由,不受歧视或审查。 哪

Bitget Academy2024/11/05 10:41

【首发上币】Swell(SWELL)将上线 Bitget,参与瓜分 23,440,000 SWELL!

我们非常高兴地宣布,Swell(SWELL)将在创新区和 LSD 区上线。详情如下: 充值开放时间:已开放 交易开放时间:2024年11月7日18:00(UTC+8) 提现开放时间:2024年11月8日19:00(UTC+8) 现货交易链接:SWELL/USDT 活动1:Launchpool——锁仓 BGB 和 USDT,瓜分 19,500,000 SWELL 锁仓时间:2024年11月7日18:00至2024年11月14日18:00(UTC+8) 立即锁仓 SWELL 总奖池 19,500,000 SWELL BGB 奖池 16,000,000 SWELL USDT 奖池 3,500,00

Bitget Announcement2024/11/05 10:00

Swell(SWELL)将上线 Bitget Launchpool——锁仓 BGB 及 USDT,瓜分 19,500,000 SWELL!

Swell(SWELL)将上线 Bitget Launchpool。符合条件的用户可锁仓 BGB 和 USDT,瓜分 19,500,000 SWELL。 锁仓时间:2024年11月7日18:00至2024年11月14日18:00(UTC+8) 立即锁仓 项目详情 · 代币名称:Swell(SWELL) • 总供应量:10,000,000,000 SWELL • Launchpool 分配量:19,500,000 SWELL •项目简介: Swell 是以太坊的再质押收益层协议,提供流动性质押和再质押功能,并推出了首个垂直整合的 Layer 2 再质押卷叠方案。 锁仓池1: SWELL 总奖池

Bitget Announcement2024/11/05 10:00

“合约大亨”招募第二季 :50日超级权益报名即享,新项目空投/合约补贴/ VIP 体验

Bitget “合约大亨”招募第二季来袭,权益升级,报名即享! 活动时间:11月5日 18:00 - 11月20日 18:00(UTC+8) 一、入驻即享 提交您在其他交易平台的30日合约交易量记录,需不低于1,500万 USDT (即日均50万 USDT ),即可获得本次活动参与资格。 三种提交方式任选其一: 1、点击联系大客户经理 Telegram 2、点击填写表单提交 3、进入VIP服务页面填写提交 登记之后,若满足要求,立享50日超级权益: 1、新项目空投:50日内每有新币上线,必有空投 2、爆仓补贴:每10日500 USDT ,共5,000 USDT(以体验金的形式发放) 3、 V

Bitget Announcement2024/11/05 09:29