零時科技每月安全事件看點開始了!根據一些區塊鏈安全風險監測平台統計顯示,2024年6月,各類安全事件損失金額較5月相比有上漲。 6月發生較典型安全事件超39起,因駭客攻擊、釣魚詐騙和Rug Pull造成的總損失金額達1.98億美元,較5月增長約28.6%。該金額是2024年第二高的月度損失金額,此外130萬美元在安全事件中被退還。其中,退出詐騙損失約480萬美元、閃電貸款損失約2,350萬美元、漏洞利用損失約1.713億美元。
駭客攻擊方面
典型安全事件10起
(1) 6月2日,去中心化交易所Velocore遭遇安全漏洞,導致約680萬美元的ETH損失。根據Velocore事故分析報告顯示,事故的主要原因是ConstantProductPool的velocore__execute()函數中存在錯誤邏輯。
(2) 6月4日,NCD在BNBChain上遭到攻擊,損失約2萬美元。
(3) 6月7日,SteamSwap (STM) 在BNBChain上遭到攻擊,損失約10.5萬美元。
(4) 6月7日,汽車售後零件的主要供應商Advance Auto Parts, Inc. 遭遇了大規模資料外洩。一名名為「Sp1d3r」的威脅者聲稱Advance Auto Parts資料外洩。該威脅行為者還聲稱從該公司的Snowflake雲端儲存中竊取了3TB的資料。據稱,被盜資訊以150萬美元的價格出售。
(5) 6月9日,Loopring智慧錢包遭到入侵,該攻擊利用了只有一個守護者的錢包,特別是Loopring官方守護者。駭客啟動了恢復過程,冒充錢包所有者重置所有權並提取資產。駭客將所盜Loopring資產已全部兌換為以太坊,地址目前持有1373枚ETH,價值超500萬美元。
(6) 6月10日,UwU協議遭受駭客多次閃電貸攻擊,損失近2,000萬美元。駭客已將不同資產(如WBTC和DAI)從池中抽出並轉換為ETH。目前UwU稱已經償還2,000,000 CRV、100,000 bLUSD和125,000 USDT的壞帳。自2024年6月10日事件發生以來,共償還了11,600,000美元。
(7) 6月17日,Dyson在BNBChain上遭攻擊,損失約31,000美元。
(8) 6月21日,Blast生態專案YOLO Game在Bazaar上的流動性池被盜150萬美元,其根本原因是「exitPool」函數中沒有權限檢查,允許任何人冒充流動性提供者並耗盡資金池。駭客已歸還90%資金。
(9) 6月23日,線上博彩平台Sportsbet疑似同樣遭到BtcTurk駭客的攻擊,損失超350萬美元。
(10) 6月23日,CoinStats被攻擊,駭客透過應用程式向用戶推送了含有釣魚連結的通知。大約1,590個錢包受到影響。受影響最大的可能是一個屬於Blurr.eth的錢包,他被盜取了3,657枚MKR(870萬美元)並被駭客在鏈上拋售換成2,482枚ETH。這導致了MKR價格由2,462美元跳水至2,280美元,短暫下跌了7%。
Rug Pull / 釣魚詐騙
典型安全事件8起
(1) 6月2日,某0x6435開頭地址因網路釣魚詐騙損失了158萬美元。
(2) 6月5日,某0xa38a開頭地址因簽署許可證網路釣魚簽名而損失了212萬美元。
(3) 6月6日,某0x2ac2開頭地址因簽署許可證網路釣魚簽名而損失了368,717美元。被竊資產是Uniswap和SushiSwap LP代幣。
(4) 6月9日,某0x1Ea4開頭地址因簽署許可證網路釣魚簽名而損失了價值105萬美元的Pendle USD。
(5) 6月13日,某0x4dc開頭地址因簽署Uniswap Permit2網路釣魚簽名而損失了249,365 美元。
(6) 6月17日,某0x107f開頭地址因簽署許可證網絡釣魚簽名而損失了170cbETH(663,308 美元)。
(7) 6月18日,某0x6759開頭地址因簽署網路釣魚簽名而損失了445,778 美元。
(8) 6月21日,某0x4e9E開頭位址遭受網路釣魚攻擊,損失了約21.4萬美元。
總結
從上述多個事件分析來看,相較5月,6月損失金額上漲,同時網路釣魚詐騙事件也有所上漲。零時科技安全團隊建議專案方始終保持警惕,並做好內部安全培訓和權限管理,在專案上線前尋找專業的安全公司進行審計並做好專案背景調查。
註:
本文內容均來自公開的資料整理收集。
