今日运势评分

本月运势

甲申月

震荡偏多

丙破格，辰库蓄水

乙不栽植千株不长
卯不穿井水泉不香

宜

祭祀,入殓,移柩,结网,启钻,安葬,除服,成服,馀事勿取

忌

诸事不宜

月相

渐亏凸

底部反弹

日冲

TRUMP9.09 -5.68%

SUI3.76 -6.17%

TON3.41 -3.33%

TRX0.36 -1.16%

DOGE0.22 -8.53%

XRP3.08 -5.88%

SOL192.73 -4.36%

BNB841.25 -0.85%

ETH4562.12 -3.74%

BTC118462.75 -4.10%

ETH Gas0.37 Gwei

贪婪

首页 深潮精选 Research 项目发现 7x24h︎快讯 最新活动

Web3 安全月报 | 5 月钓鱼事件频发，链上工具如何见招拆招？

2024.05.31 - 441 天前

本月全网累计造成损失约1.4 亿美元，环比4月上升 27.27%。

本月全网安全事件所造成损失环比上升27.27%，钓鱼与诈骗事件占比60%以上。安全意识是您保护数字资产的第一道防线，OKLink 提供 40+ 头部区块链浏览器与一站式查询入口；以及地址监控、代币授权查询、地址健康度等工具为您的资产安全保驾护航。

1、本月全网累计造成损失约1.4 亿美元，环比4 月上升 27.27%。

2、官方社媒遭受诈骗与钓鱼事件共计27 起，其损失占比60.08%。其主要集中在X、Discord 及各类钓鱼网站等渠道。

3、REKT 和 RugPull 事件损失分别占比 16.89%和 1.37%，其他安全事件损失事件占比21.66%。

案例分析

5 月 15 日，Sonne Finance 遭到攻击，损失约2000 万美元。其原因为协议通过投票添加新的VELO 市场，但项目方未及时向 VELO 市场添加初始资金，导致黑客利用经典 rounding issue 操纵 VELO 市场的抵押率获利。

OKLink 已将其地址打上 #Hack 标签https://www.oklink.com/zh-hans/optimism/address/0xae4a7cde7c99fb98b0d5fa414aa40f0300531f43

攻击流程：

1) 攻击者调用攻击合约 0xa78aef 往 soVELO 市场进行初始存款获得 2 WEI 的 soVELO；

2) 主攻击合约 0x02fa26 抢先调用 timelock 合约来设置抵押系数，导致 soVELO 市场的资产可以作为抵押参与其他市场借贷；

3) 闪电贷约 35M VELO 并捐赠给 soVELO 市场合约以操纵汇率，2 WEI 的 soVELO 可以代表大量的 VELO，也代表了大量的抵押价值；

4）创建子攻击合约 0xa16388，并向其转移 2 WEI 的 soVELO，然后借出 265 WETH，并使用 1 WEI 的 soVELO 赎回约 35M VELO。此处是利用了被操纵的汇率，使计算出的 soVELO 数量约为 1.9999 WEI，由于四舍五入，最终变成了 1 WEI；

5) 清算子攻击合约 0xa16388 的借款以取回 1 WEI 的 soVELO 并返还到主攻击合约 0x02fa26。由于此时汇率已较小，因此可以使用少量 WETH 获得 1 WEI 的 soVELO；

6) 重新 mint 1 WEI 的 soVELO 并通过向 soVELO 市场捐赠以重新操纵汇率，重复以上步骤，以借出更多的WETH、USDC 等资产。

问题代码：

最大安全事件-RugPull

5 月 23 日，假的 TON 代币项目发生 RugPull，造成的损失约 60 万美金。

最大安全事件-钓鱼诈骗

5 月 3 日，某巨鲸用户遭受钓鱼攻击，损失约7000 万美金（1155 WBTC)。但在 5 月 10 号，黑客将 90% 资金返还给受害者。

最大安全事件-私钥泄漏

5 月 21 日，Gala Games 遭攻击，私钥疑似泄露，攻击者铸造了 50 亿个 GALA，价值约 2 亿美元。通过出售 GALA 代币，攻击者最终获利约2100 万美金。5 月 22 日，攻击者归还了全部资产。

OKLink安全贴士

本月钓鱼攻击和私钥泄密攻击占比较大。OKLink 提醒大家，请注意保护个人信息，切记不可向任何人透露您的私钥或助记词，也不要简单地以截图等方式存储。此外，在进行资金转账时务必仔细核对接收者地址，从交易记录或聊天记录等地直接拷贝地址需确认准确。安全意识是您在Web3 世界中最强大的护盾，也是您保护数字资产的第一道防线。

欢迎加入深潮TechFlow官方社群

Telegram订阅群：https://t.me/TechFlowDaily
Twitter官方账号：https://x.com/TechFlowPost
Twitter英文账号：https://x.com/BlockFlow_News