
Báo cáo an toàn tháng 4: Tổng thiệt hại trên chuỗi toàn mạng giảm 42,11% so với tháng 3
Tuyển chọn TechFlowTuyển chọn TechFlow

Báo cáo an toàn tháng 4: Tổng thiệt hại trên chuỗi toàn mạng giảm 42,11% so với tháng 3
OKLink là điểm đến an toàn đầu tiên của bạn, cung cấp hơn 40 trình duyệt blockchain hàng đầu, mang đến cho người dùng cổng tra cứu tích hợp.
Ý thức an toàn là lớp bảo vệ mạnh mẽ nhất của bạn trong thế giới Web3 và cũng là hàng rào đầu tiên để bảo vệ tài sản kỹ thuật số của bạn.
OKLink, điểm đến an toàn đầu tiên của bạn, cung cấp hơn 40 trình duyệt blockchain hàng đầu, mang đến cho người dùng cổng truy vấn tích hợp.
Đồng thời, các công cụ như giám sát địa chỉ, tra cứu quyền ủy quyền token, đánh giá sức khỏe địa chỉ,... hỗ trợ toàn diện để người dùng tự tin và an toàn khi tham gia Web3.

1. Tổng thiệt hại toàn mạng trong tháng này khoảng 110 triệu USD, giảm 42,11% so với tháng 3.
2. Có tổng cộng 32 sự cố lừa đảo và phishing xảy ra trên các kênh truyền thông chính thức, chiếm 7,67% tổng thiệt hại. Các sự cố chủ yếu tập trung ở X (Twitter), Discord và các trang web phishing.
3. Sự kiện REKT và RugPull lần lượt chiếm 43,90% và 44,07% tổng thiệt hại, các sự cố an toàn khác chiếm 4,36%.
Phân tích sự cố:
|
Ngày 19 tháng 4, Hedgey Finance gặp lỗ hổng bảo mật nghiêm trọng trên Ethereum và Arbitrum, gây thiệt hại khoảng 44,7 triệu USD. Hacker đã lợi dụng một lỗ hổng thiếu xác minh đầu vào từ người dùng để giành quyền kiểm soát hợp đồng bị tổn thương, từ đó đánh cắp tài sản trong hợp đồng. Đây là sự kiện REKT gây thiệt hại lớn nhất trong tháng 4.
Quy trình tấn công: Giao dịch tấn công: https://www.oklink.com/cn/eth/tx/0xa17fdb804728f226fcd10e78eae5247abd984e0f03301312315b89cae25aa517
1) Vay flash loan 1,3 triệu USDC từ Balancer;
2) Gửi 1,3 triệu USDC vào hợp đồng ClaimCampaigns thông qua hàm createLockedCampaign();
3) Do thiếu xác minh đầu vào, hợp đồng ClaimCampaigns đã sai lầm cấp quyền cho địa chỉ độc hại đối với 1,3 triệu USDC;
4) Gọi hàm cancelCampaign() để rút lại 1,3 triệu USDC đã gửi. Đến đây, kẻ tấn công đã có được quyền kiểm soát 1,3 triệu USDC từ hợp đồng và có thể đánh cắp số tiền này trong các giao dịch sau;
5) Hoàn trả khoản vay flash loan; https://www.oklink.com/cn/eth/tx/0x2606d459a50ca4920722a111745c2eeced1d8a01ff25ee762e22d5d4b1595739
6) Sử dụng quyền kiểm soát đã có để đánh cắp 1,3 triệu USDC từ hợp đồng ClaimCampaigns.
Mã lỗi https://etherscan.deth.net/address/0xbc452fdc8f851d7c5b72e1fe74dfb63bb793d511
|
Sự kiện an toàn gây thiệt hại lớn nhất do RugPull trong tháng 4
Ngày 21 tháng 4, nền tảng cá cược mã hóa ZKasino thực hiện Rugpull, gây thiệt hại khoảng 33 triệu USD.
Mẹo an toàn từ OKLink
Thiệt hại do các sự cố an toàn trong tháng này đã giảm so với tháng trước, nhưng vẫn còn nhiều trường hợp mất tài sản do rò rỉ khóa riêng. Hãy tuyệt đối tránh tiết lộ khóa riêng hoặc cụm khôi phục (seed phrase) cho bất kỳ ai, cũng không nên lưu trữ chúng dưới dạng ảnh chụp màn hình. Ngoài ra, hãy hết sức thận trọng khi tải phần mềm để tránh thiết bị bị nhiễm mã độc, dẫn đến rò rỉ khóa riêng hoặc cụm khôi phục. Luôn nghi ngờ những dự án tuyên bố mang lại lợi nhuận bất thường, và cần nghiên cứu kỹ về dự án cũng như đội ngũ phát triển trước khi cân nhắc đầu tư.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News



















