
Báo cáo an toàn Web3 hàng tháng | Tháng 5 liên tiếp xảy ra các sự cố lừa đảo, công cụ trên chuỗi phản ứng như thế nào?
Tuyển chọn TechFlowTuyển chọn TechFlow

Báo cáo an toàn Web3 hàng tháng | Tháng 5 liên tiếp xảy ra các sự cố lừa đảo, công cụ trên chuỗi phản ứng như thế nào?
Tổng thiệt hại tích lũy trên toàn mạng trong tháng này vào khoảng 140 triệu USD, tăng 27,27% so với tháng 4.
Tổng thiệt hại do các sự cố an ninh trên toàn mạng trong tháng này tăng 27,27% so với tháng trước, trong đó các sự kiện lừa đảo và钓鱼 chiếm hơn 60%. Nhận thức về an ninh là hàng rào bảo vệ đầu tiên cho tài sản kỹ thuật số của bạn. OKLink cung cấp hơn 40 trình duyệt blockchain hàng đầu cùng cổng truy vấn tích hợp; đồng thời trang bị các công cụ như giám sát địa chỉ, tra cứu quyền ủy quyền token, đánh giá độ an toàn của địa chỉ (address health) để bảo vệ an toàn cho tài sản của bạn.

1. Tổng thiệt hại tích lũy do các sự cố an ninh trên toàn mạng trong tháng này vào khoảng 140 triệu USD, tăng 27,27% so với tháng 4.
2. Có tổng cộng 27 sự cố lừa đảo và tấn công钓鱼 xảy ra trên các kênh truyền thông chính thức, chiếm 60,08% tổng thiệt hại. Các sự cố chủ yếu tập trung tại X, Discord và nhiều loại trang web钓鱼khác nhau.
3. Sự cố REKT và RugPull lần lượt chiếm 16,89% và 1,37% tổng thiệt hại, các sự cố an ninh khác chiếm 21,66%.
Phân tích trường hợp
Ngày 15 tháng 5, Sonne Finance bị tấn công, thiệt hại khoảng 20 triệu USD. Nguyên nhân là giao thức đã thêm thị trường VELO mới thông qua biểu quyết, tuy nhiên đội ngũ dự án chưa kịp bổ sung vốn ban đầu vào thị trường VELO, khiến hacker lợi dụng lỗi làm tròn (rounding issue) kinh điển để thao túng tỷ lệ thế chấp trên thị trường VELO và thu lợi.
OKLink đã gắn nhãn #Hack cho địa chỉ này https://www.oklink.com/zh-hans/optimism/address/0xae4a7cde7c99fb98b0d5fa414aa40f0300531f43

Quy trình tấn công:
1) Kẻ tấn công gọi hợp đồng tấn công 0xa78aef để gửi khoản tiền gửi ban đầu vào thị trường soVELO, nhận được 2 WEI soVELO;

2) Hợp đồng tấn công chính 0x02fa26 đi trước gọi hợp đồng timelock để thiết lập hệ số thế chấp, khiến tài sản soVELO có thể được dùng làm tài sản đảm bảo tham gia vay mượn trên các thị trường khác;

3) Dùng flash loan mượn khoảng 35M VELO và quyên góp cho hợp đồng thị trường soVELO nhằm thao túng tỷ giá, khiến 2 WEI soVELO có thể đại diện cho lượng lớn VELO, tức là đại diện cho giá trị đảm bảo rất lớn;

4) Tạo hợp đồng tấn công phụ 0xa16388, chuyển 2 WEI soVELO sang đó, sau đó vay 265 WETH, rồi dùng 1 WEI soVELO để chuộc lại khoảng 35M VELO. Tại đây, kẻ tấn công lợi dụng tỷ giá đã bị thao túng khiến số lượng soVELO tính toán ra khoảng 1,9999 WEI, nhưng do làm tròn nên cuối cùng trở thành 1 WEI;

5) Thanh lý khoản vay của hợp đồng tấn công phụ 0xa16388 để lấy lại 1 WEI soVELO và gửi trả về hợp đồng tấn công chính 0x02fa26. Vì lúc này tỷ giá đã nhỏ hơn, nên có thể dùng một lượng WETH ít để lấy lại 1 WEI soVELO;

6) Đúc lại 1 WEI soVELO và tiếp tục quyên góp vào thị trường soVELO để thao túng tỷ giá một lần nữa, lặp lại các bước trên nhằm vay được nhiều tài sản hơn như WETH, USDC, v.v.

Mã lỗi:

Sự cố an ninh lớn nhất - RugPull
Ngày 23 tháng 5, một dự án token TON giả mạo thực hiện RugPull, gây thiệt hại khoảng 600 nghìn USD.
Sự cố an ninh lớn nhất - Lừa đảo钓鱼
Ngày 3 tháng 5, một người dùng cá voi lớn bị tấn công钓鱼, thiệt hại khoảng 70 triệu USD (1155 WBTC). Tuy nhiên, ngày 10 tháng 5, tin tặc đã hoàn trả 90% số tiền cho nạn nhân.
Sự cố an ninh lớn nhất - Rò rỉ khóa riêng tư
Ngày 21 tháng 5, Gala Games bị tấn công, nghi ngờ rò rỉ khóa riêng tư, khiến kẻ tấn công đúc được 5 tỷ GALA, trị giá khoảng 200 triệu USD. Bằng cách bán token GALA, tin tặc cuối cùng thu lợi khoảng 21 triệu USD. Ngày 22 tháng 5, kẻ tấn công đã hoàn trả toàn bộ tài sản.
Mẹo an ninh từ OKLink
Trong tháng này, các vụ tấn công钓鱼và rò rỉ khóa riêng chiếm tỷ lệ lớn. OKLink nhắc nhở mọi người cần chú ý bảo vệ thông tin cá nhân, tuyệt đối không tiết lộ khóa riêng tư hay cụm từ khôi phục (seed phrase) cho bất kỳ ai, cũng không nên lưu trữ đơn giản bằng cách chụp màn hình hay các hình thức tương tự. Ngoài ra, khi chuyển tiền cần kiểm tra kỹ địa chỉ người nhận, nếu sao chép địa chỉ từ lịch sử giao dịch hoặc tin nhắn thì phải xác minh tính chính xác. Nhận thức về an ninh là lá chắn mạnh mẽ nhất của bạn trong thế giới Web3, cũng là hàng rào bảo vệ đầu tiên cho tài sản kỹ thuật số của bạn.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News










