
Báo cáo an toàn tháng 7 | Thiệt hại do rò rỉ khóa riêng chiếm khoảng 88% tổng thiệt hại, hơn 260 triệu USD
Tuyển chọn TechFlowTuyển chọn TechFlow

Báo cáo an toàn tháng 7 | Thiệt hại do rò rỉ khóa riêng chiếm khoảng 88% tổng thiệt hại, hơn 260 triệu USD
Tổng thiệt hại tích lũy trên toàn mạng lưới trong tháng 7 vào khoảng 290 triệu USD, trong đó các sự cố rò rỉ khóa riêng gây ra 88,31% tổng thiệt hại. Trong đó, WazirX bị mất khoảng 235 triệu USD do rò rỉ khóa riêng ví đa ký, là sự cố an ninh lớn nhất trong tháng 7.
Tháng 7, tổn thất tích lũy trên toàn mạng khoảng 290 triệu USD, trong đó tổn thất do rò rỉ khóa riêng chiếm tới 88,31% tổng tổn thất. Trong đó, WazirX bị rò rỉ khóa riêng ví đa chữ ký, gây ra tổn thất khoảng 235 triệu USD, là sự cố an ninh lớn nhất tháng 7.

Sự cố an ninh lớn nhất - Rò rỉ khóa riêng
Ngày 18 tháng 7, khóa riêng ví đa chữ ký của WazirX bị rò rỉ, gây tổn thất khoảng 235 triệu USD.
Sự cố an ninh lớn nhất - Lừa đảo钓鱼
Ngày 24 tháng 7, địa chỉ trên chuỗi ETH 0x07...fDC9 mất khoảng 4,69 triệu USD giá trị token tái stake Pendle.
Sự cố an ninh lớn nhất - REKT
Ngày 16 tháng 7, giao thức cầu nối liên chuỗi LiFi Protocol bị tấn công, dẫn đến tổn thất khoảng 10 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng gọi tùy ý, cho phép đánh cắp tài sản của người dùng đã ủy quyền cho hợp đồng này.
Sự cố an ninh lớn nhất - RugPull
Ngày 21 tháng 7, ETH TrustFund thực hiện hành vi RugPull và đánh cắp khoảng 2 triệu USD tiền mã hóa trên Base.
Phân tích trường hợp
Ngày 15 tháng 7, Minterest gặp sự cố an ninh nghiêm trọng trên Mantle, dẫn đến tổn thất khoảng 1,4 triệu USD. Hiện tại, đội ngũ dự án đã tạm dừng giao thức này.
Phân tích quy trình:
1) Vay flashloan 4,265 triệu USDY từ nhóm thanh khoản USDY/USDT trên DEX Mantle;

Trong hàm callback của nó: vòng lặp thực hiện thêm 25 lần thao tác FlashLoan & Redeem Underlying;

2) Vay flashloan 392.700 USDY từ thị trường mUSDY;

Trong hàm callback của nó: gọi hai phương thức wrap & lendRUSDY;

3) Gửi vào 4,265 triệu USDY, đổi được 4,473 triệu mUSD theo giá share;

4) Sử dụng 4,473 triệu mUSD nhận được ở bước trước để vay 2.747.677 triệu mUSDY;

Bước một: chuyển vào 4,473 triệu mUSD share token;
Bước hai: unwrap 4,473 triệu mUSD thành lại 4,265 triệu USDY đặt trong hợp đồng thị trường mUSDY;
Bước ba: chuyển cho người dùng 2.747.677 triệu mUSDY;

5) Rút tài sản cơ bản USDY, hacker tính toán cần bao nhiêu Redeem Tokens (mUSDY) để rút lại 4,265 triệu USDY, phát hiện khi Redeem Underlying, hacker chỉ cần hoàn trả 2.566.963 triệu mUSDY, như vậy hacker có thể giữ lại 180.714 triệu mUSDY;

6) Sau khi lặp lại các bước trên khoảng 25 lần, hacker thu lợi khoảng 1,4 triệu USD.
Mẹo nhỏ OKLink
Tổng tổn thất trên toàn mạng tháng 7 khoảng 290 triệu USD, tăng 38,01% so với tháng 6. Tổn thất do rò rỉ khóa riêng chiếm 88,31% tổng tổn thất. OKLink nhắc nhở người dùng không tiết lộ khóa riêng hay cụm khôi phục cho bất kỳ ai, cũng không lưu trữ hoặc ghi nhớ dưới dạng chụp màn hình. Không nhấn vào các liên kết chưa được xác minh, ý thức an ninh là hàng rào quan trọng bảo vệ bản thân trong thế giới Web3.
Công cụ on-chain Web3 đã trở thành phương tiện quan trọng để tránh rủi ro. OKLink cung cấp các công cụ như tra cứu và giám sát địa chỉ, cập nhật dữ liệu on-chain, thiết lập nhãn cá nhân, giúp bảo vệ mọi thao tác thông qua so sánh dữ liệu đa chiều.

Đồng thời, OKLink ra mắt EaaS (Explorer-as-a-Service - Dịch vụ Khám phá), một giải pháp mở rộng nhằm giải quyết các thách thức mà các dự án đang đối mặt, cung cấp thiết lập miễn phí, triển khai nhanh chóng, hỗ trợ đa chuỗi, phân tích khối nâng cao và API mở.

Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News










