Báo cáo an toàn tháng 8|Lừa đảo giả mạo chiếm đoạt 290 triệu USD, vạch trần cuộc chiến tấn công và phòng thủ an toàn trên chuỗi
Tuyển chọn TechFlowTuyển chọn TechFlow
Báo cáo an toàn tháng 8|Lừa đảo giả mạo chiếm đoạt 290 triệu USD, vạch trần cuộc chiến tấn công và phòng thủ an toàn trên chuỗi
Sự cố an ninh trên toàn mạng chuỗi khối trong tháng 8 đã gây thiệt hại khoảng 316 triệu USD, tăng 9,3% so với tháng trước.
Chuyên sâu báo cáo Web3
Tháng 8, các sự cố an ninh trên toàn mạng lưới blockchain đã gây thiệt hại khoảng 316 triệu USD, tăng 9,3% so với tháng trước.
Chỉ riêng các vụ lừa đảo钓鱼 (lừa đảo trực tuyến) đã chiếm tới 93,37% tổng thiệt hại, với mức tổn thất hơn 296 triệu USD. Các bài đăng钓鱼ẩn chứa bẫy lừa đảo; người dùng không nên nhấp vào bất kỳ liên kết nào chưa được xác minh. Người dùng cần học cách sử dụng các công cụ Web3 trên chuỗi để phòng tránh rủi ro, xây dựng một quy trình thao tác an toàn riêng và nghiêm túc tuân thủ nhằm đảm bảo an toàn cho tài sản của mình.
Sự cố REKT chiếm 5,97% tổng thiệt hại, tương ứng tổn thất khoảng 18,93 triệu USD. Sự cố RugPull chiếm 0,19%, tổn thất khoảng 590 nghìn USD.
Sự cố lớn nhất - Lừa đảo钓鱼
Ngày 19 tháng 8, xảy ra một giao dịch đáng ngờ liên quan đến 4.064 BTC, trị giá khoảng 238 triệu USD. Sau đó, số tiền này nhanh chóng được chuyển đến nhiều tài khoản khác nhau như ThorChain, eXch, v.v.
Tính đến ngày 27 tháng 8, đã có 205 nghìn USD được thu hồi.
Sự cố lớn nhất - Rò rỉ khóa riêng tư
Ngày 7 tháng 8, Nexera bị đánh cắp 47,2 triệu token NXRA do chứng chỉ quản lý hợp đồng bị phần mềm độc hại lấy cắp, gây thiệt hại khoảng 1,5 triệu USD.
Sự cố lớn nhất - REKT
Ngày 6 tháng 8, chuỗi khối trò chơi Ronin bị tấn công do lỗi không khởi tạo đúng sau khi nâng cấp hợp đồng cầu nối. Kẻ tấn công đã rút khoảng 4.000 ETH và 2 triệu USDC từ cầu nối, trị giá khoảng 12 triệu USD.
Tính đến ngày 7 tháng 8, các "mũ trắng" đã hoàn trả lại tài sản trị giá 12 triệu USD và nhận được thêm 500 nghìn USD tiền thưởng từ dự án do phát hiện lỗ hổng.
Sự cố lớn nhất - RugPull
Ngày 16 tháng 8, dự án SIGMA trên Solana xảy ra sự cố RugPull, nhà triển khai bán token của mình thu về 2.381,6 SOL, gây thiệt hại khoảng 330 nghìn USD.
Phân tích điển hình
Ngày 6 tháng 8, chuỗi khối trò chơi Ronin nghi bị tấn công, kẻ tấn công đã rút khoảng 4.000 ETH và 2 triệu USDC từ cầu nối, trị giá khoảng 12 triệu USD.
Phân tích quy trình:
1) Nhóm Ronin đã nâng cấp sai hợp đồng Axie Infinity: Ronin Bridge V2, thay đổi phần thực thi từ MainchainGatewayV3 (cũ) sang MainchainGatewayV3 (mới), và gọi phương thức initializeV4 của MainchainGatewayV3 (mới) để khởi tạo;
2) Kẻ tấn công phát hiện _totalOperatorWeight trong MainchainGatewayV3 (mới) chưa được khởi tạo, đang bằng 0, do đó có thể bỏ qua xác minh chữ ký khi rút tiền. Kẻ tấn công truyền dữ liệu chữ ký tùy ý và rút trực tiếp 3.996,09375 ETH;
3) Trong giao dịch tấn công thứ hai, kẻ tấn công truyền chữ ký tùy ý và rút trực tiếp 1.998.046 USDC;
4) Kẻ tấn công đã dùng Uniswap để đổi 1.998.046 USDC thành 796 WETH.
Mẹo nhỏ từ OKLink
Tháng 8, thiệt hại khổng lồ xảy ra chủ yếu do các vụ lừa đảo钓鱼. OKLink nhắc nhở mọi người: đừng tiết lộ khóa riêng tư hay cụm từ khôi phục ví của bạn cho bất kỳ ai. Trước khi kết nối ví, hãy suy nghĩ kỹ càng. Trước khi cấp quyền, hãy sử dụng công cụ quản lý cấp quyền token của OKLink để phòng ngừa rủi ro, kiểm soát đầy đủ các nguy cơ từ hợp đồng, đa tầng bảo vệ an toàn.
👉 https://www.oklink.com/zh-hans/approval
Mỗi người đều nên xây dựng cho mình một quy trình thao tác an toàn và nghiêm túc tuân thủ để bảo vệ tài sản.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@OKLink
