安全月報 | 一個鏈接導致巨額損失，視頻教你如何防範

WEEX 唯客博客， 作者：歐科雲鏈   6 月 10 日，以太坊上借貸協議 UwU Lend 被攻擊，合計損失 2270 萬美元，攻擊者利用合約存在預言機價格操縱的漏洞造成損失約 1900 萬美元，並在 6 月 13 日再次利用項目方對合約治理操作失誤再次攻擊，獲利 370 萬美元。 攻擊流程： 1) Flashloan 獲取 USD，從而操縱 SUSDE 降低其價格； 2) 地址 0xf19d66 向 pool_2409 存入 19979 WBTC、6.15 億 DAI 和 3.01 億 SUSDSE； 3) 地址 0x87ed92 向 pool_2409 存入 31.8 萬 ETH（約等於 11.93 億 SUSDSE）； 4）地址 0x87ed92 借款 3.02 億 SUSDSE 並轉給地址 0xf19d66，然後地址 0xf19d66 使用這些 SUSDSE 存入 pool_2409。地址 0x87ed92 重複此操作四次； 5) 地址 0xf19d66 借款 31.9 萬 ETH 給地址 0x87ed92，然後地址 0x87ed92 重複步驟 3 和步驟 4； 6) 地址 0x87ed92 從 UwULend 中提取 34.4 萬 WETH； 7) 地址 0xf19d66 操縱 SUSDSE 價格並清算地址 0x87ed92 的借款； 8) 使用 uSUSDE 作為抵押品，地址 0x4cd6fe 從 UwU 借入 350 萬 DAI 和 420 萬 USDT。 最大安全事件-RugPull 6 月 8 日, zkSync 生態 emholicECO 發生 Rugpull, 造成的損失約 340 萬美元。 最大安全事件-釣魚詐騙 6 月 23 日，某巨鯨用戶遭受釣魚攻擊，損失約 1100 萬美元。 最大安全事件-私鑰泄漏 6 月 22 日，BtcTurk 中的一些熱錢包遭遇攻擊，懷疑與私鑰泄露相關，造成資金損失 9000 萬美元，其中 530 萬美元的被盜資金被凍結追回。 OKLink小貼士 6 月遭受詐騙與釣魚事件佔比下降，但依舊不能掉以輕心。OKLink 提醒大家，不要向任何人透露你的私鑰或助記詞，對於承諾異常高回報的項目要保持懷疑態度，投資前，務必對項目和團隊進行深入研究，不能忽視任何一次點擊，諸如社群內消息，一個簡訊中的鏈接，一個冒充官方客服的私信鏈接，這當中都可能藏著不可逆的陷阱。 利用 OKLink 等工具查詢幣種與項目等多項信息，充分調研。以數據為基石，方能坐懷不亂，先為自己的鏈上安全築起防線。 WEEX唯客交易所官網：weex.com