7 月安全月報 | 私鑰泄露損失約佔總損失 88%,超 2.6 億美元

WEEX 唯客博客, 7 月全網累計造成損失約 2.9 億美元,因私鑰泄露所造成損失佔總損失的 88.31%,其中 WazirX 因多簽錢包私鑰泄露,造成約 2.35 億美元的損失,為 7 月最大安全事件。 最大安全事件–私鑰泄漏 7 月 18 日,WazirX 多簽錢包私鑰泄露,造成損失約 2.35 億美元。 最大安全事件–釣魚詐騙 7 月 24 日,ETH 鏈上地址 0x07…fDC9 損失價值 469 萬美元的 Pendle 重新質押代幣。 最大安全事件-REKT 7 月 16 日,LiFi Protocol 跨鏈橋聚合協議被攻擊,導致損失約 1 千萬美元,攻擊者利用了任意調用漏洞,可以讓攻擊者盜取授權給這個合約用戶的資產。 最大安全事件-RugPull 7 月 21 日,ETH TrustFund 發生 RugPull 並在 Base 上竊取了價值約 200 萬美元的加密貨幣。 案例分析 7 月 15 日,Minterest 在 Mantle 上遭遇了重大的安全事故,並因此造成了約 140 萬美元的損失。目前,其項目團隊已暫停該協議。 流程分析: 1) 從 Mantle DEX 的 USDY/USDT 資金池中閃電貸出 426.5 萬 USDY; 在其回調函數中:共循環又進行了 25 次 FlashLoan & Redeem Underlying 動作; 2) 從 mUSDY 市場中閃電貸出 39.27 萬 USDY; 在其回調函數中:調用了兩個方法 wrap & lendRUSDY; 3) 存入 426.5 萬 USDY,按照 share price,換取了 447.3 萬 mUSD; 4) 使用上一步驟獲得的 447.3 萬 mUSD 份額代幣借出了 2,747,677 萬 mUSDY; 步驟一:轉入 447.3 萬 mUSD share token;  步驟二:將 447.3 萬 mUSD unwrap 回 426.5 萬 USDY 放在 mUSDY 市場合約中; 步驟三:轉給用戶 2,747,677 萬 mUSDY; 5) 取回底層 USDY 資產,黑客計算取回 426.5 萬 USDY 需要多少 Redeem Tokens (mUSDY),發現 Redeem Underlying 時,黑客只需要還…

Previous:

Next: