7 月全网累计造成损失约 2.9 亿美元,因私钥泄露所造成损失占总损失的88.31%,其中 WazirX 因多签钱包私钥泄露,造成约2.35 亿美元的损失,为 7 月最大安全事件。

7月安全月报 | 私钥泄露损失约占总损失88%,超2.6亿美元

最大安全事件-私钥泄漏

7月18日,WazirX多签钱包私钥泄露,造成损失约2.35亿美元。

最大安全事件-钓鱼诈骗

7 月 24 日,ETH 链上地址 0x07...fDC9 损失价值 469 万美元的 Pendle 重新质押代币。

最大安全事件-REKT

7 月 16日,LiFi Protocol 跨链桥聚合协议被攻击,导致损失约 1 千万美元,攻击者利用了任意调用漏洞,可以让攻击者盗取授权给这个合约用户的资产。

最大安全事件-RugPull

7 月 21 日,ETH TrustFund 发生RugPull并在 Base 上窃取了价值约 200 万美元的加密货币。

案例分析

7 月 15 日,Minterest 在 Mantle 上遭遇了重大的安全事故,并因此造成了约 140 万美元的损失。目前,其项目团队已暂停该协议。

流程分析:

1)从 Mantle DEX 的 USDY/USDT 资金池中闪电贷出 426.5 万 USDY;

7月安全月报 | 私钥泄露损失约占总损失88%,超2.6亿美元

在其回调函数中:共循环又进行了 25 次FlashLoan & Redeem Underlying 动作;

7月安全月报 | 私钥泄露损失约占总损失88%,超2.6亿美元

2)从 mUSDY 市场中闪电贷出 39.27 万 USDY;

7月安全月报 | 私钥泄露损失约占总损失88%,超2.6亿美元

在其回调函数中:调用了两个方法 wrap & lendRUSDY;

7月安全月报 | 私钥泄露损失约占总损失88%,超2.6亿美元

3)存入 426.5 万 USDY,按照 share price,换取了 447.3 万 mUSD;

7月安全月报 | 私钥泄露损失约占总损失88%,超2.6亿美元

4)使用上一步骤获得的 447.3 万 mUSD 份额代币借出了2,747,677 万 mUSDY;

7月安全月报 | 私钥泄露损失约占总损失88%,超2.6亿美元

步骤一:转入447.3 万mUSD share token;

步骤二:将 447.3 万 mUSDunwrap 回 426.5 万 USDY放在mUSDY市场合约中;

步骤三:转给用户 2,747,677万mUSDY;

7月安全月报 | 私钥泄露损失约占总损失88%,超2.6亿美元

5)取回底层USDY资产,黑客计算取回 426.5 万USDY需要多少 Redeem Tokens (mUSDY),发现 Redeem Underlying时,黑客只需要还回去 2,566,963万mUSDY,如此一来,黑客便可留下180,714万的mUSDY;

7月安全月报 | 私钥泄露损失约占总损失88%,超2.6亿美元

6)循环以上步骤约25次后,黑客获利约140万美元。

OKLink小贴士

7 月全网累计造成损失约 2.9 亿美元,环比 6 月总损失上升38.01%,因私钥泄露所造成损失占总损失的 88.31%。OKLink 提醒用户不要向任何人透露你的私钥或助记词,也不要通过截屏等形式来保存与记忆,未经验证的链接不要点击,安全意识是在Web3世界中保护自己的重要防线。