零时科技每月安全事件看点开始了!据一些区块链安全风险监测平台统计显示,2024年7月,各类安全事件损失金额较6月大幅增长。7月发生较典型安全事件超32起,因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达2.86亿美元,较6月增长约56.3%。其中攻击事件约2.71亿美元,增长约92.2%;钓鱼诈骗事件约1210万美元,下降约67.6%;Rug Pull事件约358万美元,下降约13.1%。
黑客攻击方面
典型安全事件 10起
(1) 7月2日,AI项目Bittensor遭遇攻击,5FbWTr开头地址中有3.2万枚TAO(价值800万美元)被盗。此外,ZachXBT称Bittensor遭遇的攻击事件源于私钥被盗。但Bittensor后来称受影响的用户实际上是因为一个恶意的Bittensor软件包被上传到Python的PyPi软件包管理器而受到攻击。
(2) 7月12日,Dough Finance因合约漏洞遭攻击,一些未经授权的资金被黑客提取,损失约181万美元
(3) 7月14日,Mantle链上项目Minterest遭到闪电贷攻击,损失约140万美元。
(4) 7月16日,LI.FI 在Ethereum和Arbitrum链上遭到攻击,导致用户损失超过1000万美元。此次攻击发生在部署新的智能合约后不久。7月18日,LI.FI 发布安全事件报告表示,这是监督部署过程中出现的人为错误,估计有153个钱包受到影响,损失价值约1160万美元的USDC、USDT和DAI稳定币。
(5) 7月18日,印度交易所WazirX被攻击,称其一个多重签名钱包出现了安全漏洞,损失约2.3亿美元。该事件或与朝鲜黑客组织Lazarus Group相关。
(6) 7月19日,Scroll生态借贷平台Rho Markets因预言机问题遭黑客攻击,攻击被Mev bot抢跑,获利的760万美元已归还至项目方。
(7) 7月23日,dYdX.exchange域名遭到入侵,在被劫持的约2小时内,2名用户损失资金总计约3.1万美元。dYdX Trading已与这些用户取得联系,并将确保他们得到全额赔偿。在重新确保域名安全后,dYdX已添加额外控制措施以防止此类事件再次发生,包括将域名迁移至Cloudflare。
(8) 7月25日,Blast生态的DEX项目MonoSwap遭到攻击,损失约130万美元。攻击源自开发人员被诱骗下载恶意软件所致。
(9) 7月26日,Casper Network遭攻击,随后Casper Network发推表示,为了尽量减少此安全漏洞的影响,已与验证者合作暂停网络,直到此安全漏洞得到修补。根据7月31日Casper Network发布的安全事件初步报告,此事件中有13个钱包受到影响,非法交易总额约为670万美元。
(10) 7月31日,Terra区块链遭遇IBC hooks相关漏洞攻击,有人利用IBC漏洞在Terra链上铸造多个代币,包括ASTRO,至少约500万美元的代币被盗。Terra 团队已采取紧急措施防止进一步损失,并协调验证者应用补丁以修复漏洞。
Rug Pull / 钓鱼诈骗
典型安全事件 6 起
(1) 7月1日, 0x98f6开头地址遭遇钓鱼诈骗,损失约241万美元。
(2) 7月2日,BNB Chain上的假TRUMP(MAGA)代币发生rug pull,损失约95万美元。
(3) 7月3日,0xD7b2开头地址遭遇钓鱼诈骗,损失6个“无聊猿”NFT和40个Beans(价值约100万美元以上)。
(4) 7月21日,BNB Chain上UPS代币发生rug pull,部署者获利52万美元。
(5) 7月22日,Base链上的ETHTrustFund发生rug pull,诈骗者获利约200万美元并通过Tornado Cash和Railgun进行洗钱。
(6) 7月24日,0x0719开头地址遭遇钓鱼,损失价值469万美元的Pendle。
总结
从上述多个事件分析来看,7月黑客攻击最大事件来自于印度交易所WazirX,损失约2.3亿美元,占到了当月攻击事件金额的85%。第二大攻击事件是LI.FI因合约漏洞损失约1160万美元。2024年7月各类区块链安全事件损失金额大幅增长,此外7月的攻击方式也多种多样。零时科技安全团队建议项目方始终保持警惕,并做好内部安全培训和权限管理,在项目上线前寻找专业的安全公司进行审计并做好项目背景调查。
注:
本文内容均来自公开的资料整理收集。
重要提醒:本文只对行业信息进行整理,不构成任何投资建议和保证。
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)