Monthly Security Review: April 2024

安全一览 👀

2024年4月，与DeFi漏洞利用相关的安全事件导致总损失约500万美元。 大多数安全事件是由“未经验证的用户输入”和“访问控制问题”引起的，其中Hedgey Finance和SaitaChain涉及重大事件。

给开发者的建议： 仔细检查关键功能的访问控制和用户输入的内容，特别是对于具有灵活calldata的协议。点击此处查看过往相关事件。

Hedgey Finance事件

4月19日，以太坊上的@hedgeyfinance被利用，导致损失超过180万美元。根本原因是未经用户输入验证。值得注意的是，尽管项目方和一家安全公司声称损失4000万美元，但由于代币缺乏流动性，攻击者的实际利润有限。最终，攻击者可能只套现了几百美元，所以我们不相信这些统计数据。点击此处查看根本原因。

SaitaChain事件

4月24日，SaitaChain的Xbridge遭到攻击，因访问控制问题损失约100万美元。攻击者通过仅以0.15以太坊的价格列出一个代币，就能够转移所有代币。我们立即检测到攻击并通知了项目方。

未知合约 (0x80a0)

4月15日，BSC上的未知合约(0x80a0)遭到攻击，导致损失约60万美元。根本原因是未经用户输入验证。查看警报。

Pike Finance事件

4月26日，Pike Finance在以太坊、Arbitrum和Optimism链上损失约30万美元。根本原因是未经用户输入验证，通过伪造CCTP消息来提取USDC。我们立即检测到此事件，但由于合约不是开源的，我们必须等待项目方确认并采取行动后才能披露攻击交易。

美国首例智能合约利用案

在美国首例涉及智能合约利用的案件中，被告被判犯有挪用超过1200万美元资产的罪名，被判处3年监禁并没收非法所得。

此次利用涉及CremaFinance和NIRVANA FINANCE。仅CremaFinance就被挪用了超过880万美元。经过谈判，CremaFinance同意支付150万美元（45,455 SOL）作为白帽赏金。这是我们使用MetaSleuth对CremaFinance事件进行的资金流分析。

👉 欲了解更多关于攻击交易、根本原因和PoC的各类安全事件，请访问我们的安全事件列表。

博客文章

从安全角度审视EigenLayer和Restaking

本文介绍了EigenLayer的基本理念，并阐述了restaking生态系统中新的安全威胁。

如何在两分钟内赚取一百万：使用MetaSleuth跟踪Solana上的“聪明”资金

在这篇博客中，我们将展示如何使用MetaSleuth跟踪Solana上meme代币$TIM的“聪明”资金，该项目被批评为内部人士通过购买$TIM代币赚取了数百万美元。

理解Inferno Drainer中的利润分成

该博客揭露了造成巨额损失的“Inferno Drainer”网络钓鱼诈骗，并建议用户谨慎交易以避免此类欺诈。

揭秘Web3网络钓鱼诈骗中的“ROP”

在这篇博客中，我们将展示一种新型Web3网络钓鱼，并提供如何避免被钓鱼的建议。

揭秘涉及Drainer的黑客事件

该博客概述了针对Web3用户的Drainer相关黑客事件，重点介绍了黑客使用的方法，旨在提高用户的意识并保护他们免受这些策略的侵害。

产品更新

🥳 Phalcon重大升级！

协议和LP现在可以监控关键变量，包括嵌套结构体、映射和数组——特别是涉及复杂数据结构的。 用户无需编码，即可在10秒内选择变量并配置监控表达式！阅读更多

此次升级使开发人员、安全研究人员和LP能够更好地理解和监控交易及协议状态，快速识别安全威胁或配置错误，以维持协议稳定并保护资金。

🥳 我们改进了Phalcon Explorer的用户界面！

它现在支持全屏模式（Shift+F快捷键），让开发人员和安全研究人员能够更沉浸地使用并专注于分析。快来试试吧！

Full-screen support of BlockSec Phalcon Explorer @Phalcon_xyz https://t.co/w4YFhCxpjT pic.twitter.com/vshmXAW3m8
— BlockSec (@BlockSecTeam) April 12, 2024

合作

Merlin ✖️ BlockSec

BlockSec Phalcon现已全面支持Merlin，顶级BTC L2！🎉 在ETH、BSC和Arbitrum之后，Merlin是Phalcon支持的第四条链！

🛡️ BlockSec Phalcon 全天候主动监控Merlin链上的链上活动，并为Merlin链提供及时警报。现在，Merlin链上的协议团队和投资者还可以订阅Phalcon，获得加密货币黑客监控和阻止能力。

🚀 Phalcon Explorer 也支持Merlin！轻松探索交易追踪、余额变化和资金流。对于Merlin区块链浏览器上一些没有源代码的主流合约，它提供了经过验证的合约访问。

Forta ✖️ BlockSec

Honored to be part of the @FortaNetwork ecosystem! Let's work together to make Web3 safer! 🙌 https://t.co/e87inYgJKN
— BlockSec (@BlockSecTeam) April 25, 2024

关于BlockSec

BlockSec是一家开创性的区块链安全公司，由一群全球知名的安全专家于2021年创立。公司致力于提升新兴Web3世界的安全性和可用性，以促进其大规模采用。为此，BlockSec提供智能合约和EVM链安全审计服务，用于主动开发和阻止威胁的Phalcon平台，用于资金追踪和调查的MetaSleuth平台，以及供Web3构建者高效冲浪加密世界的MetaSuites扩展。

迄今为止，公司已服务于MetaMask、Uniswap Foundation、Compound、Forta和PancakeSwap等300多家尊贵客户，并在两轮融资中获得Matrix Partners、Vitalbridge Capital和Fenbushi Capital等知名投资者的数千万美元投资。

官方网站：https://blocksec.com/

官方Twitter账号：https://twitter.com/BlockSecTeam