安全一瞥 👀
** 2024 年 4 月,与 DeFi 漏洞利用相关的安全事件共造成约 500 万美元的损失。** 大多数安全事件是由 "未验证的用户输入 "和 "访问控制问题 "造成的,重大事件涉及 Hedgey Finance 和 SaitaChain。
给开发人员的建议: 仔细检查关键功能的访问控制和用户输入内容,尤其是具有灵活 calldata 的协议。单击此处查看过去的相关事件。
- 恒基金融事件**
4 月 19 日,以太坊上的 @hedgeyfinance 遭到攻击,损失超过 180 万美元。根本原因是未经验证的用户输入。值得注意的是,虽然项目团队和一家安全公司声称损失达 4000 万美元,但由于代币缺乏流动性,攻击者的实际获利有限。最终,攻击者可能只套现了几百美元,因此我们不相信这些统计数据。点击此处查看根本原因。
- SaitaChain 事件**
4 月 24 日,由于访问控制问题,SaitaChain 的 Xbridge 遭到攻击,损失约 100 万美元。攻击者只用 0.15 个以太币就挂出了一个代币,从而转移了所有代币。我们立即检测到了这次攻击,并通知了项目团队。
- 未知合约 (0x80a0)**
4 月 15 日,BSC 上的未知合约 (0x80a0) 遭到攻击,导致约 600 K 美元的损失。Check the alert.
- 派克金融事件**
4 月 26 日,Pike Finance 在以太坊、Arbitrum 和 Optimism 链上损失了约 30 万美元。根本原因是未经验证的用户输入,由一条伪造的 CCTP 消息导致 USDC 放水。我们立即检测到了这一事件,但由于合约未开源,我们不得不等待项目团队确认并采取行动后再披露攻击交易。
- 美国首个智能合约漏洞案例**
在美国第一起涉及智能合约利用的案件中,被告被认定挪用资产超过 1200 万美元,并被判处 3 年监禁,没收收益。
利用行为涉及 CremaFinance 和 NIRVANA FINANCE。仅 CremaFinance 就挪用了 880 多万美元。经过谈判,CremaFinance 同意支付 150 万美元(45,455 SOL)作为白帽赏金。以下是我们使用 MetaSleuth 对 CremaFinance 事件进行的 资金流分析。
MetaSleuth对CremaFinance事件的资金流分析](https://blocksec-static-resources.s3.us-east-1.amazonaws.com/assets/frontend/blocksec-strapi-online/Security_Incidents_c396ba8cc7.png)
要了解有关各种安全事件的攻击交易、根本原因和 PoC 的更多信息,请访问我们的安全事件列表。
博客文章
本博客介绍了 EigenLayer 的基本思想,并说明了重构生态系统中的新安全威胁。
在本博客中,我们将展示如何使用MetaSleuth来追踪Solana上的meme $TIM代币上的 "聪明 "资金,该代币被批评为项目内部人员通过购买$TIM代币赚取了数百万美元。
该博客揭露了造成重大损失的 "Inferno Drainer "网络钓鱼骗局,并建议用户谨慎交易,避免此类诈骗。
在本博客中,我们将展示一种新型 Web3 网络钓鱼,并就如何避免被钓鱼提供建议。
本博客概述了针对 Web3 用户的与引流器有关的黑客事件,重点介绍了黑客使用的方法,旨在提高用户对这些策略的认识和防护能力。
产品更新
- 🥳Phalcon的大升级!
协议和 LP 现在可以监控关键变量,包括嵌套结构体、映射和数组--尤其是那些涉及复杂数据结构的变量。 用户可以在 10 秒内选择变量并配置监控表达式,而无需编码!更多
这一升级使开发人员、安全研究人员和 LP 能够更好地了解和监控事务和协议状态,快速识别安全威胁或配置错误,以维护协议稳定性和资金安全。
- 🥳 我们改进了 Phalcon Explorer 的用户界面!
它现在支持全屏模式(Shift+F 快捷键),让开发人员和安全研究人员能够更加身临其境地使用它,专注于分析。快来试试吧
BlockSec Phalcon Explorer 的全屏支持 @Phalcon_xyz https://t.co/w4YFhCxpjT pic.twitter.com/vshmXAW3m8
— BlockSec (@BlockSecTeam) 2024年4月12日
伙伴关系
- Merlin ✖️ BlockSec
BlockSec Phalcon现在完全支持顶级BTC L2--Merlin!继 ETH、BSC 和 Arbitrum 之后,Merlin 成为 Phalcon 支持的第四条链!
🛡️ **BlockSec法尔康**正全天候积极监控梅林链的链上活动,并为梅林链提供及时警报。从现在开始,梅林链上的协议团队和投资者也可以订阅Phalcon,获得加密货币黑客监控和拦截功能。
🚀 **Phalcon资源管理器**也支持Merlin!轻松探索交易痕迹、余额变化和资金流。对于梅林区块链资源管理器上没有源代码的一些主流合约,它提供了对已验证合约的访问。
- Forta ✖️ BlockSec
很荣幸成为 @FortaNetwork 生态系统的一部分!让我们共同努力,使 Web3 更加安全!🙌 https://t.co/e87inYgJKN
— BlockSec (@BlockSecTeam) 2024年4月25日
关于 BlockSec
BlockSec是一家开创性的区块链安全公司,由一群全球杰出的安全专家于2021年成立。公司致力于提高新兴Web3世界的安全性和可用性,以促进其大规模应用。为此,BlockSec 提供智能合约和 EVM 链安全审计 服务、用于安全开发和主动阻止威胁的Phalcon 平台、用于资金跟踪和调查的MetaSleuth 平台以及MetaSuites 扩展,帮助 Web3 建设者在加密世界中高效冲浪。
迄今为止,该公司已为 MetaMask、Uniswap Foundation、Compound、Forta 和 PancakeSwap 等 300 多家知名客户提供了服务,并在经纬创投、Vitalbridge Capital 和 Fenbushi Capital 等知名投资者的两轮融资中获得了数千万美元的投资。
官方 Twitter 帐户:https://twitter.com/BlockSecTeam
