Monatliche Sicherheitsüberprüfung: April 2024

Bleiben Sie auf dem Laufenden über Aprils Sicherheitstrends & unsere neuesten Entwicklungen. 🙌

Monatliche Sicherheitsüberprüfung: April 2024

Sicherheit auf einen Blick 👀

Im April 2024 beliefen sich die Sicherheitvorfälle im Zusammenhang mit Exploits von DeFi-Schwachstellen auf einen Gesamtschaden von rund 5 Millionen US-Dollar. Die meisten Sicherheitvorfälle wurden durch "Unverifizierte Benutzereingaben" und "Zugriffskontrollprobleme" verursacht, wobei bedeutende Vorfälle Hedgey Finance und SaitaChain betrafen.

Ratschläge für Entwickler: Überprüfen Sie sorgfältig die Zugriffskontrolle kritischer Funktionen und den Inhalt von Benutzereingaben, insbesondere für Protokolle mit flexiblen Calldaten. Klicken Sie hier, um frühere verwandte Vorfälle zu überprüfen.

  • Hedgey Finance Vorfall

Am 19. April wurde @hedgeyfinance auf Ethereum ausgenutzt, was zu einem Verlust von über 1,8 Millionen US-Dollar führte. Die Hauptursache sind unverifizierte Benutzereingaben. Es ist wichtig zu beachten, dass, obwohl das Projektteam und ein Sicherheitsunternehmen einen Verlust von 40 Millionen US-Dollar behaupteten, die tatsächlichen Gewinne für den Angreifer aufgrund mangelnder Liquidität im Token begrenzt waren. Letztendlich hat der Angreifer möglicherweise nur ein paar hundert Dollar ausgezahlt, daher vertrauen wir diesen Statistiken nicht. Klicken Sie hier, um die Ursache anzuzeigen.

  • SaitaChain Vorfall

Am 24. April wurde der Xbridge von SaitaChain angegriffen und verlor aufgrund eines Zugriffskontrollproblems etwa 1 Million US-Dollar. Der Angreifer konnte alle Token übertragen, indem er einen Token für nur 0,15 Ether auflistete. Wir haben den Angriff sofort erkannt und das Projektteam benachrichtigt.

  • Unbekannter Vertrag (0x80a0)

Am 15. April wurde der unbekannte Vertrag (0x80a0) auf BSC angegriffen, was zu einem Verlust von rund 600.000 US-Dollar führte. Die Hauptursache waren unverifizierte Benutzereingaben. Überprüfen Sie die Benachrichtigung.

  • Pike Finance Vorfall

Am 26. April verlor Pike Finance auf den Ketten Ethereum, Arbitrum und Optimism etwa 300.000 US-Dollar. Die Hauptursache waren unverifizierte Benutzereingaben, die durch eine gefälschte CCTP-Nachricht zum Abgreifen von USDC führten. Wir haben den Vorfall sofort erkannt, mussten aber warten, bis das Projektteam die Transaktion bestätigte und Maßnahmen ergriff, bevor wir einen Angriffstransaktion offenlegen konnten, da der Vertrag nicht Open Source war.

  • Erster Fall von Smart Contract Exploitation in den USA

Im ersten Fall von Smart Contract Exploitation in den USA wurde der Angeklagte des Unterschlagens von Vermögenswerten im Wert von über 12 Millionen US-Dollar für schuldig befunden und zu 3 Jahren Gefängnis mit Einziehung der Erträge verurteilt.

Die Ausnutzung umfasste CremaFinance und NIRVANA FINANCE. Allein von CremaFinance wurden über 8,8 Millionen US-Dollar unterschlagen. Nach Verhandlungen stimmte CremaFinance zu, 1,5 Millionen US-Dollar (45.455 SOL) als White-Hat-Prämie zu zahlen. Hier ist die Fund-Flow-Analyse des CremaFinance-Vorfalls, die wir mit MetaSleuth durchgeführt haben.

Die Fund-Flow-Analyse des CremaFinance Vorfalls in MetaSleuth

👉 Um mehr über Angriffstransaktionen, Ursachen und Proof-of-Concepts für verschiedene Sicherheitvorfälle zu erfahren, besuchen Sie bitte unsere Liste der Sicherheitvorfälle.

Blogartikel

Dieser Blog präsentiert die Grundidee von EigenLayer und beleuchtet die neuen Sicherheitsbedrohungen im Restaking-Ökosystem.

In diesem Blog zeigen wir, wie man MetaSleuth verwendet, um das "intelligente" Geld auf dem Meme-Token $TIM auf Solana zu verfolgen, der als Insider-Projekt kritisiert wurde, das Millionen von US-Dollar durch den Kauf von $TIM-Token verdient hat.

Der Blog deckt den "Inferno Drainer" Phishing-Betrug auf, der erhebliche Verluste verursacht, und rät den Nutzern, vorsichtig zu transagieren, um solche Betrügereien zu vermeiden.

In diesem Blog zeigen wir eine neue Art von Web3-Phishing und geben Vorschläge, wie man Phishing vermeiden kann.

Der Blog bietet einen Überblick über Drainer-bezogene Hacking-Vorfälle, die Web3-Nutzer betreffen, hebt die von Hackern angewandten Methoden hervor und zielt darauf ab, das Bewusstsein und den Schutz der Nutzer vor diesen Taktiken zu verbessern.

Produktaktualisierungen

  • 🥳 Großes Upgrade von Phalcon!

Protokolle und LPs können nun wichtige Variablen überwachen, einschließlich verschachtelter Strukturen, Mappings und Arrays – insbesondere solche, die komplexe Datenstrukturen beinhalten. Benutzer können Variablen auswählen und Überwachungsausdrücke in 10 Sekunden konfigurieren, ohne zu codieren! Mehr lesen

Dieses Upgrade versetzt Entwickler, Sicherheitsexperten und LPs in die Lage, Transaktionen und Protokollstatus besser zu verstehen und zu überwachen, Sicherheitsbedrohungen oder Konfigurationsfehler schnell zu identifizieren, um die Protokollstabilität zu gewährleisten und Gelder zu sichern.

Es unterstützt jetzt den Vollbildmodus (Tastenkombination Shift+F), sodass Entwickler und Sicherheitsexperten es immersiver nutzen und sich auf die Analyse konzentrieren können. Probieren Sie es aus!

Partnerschaft

  • Merlin ✖️ BlockSec

BlockSec Phalcon unterstützt jetzt Merlin, die führende BTC L2! 🎉 Nach ETH, BSC und Arbitrum ist Merlin die vierte von Phalcon unterstützte Kette!

🛡️ BlockSec Phalcon überwacht aktiv die On-Chain-Aktivitäten auf Merlin Chain rund um die Uhr und liefert Merlin Chain zeitnahe Benachrichtigungen. Ab sofort können Protokollteams und Investoren auf Merlin Chain auch Phalcon abonnieren, um Funktionen zur Überwachung und Blockierung von Krypto-Hacks zu erhalten.

🚀 Phalcon Explorer unterstützt auch Merlin! Erkunden Sie Transaktionsspuren, Saldoänderungen und Geldflüsse ganz einfach. Für einige Mainstream-Verträge ohne Quellcodes auf dem Merlin Blockchain Explorer bietet er Zugriff auf verifizierte Verträge.

  • Forta ✖️ BlockSec

Über BlockSec

BlockSec ist ein Pionier im Bereich Blockchain-Sicherheit, gegründet 2021 von einer Gruppe weltweit renommierter Sicherheitsexperten. Das Unternehmen engagiert sich für die Verbesserung von Sicherheit und Benutzerfreundlichkeit für die aufstrebende Web3-Welt, um deren Massenadoption zu fördern. Zu diesem Zweck bietet BlockSec Sicherheitsaudits für Smart Contracts und EVM-Ketten, die Phalcon-Plattform für die proaktive Sicherheitsentwicklung und Bedrohungsabwehr, die MetaSleuth-Plattform für die Geldverfolgung und Ermittlung sowie die MetaSuites-Erweiterung für Web3-Entwickler zur effizienten Navigation in der Krypto-Welt.

Bis heute hat das Unternehmen über 300 angesehene Kunden wie MetaMask, Uniswap Foundation, Compound, Forta und PancakeSwap bedient und in zwei Finanzierungsrunden von namhaften Investoren, darunter Matrix Partners, Vitalbridge Capital und Fenbushi Capital, zweistellige Millionenbeträge erhalten.

Offizielle Website: https://blocksec.com/

Offizieller Twitter-Account: https://twitter.com/BlockSecTeam

Sign up for the latest updates
Phalcon Compliance 3.1: Major Update Delivers Faster Crypto AML Screening, Seamless Blockchain Compliance, and Flexible Payment Options

Phalcon Compliance 3.1: Major Update Delivers Faster Crypto AML Screening, Seamless Blockchain Compliance, and Flexible Payment Options

Phalcon Compliance 3.1 speeds crypto AML/KYT: instant wallet screening, lite scans, hot risk intel, flexible pay-as-you-go credits, multi-chain support.

Web3 Smart Contract & EVM Chain Audits | BlockSec

Web3 Smart Contract & EVM Chain Audits | BlockSec

BlockSec secures Web3 with attacker-driven audits, chain reviews, and zero-day detection - battle-tested, blocking 20+ hacks and $20M+ losses.

Agent-Native Crypto Compliance: Build KYA/KYT with X402

Agent-Native Crypto Compliance: Build KYA/KYT with X402

Discover how BlockSec enables AI agents to run KYA/KYT checks with X402—a stateless, pay-per-call crypto compliance protocol.