安全概覽 👀
2024 年 4 月,與 DeFi 漏洞利用相關的安全事件導致總損失約 500 萬美元。 大多數安全事件是由「未驗證的使用者輸入 (Unverified User Input)」和「存取控制問題 (Access Control Issues)」引起的,其中 Hedgey Finance 和 SaitaChain 相關事件影響顯著。
給開發者的建議: 請仔細檢查關鍵功能的存取控制以及使用者輸入的內容,特別是對於具有靈活回調數據(calldata)的協議。 點擊此處回顧過去的相關事件。
- Hedgey Finance 事件
4 月 19 日,以太坊上的 @hedgeyfinance 遭到攻擊,損失超過 180 萬美元。根本原因是未驗證的使用者輸入。需要注意的是,儘管項目團隊和一家安全公司聲稱損失為 4,000 萬美元,但由於該代幣缺乏流動性,攻擊者的實際利潤有限。最終,攻擊者可能僅套現了幾百美元,因此我們不採信這些統計數據。 點擊此處查看根本原因。
- SaitaChain 事件
4 月 24 日,SaitaChain 的 Xbridge 遭到攻擊,因存取控制問題損失約 100 萬美元。攻擊者透過將代幣掛單價格僅設為 0.15 Ether,成功轉移了所有代幣。我們在攻擊發生後立即偵測到並通知了項目團隊。
- 未知合約 (0x80a0)
4 月 15 日,BSC 上的未知合約 (0x80a0) 遭到攻擊,導致約 60 萬美元的損失。根本原因是未驗證的使用者輸入。 查看警報。
- Pike Finance 事件
4 月 26 日,Pike Finance 在以太坊、Arbitrum 和 Optimism 鏈上總計損失約 30 萬美元。其根本原因是未驗證的使用者輸入,主要是透過偽造的 CCTP 訊息來轉移(drain)USDC。我們立即偵測到了該事件,但由於該合約未開源,我們必須等待項目團隊確認並採取行動後,才能披露攻擊交易。
- 美國首例智能合約利用案件
在美國首例涉及智能合約利用的案件中,被告被判挪用超過 1,200 萬美元資產罪名成立,被判處 3 年監禁並沒收非法所得。
該案件涉及 CremaFinance 和 NIRVANA FINANCE。僅從 CremaFinance 就被挪用了超過 880 萬美元。經過談判,CremaFinance 同意支付 150 萬美元(45,455 SOL)作為白帽賞金。這是一份我們使用 MetaSleuth 進行的 CremaFinance 事件 資金流分析。
👉 若要了解更多關於各類安全事件的攻擊交易、根本原因和 PoC,請造訪我們的 安全事件列表。
部落格文章
這篇部落格介紹了 EigenLayer 的基本理念,並闡述了再質押生態系統中的新安全威脅。
在這篇部落格中,我們將展示如何使用 MetaSleuth 來追蹤 Solana 上迷因幣 $TIM 的「聰明錢」,該代幣被批評是由项目內部人士購買並獲利數百萬美元。
該部落格揭露了造成重大損失的「Inferno Drainer」網路釣魚詐騙,並建議使用者謹慎交易以避免此類欺詐。
在這篇部落格中,我們將展示一種新型 Web3 網路釣魚,並提供如何避免被釣魚的建議。
該部落格概述了針對 Web3 使用者的 Drainer 相關駭客事件,強調了駭客採用的方法,並旨在提高使用者的意識與防禦能力。
產品更新
- 🥳 Phalcon 大升級!
協議與流動性提供者 (LPs) 現在可以監控關鍵變數,包括巢狀結構 (nested structs)、映射 (mappings) 和陣列 (arrays)—特別是那些涉及複雜資料結構的內容。 使用者無需編寫程式碼,只需 10 秒即可選擇變數並配置監控表達式! 閱讀更多
此次升級使開發者、安全研究人員和 LPs 能夠更好地理解與監控交易及協議狀態,快速識別安全威脅或配置錯誤,從而維護協議穩定性並保護資金安全。
- 🥳 我們優化了 Phalcon Explorer 的 UI!
它現在支援全螢幕模式(快捷鍵 Shift+F),讓開發者和安全研究人員能以更沉浸的方式使用,並專注於分析。快來試試!
BlockSec Phalcon Explorer 的全螢幕支援 @Phalcon_xyz https://t.co/w4YFhCxpjT pic.twitter.com/vshmXAW3m8
— BlockSec (@BlockSecTeam) 2024 年 4 月 12 日
合作夥伴
- Merlin ✖️ BlockSec
BlockSec Phalcon 現已全面支援頂級比特幣二層網路 Merlin!🎉 繼以太坊、BSC 和 Arbitrum 之後,Merlin 成為 Phalcon 支援的第四條鏈!
🛡️ BlockSec Phalcon 正 24/7 主動監控 Merlin Chain 上的鏈上活動,並向 Merlin Chain 提供即時警報。從現在起,Merlin Chain 上的協議團隊和投資者也可以 訂閱 Phalcon 以獲得加密駭客監控與攔截能力。
🚀 Phalcon Explorer 也支援 Merlin!輕鬆探索交易軌跡、餘額變化和資金流向。對於 Merlin 區塊鏈瀏覽器中一些沒有原始碼的主流合約,它提供了對已驗證合約的存取權限。
- Forta ✖️ BlockSec
很榮幸能成為 @FortaNetwork 生態系統的一員!讓我們共同努力,讓 Web3 變得更安全! 🙌 https://t.co/e87inYgJKN
— BlockSec (@BlockSecTeam) 2024 年 4 月 25 日
關於 BlockSec
BlockSec 是一家領先的區塊鏈安全公司,由一群全球傑出的安全專家於 2021 年創立。公司致力於增強新興 Web3 世界的安全性和可用性,以促進其大規模採用。為此,BlockSec 提供智能合約與 EVM 鏈 安全審計 服務、用於安全開發與主動威脅攔截的 Phalcon 平台、用於資金追蹤與調查的 MetaSleuth 平台,以及協助 Web3 建設者在加密世界中高效衝浪的 MetaSuites 擴充功能。
迄今為止,公司已服務超過 300 家知名客戶,如 MetaMask、Uniswap Foundation、Compound、Forta 和 PancakeSwap,並獲得了包括經緯創投 (Matrix Partners)、Vitalbridge Capital 和分佈式資本 (Fenbushi Capital) 在內的頂級投資者兩輪數千萬美元的融資。
官方 Twitter 帳號:https://twitter.com/BlockSecTeam
