Back to Blog

每月安全審查:2024年6月

July 1, 2024
4 min read

安全概覽 👀

DeFi 領域

  • UwU Lend 被駭事件

6 月 10 日和 13 日,UwU Lend 遭受攻擊,導致損失超過 2,300 萬美元。

首次攻擊的根本原因是「易受攻擊的價格依賴」。借貸池從 11 個來源獲取價格,包括來自 Curve 的 5 個當前 (AMM) 價格、5 個 Curve 預言機 (EMA) 價格以及一個 Uniswap (TWAP) 價格,最終取中位數。由於當前價格可以在單筆交易中被操縱,攻擊者利用閃電貸大幅改變了這 5 個當前價格,導致獲取的價格成為預言機價格中的最小值或最大值。這導致了約 2,000 萬美元的損失。

6 月 13 日,UwU Lend 團隊重啟了協議,隨後再次遭到攻擊。攻擊者存入了 uSUSDe 和 WETH 作為抵押品,然後根據貸款價值比 (LTV) 借入 WETH。其中 uSUSDe 不參與 LTV 計算,但在提取流動性時參與了健康因子計算,這使得攻擊者能夠提取更多的 WETH 並從中獲利。

值得注意的是,白帽駭客 makemake_kbo 發文 表示,他一年前就報告了該漏洞,並在聯繫專案團隊無果後,最終在 Twitter 上發出了警告。

  • Velocore 被駭事件

根本原因:對 effectiveFee1e9 缺乏檢查導致 velocore__execute 函數出現下溢 (underflow)。

攻擊發生後,Linea 暫停了 1 小時的區塊生產。對於 L2 專案而言,擁有應急響應機制比暫停整個鏈更有效。👉 點擊此處了解全球首個加密貨幣駭客監控與阻斷平台。

  • Holograph 被駭事件

Holograph 宣布一名以前的簽約人員利用協議漏洞增發了 HLG 代幣。

過去的許多攻擊表明,專案方為了方便起見,往往會犧牲私鑰管理的安全性,這使他們面臨因內部或外部攻擊而導致管理權限或私鑰外洩的巨大風險。使用 Phalcon 進行外部監控可以實現一鍵式運營監控,從而實現早期檢測並將損失降至最低。

其他

  • DMM Exchange 被駭事件

6 月初,DMM Exchange 披露了一起安全事件,稱 5 月 31 日(UTC 時間)有 4,502.9 枚 BTC(超過 3 億美元)被竊。

由於 DMM 沒有透露更多細節,事故原因尚不清楚。然而,駭客的地址與 DMM 的正常地址前五位和後兩位字元相同,且被竊的 BTC 來自一個多簽地址。推測可能是鏈下攻擊替換了轉帳地址,導致工作人員誤簽名了交易。使用 MetaSleuth 在此處追蹤資金流向。

  • Kraken

6 月 19 日,Kraken 的首席安全官 Nick Percoco 在 X 上披露,他們通過漏洞賞金計畫收到了一家安全公司關於「極度危險」漏洞的報告。報告聲稱發現了一個可以人為增加帳戶餘額的漏洞。然而,在 Kraken 修復該漏洞後,他們在與該安全公司的談判中發現了一些可疑行為,涉及金額達 300 萬美元。 Nick Percoco 的帖文:查看帖文

CertiK 隨後在 X 上承認對此事負責,並披露了更多資訊與解釋其行動。他們強調對 Kraken 進行了長達數天的測試,並已歸還了資金。此事件在社群中引發了熱烈討論。CertiK 的帖文:查看帖文 點擊此處查看根本原因,點擊此處查看交易範例。

  • CoinStats

CoinStats 在一次攻擊中損失了 200 萬美元。其首席執行官表示,此次入侵是因對一名員工進行了社交工程攻擊,導致其 AWS 基礎設施遭到破壞。點擊此處了解更多詳情。

部落格文章

BlockSec 精心策劃了「Solana 簡明教程 (Solana Simplified)」系列,其中包括關於 Solana 基本概念的文章、Solana 智慧合約編寫教學以及 Solana 交易分析指南。旨在幫助讀者理解 Solana 生態系統,並掌握開發專案和進行 Solana 交易的核心技能。

01: 一文掌握 Solana 核心概念

02: 從零開始編寫你的第一個 Solana 智慧合約

03: 5 分鐘讀懂 Solana 交易

BlockSec 出席 Solana 峰會

6 月 20 日至 22 日,BlockSec 很榮幸在吉隆坡舉行的 2024 年 Solana 峰會亞太區 (Solana Summit APAC) 上進行了演講。期待未來在更多的全球活動中與大家會面!

Phalcon Explorer 現已全面支援 Solana!

Phalcon Explorer 推出了多項新功能以增強用戶和開發者的體驗,包括:

🚀 清晰的帳戶關係與代幣變動

🚀 MEV 交易標記與超過 3 億個地址標籤

🚀 準確、清晰且可展開層級的函數調用層次結構

點擊此處體驗 Phalcon Explorer

點擊此處了解更多

Sign up for the latest updates
電子報 - 2026年6月
Security Insights

電子報 - 2026年6月

本月報告涵蓋2026年6月三起最大安全事件,確認損失合計約2200萬美元。一次精密蜜罐攻擊利用未受檢查的代幣授權,從JaredFromSubway的MEV機器人抽走約1500萬美元。兩個舊版Aztec rollup部署因證明結算邊界漏洞損失約435萬美元。SecondFi的Ed25519實現缺陷暴露錢包私鑰,導致374個錢包共損失約240萬美元。三起事件共同模式:表面完整但從未真正執行的安全保證。

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報
Security Insights

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報

本週區塊鏈安全報告涵蓋2026年6月22-28日兩起重大事件,以太坊和Cardano確認損失約410萬美元。Taiko橋接漏洞結合了外洩的SGX飛地簽名密鑰與不完整的認證策略,未能拒絕調試飛地,使攻擊者註冊惡意證明者並偽造L2狀態證明。SecondFi錢包漏洞源於Ed25519隨機數派生中的密碼學實現缺陷,移除了秘密輸入,可從Cardano公開交易數據離線恢復私鑰。

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報
Security Insights

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報

本週區塊鏈安全報告涵蓋2026年6月15日至21日,以太坊與BNB Chain共發生3起重大事件,總損失約1830萬美元。重點分析兩起事件:jaredFromSubway事件揭示反向授權攻擊模式——MEV機器人主動將資產授權給不可信第三方合約套利,攻擊者構造假包裝代幣與交易池,發出真實事件但從未消耗授權額度,損失約1500萬美元。Aztec三日內第二次漏洞:逃生艙ZK電路中`old_data_root`兩個見證值缺少相等約束,致使攻擊者可用偽造Merkle樹證明虛假票據所有權並通過鏈上驗證。