安全速览 👀
2024 年 4 月,与 DeFi 漏洞利用相关的安全事件导致总损失约 500 万美元。 大多数安全事件是由“未经验证的用户输入”和“访问控制问题”引起的,其中 Hedgey Finance 和 SaitaChain 涉及重大事件。
给开发者的建议: 仔细检查关键功能的访问控制和用户输入的内容,特别是对于具有灵活 calldata 的协议。点击此处查看过去的具体事件。
- Hedgey Finance 事件
4 月 19 日,以太坊上的 @hedgeyfinance 遭受攻击,损失超过 180 万美元。根本原因是用户输入未经验证。值得注意的是,尽管项目团队和一家安全公司声称损失了 4000 万美元,但由于代币流动性不足,攻击者的实际利润有限。最终,攻击者可能只套现了几百美元,因此我们不信任这些统计数据。点击此处查看根本原因。
- SaitaChain 事件
4 月 24 日,SaitaChain 的 Xbridge 遭到攻击,由于访问控制问题损失约 100 万美元。攻击者通过以 0.15 Ether 的价格列出一个代币就能够转移所有代币。我们立即检测到攻击并通知了项目团队。
- 未知合约 (0x80a0)
4 月 15 日,BSC 上的未知合约 (0x80a0) 遭到攻击,损失约 60 万美元。根本原因是用户输入未经验证。查看警报。
- Pike Finance 事件
4 月 26 日,Pike Finance 在以太坊、Arbitrum 和 Optimism 链上损失约 30 万美元。根本原因是伪造 CCTP 消息以提取 USDC 导致的用户输入未经验证。我们立即检测到此事件,但由于该合约未开源,我们不得不等待项目团队确认并采取行动后才能披露攻击交易。
- 美国首例智能合约利用案
在美国首例涉及智能合约利用的案件中,被告被判犯有挪用超过 1200 万美元资产的罪名,并被判处 3 年监禁,没收非法所得。
此次利用涉及 CremaFinance 和 NIRVANA FINANCE。仅 CremaFinance 就被挪用了超过 880 万美元。经过协商,CremaFinance 同意支付 150 万美元(45,455 SOL)作为白帽奖励。这是我们使用 MetaSleuth 对 CremaFinance 事件进行的资金流向分析。
👉 要了解更多关于攻击交易、根本原因和 PoC 的安全事件,请访问我们的安全事件列表。
博客文章
这篇博客介绍了 EigenLayer 的基本概念,并阐述了 Restaking 生态系统中新的安全威胁。
在这篇博客中,我们将展示如何使用 MetaSleuth 追踪 Solana 上的 meme 代币 $TIM 的“智能”资金,该项目被批评为内部人士通过购买 $TIM 代币赚取了数百万美元。
该博客揭露了导致巨额损失的“Inferno Drainer”网络钓鱼诈骗,并建议用户谨慎交易以避免此类欺诈。
在这篇博客中,我们将展示一种新型的 Web3 网络钓鱼,并提供如何避免被网络钓鱼的建议。
该博客概述了针对 Web3 用户的与 Drainer 相关的黑客攻击事件,重点介绍了黑客使用的手段,旨在提高用户的意识并保护他们免受这些策略的侵害。
产品更新
- 🥳 Phalcon 重大升级!
协议和 LP 现在可以监控关键变量,包括嵌套结构体、映射和数组——特别是那些涉及复杂数据结构的。 用户可以在 10 秒内选择变量并配置监控表达式,无需编码!阅读更多
此次升级使开发人员、安全研究人员和 LP 能够更好地理解和监控交易及协议状态,快速识别安全威胁或配置错误,从而维护协议稳定并确保资金安全。
- 🥳 我们改进了 Phalcon Explorer 的 UI!
现在支持全屏模式(Shift+F 快捷键),让开发人员和安全研究人员能够更沉浸式地使用并专注于分析。快来试试吧!
Full-screen support of BlockSec Phalcon Explorer @Phalcon_xyz https://t.co/w4YFhCxpjT pic.twitter.com/vshmXAW3m8
— BlockSec (@BlockSecTeam) April 12, 2024
合作伙伴
- Merlin ✖️ BlockSec
BlockSec Phalcon 现在全面支持 Merlin,顶级的 BTC L2!🎉 继 ETH、BSC 和 Arbitrum 之后,Merlin 是 Phalcon 支持的第四条链!
🛡️ BlockSec Phalcon 全天候积极监控 Merlin 链上的链上活动,并向 Merlin Chain 提供及时警报。从现在开始,Merlin 链上的协议团队和投资者也可以订阅 Phalcon 以获得加密货币黑客监控和拦截能力。
🚀 Phalcon Explorer 也支持 Merlin!轻松探索交易追踪、余额变化和资金流向。对于 Merlin 区块链浏览器上一些没有源代码的主流合约,它提供了访问已验证合约的途径。
- Forta ✖️ BlockSec
Honored to be part of the @FortaNetwork ecosystem! Let's work together to make Web3 safer! 🙌 https://t.co/e87inYgJKN
— BlockSec (@BlockSecTeam) April 25, 2024
关于 BlockSec
BlockSec 是一家开创性的区块链安全公司,由一群全球顶尖的安全专家于 2021 年创立。公司致力于增强新兴 Web3 世界的安全性和可用性,以促进其大规模采用。为此,BlockSec 提供智能合约和 EVM 链安全审计服务,用于安全开发和主动阻止威胁的Phalcon 平台,用于资金追踪和调查的MetaSleuth 平台,以及供 Web3 构建者在加密世界高效冲浪的 MetaSuites 扩展。
迄今为止,公司已为 MetaMask、Uniswap Foundation、Compound、Forta 和 PancakeSwap 等 300 多家尊贵客户提供服务,并获得了 Matrix Partners、Vitalbridge Capital 和 Fenbushi Capital 等知名投资者的两轮融资,总额达数千万美元。
官方 Twitter 账号:https://twitter.com/BlockSecTeam
