安全概览 👀
DeFi 领域
- UwU Lend 被黑事件
6 月 10 日和 13 日,UwU Lend 遭受攻击,损失超过 2300 万美元。
首次攻击的根本原因是存在价格依赖漏洞(Vulnerable Price Dependency)。借贷池从 11 个来源获取价格,包括 5 个来自 Curve 的现货(AMM)价格、5 个 Curve 预言机(EMA)价格以及 1 个 Uniswap(TWAP)价格,并最终取中间值。由于现货价格可以在单笔交易中被操纵,攻击者利用闪电贷大幅改变了 5 个现货价格,导致最终获取的价格成为预言机价格中的最小值或最大值。此次攻击造成约 2000 万美元的损失。
6 月 13 日,UwU Lend 团队重启协议后再次遭到攻击。攻击者存入 uSUSDe 和 WETH 作为抵押品,随后基于贷款价值比(LTV)借出 WETH。uSUSDe 不参与 LTV 计算,但在流动性提取时的健康因子计算中却被计入,这使得攻击者能够提取更多的 WETH 并获利。
值得注意的是,白帽黑客 makemake_kbo 发推文称,他早在一年多前就报告了该漏洞,但在联系项目团队后未得到回复,最终他选择在 Twitter 上发出警告。
- Velocore 被黑事件
根本原因:未对 effectiveFee1e9 进行检查,导致 velocore__execute 函数出现下溢(underflow)。
攻击发生后,Linea 暂停了 1 小时的区块生产。对于 L2 项目而言,建立紧急响应机制比暂停整条链更为有效。👉 点击此处了解全球首个加密货币黑客监控与阻断平台。
- Holograph 被黑事件
Holograph 宣布,一名曾受雇的承包商利用该协议增发了 HLG 代币。
过去许多攻击案例表明,项目方往往为了便利而牺牲了私钥管理的安全性。这使他们面临着因内部人员攻击或外部入侵而导致管理权限或私钥泄露的严重风险。使用 Phalcon 进行外部监控,可实现一键式运营监控,从而及早发现风险并将损失降至最低。
其他
- DMM Exchange 被黑事件
6 月初,DMM Exchange 披露了一起安全事件,5 月 31 日(UTC)有 4,502.9 枚 BTC(价值超过 3 亿美元)被盗。
由于 DMM 未提供更多细节,具体原因尚不清楚。不过,黑客地址与 DMM 的常用地址在首尾字符上高度相似,且被盗比特币源自一个多签地址。有推测认为,这是一起链下攻击,通过替换转账地址诱骗工作人员签署了该交易。点击此处使用 MetaSleuth 追踪资金动向。
- Kraken
6 月 19 日,Kraken 首席安全官 Nick Percoco 在 X 上披露,他们通过其漏洞赏金计划收到了一份来自某安全公司的“极度关键”漏洞报告。该报告声称发现了一个可以人为增加账户余额的漏洞。然而,在 Kraken 修复该漏洞后,他们发现在与该安全公司谈判过程中存在可疑行为,涉及金额达 300 万美元。 Nick Percoco 的帖文:查看帖文
随后,CertiK 在 X 上承认对此事负责,并披露了更多信息,说明了他们的行为。他们强调,确实对 Kraken 进行了为期数天的测试,并已归还了资金。该事件在社区内引发了激烈讨论。CertiK 的帖文:查看帖文 点击此处查看根本原因分析,点击此处查看交易示例。
- CoinStats
CoinStats 在攻击中遭受了 200 万美元的损失。其首席执行官表示,此次漏洞是由于一名员工遭遇社交工程攻击,导致其 AWS 基础设施被入侵。点击此处了解更多详情。
博客文章
BlockSec 策划了“Solana 简化系列 (Solana Simplified)”,内容涵盖 Solana 的基础概念、Solana 智能合约编写教程以及 Solana 交易分析指南。该系列旨在帮助读者深入理解 Solana 生态系统,并掌握在 Solana 上开发项目和执行交易的必备技能。
BlockSec 出席 Solana 峰会
6 月 20 日至 6 月 22 日,BlockSec 受邀参加了在吉隆坡举办的 2024 年 Solana 峰会(亚太区)。期待未来能在更多的全球活动中与大家见面!
Phalcon Explorer 现已全面支持 Solana!
Phalcon Explorer 引入了多项新功能以优化用户和开发者的使用体验,包括:
🚀 清晰的账户关系与代币变更展示
🚀 MEV 交易标记及超过 3 亿个地址标签数据库
🚀 准确清晰的函数调用层级,支持展开查看
点击此处体验 Phalcon Explorer
点击此处了解更多详情
