安全一瞥 👀
DeFi 领域
- UwU Lend 黑客攻击
6 月 10 日和 13 日,UwU Lend 遭受了两次攻击,损失超过 2300 万美元。
第一次攻击的根本原因是易受攻击的价格依赖。借贷池从 11 个来源获取价格,包括 Curve 的 5 个当前 (AMM) 价格、5 个 Curve 预言机 (EMA) 价格和一个 Uniswap (TWAP) 价格,最终取中位数。由于当前价格可以在单笔交易中被操纵,攻击者利用闪电贷大幅改变了 5 个当前价格,导致获取的价格为预言机价格的最小值或最大值。这造成了约 2000 万美元的损失。
6 月 13 日,UwU Lend 团队重新启动了协议,并再次遭到攻击。攻击者将 uSUSDe 和 WETH 作为抵押品,然后根据 LTV 借入了 WETH。uSUSDe 未参与 LTV 计算,但在提现流动性时的健康因子计算中参与了,允许攻击者提取更多 WETH 并获利。
值得注意的是,白帽黑客 makemake_kbo 发推 表示,他一年前就报告了该漏洞,并联系了项目团队但未得到回复,最终在 Twitter 上发出警告。
- Velocore 黑客攻击
根本原因:未能检查 effectiveFee1e9 导致 velocore__execute 函数出现下溢。在此处阅读该项目的事后分析报告。
攻击发生后,Linea 暂停了区块生产 1 小时。对于 L2 项目来说,拥有紧急响应机制比暂停整个链更有效。👉在此处了解世界上第一个加密货币黑客监控和阻止平台。
- Holograph 黑客攻击
Holograph 宣布一名曾是其承包商的人员利用该协议铸造了额外的 HLG。
过去的许多攻击表明,项目方为了方便常常会牺牲私钥管理。这使他们面临巨大的风险,可能遭受内部和外部攻击者获得管理员权限或私钥。使用 Phalcon 进行外部监控,可实现一键式操作监控,从而实现早期检测和损失最小化。
其他
- DMM Exchange 黑客攻击
6 月初,DMM Exchange 披露了一起安全事件,5 月 31 日(UTC)有 4,502.9 BTC(超过 3 亿美元)被盗。
由于 DMM 没有提供更多细节,原因仍然未知。然而,黑客的地址和 DMM 的正常地址的前五位和后两位字符相同,被盗的 BTC 来自一个多签地址。推测可能是一起链下攻击,替换了转账地址,欺骗了相关人员签署了交易。在此处使用 MetaSleuth 追踪资金。
- Kraken
6 月 19 日,Kraken 的首席安全官 Nick Percoco 在 X 上披露,他们通过其漏洞赏金计划收到一家安全公司报告的一项“极其关键”的漏洞。报告声称发现了一个可能人为增加账户余额的漏洞。然而,在 Kraken 修复该漏洞后,他们在与该安全公司进行谈判时,发现了一些涉及 300 万美元的可疑行为。 Nick Percoco 的帖子:查看帖子
CertiK 随后在 X 上声称对此事负责,披露了更多信息并解释了他们的行动。他们强调,他们已在 Kraken 上进行了多日测试,并已归还了资金。此事件在社区引发了激烈讨论。CertiK 的帖子:查看帖子 在此处查看根本原因,在此处查看示例交易。
- CoinStats
CoinStats 在一起攻击中损失了 200 万美元。其首席执行官表示,此次泄露是由于对一名员工进行了社会工程攻击,从而导致其 AWS 基础设施被攻破。点击此处了解更多信息。
博客文章
BlockSec 策划了“Solana 简化”系列文章,其中包括有关 Solana 基本概念、Solana 智能合约编写教程以及 Solana 交易分析指南的文章。旨在帮助读者了解 Solana 生态系统,并掌握在 Solana 上开发项目和进行交易的基本技能。
BlockSec X Solana Summit
6 月 20 日至 6 月 22 日,BlockSec 在吉隆坡举行的 2024 Solana Summit APAC 上进行了精彩展示。期待未来在更多全球活动中与大家见面!
Phalcon Explorer 现在全面支持 Solana!
Phalcon Explorer 引入了新功能,以增强用户和开发者的体验,包括:
🚀 明确账户关系和代币变更
🚀 MEV 交易标记和 3 亿多个地址标签
🚀 精确、清晰且可展开级别的函数调用层次结构
在此处体验 Phalcon Explorer。
点击此处了解更多信息。
