OKLink2月安全月报| 2起典型漏洞攻击案例分析


在本月初我们发布的2024年2月安全月报中提到,2月全网累计造成损失约1.03亿美元。其中钓鱼诈骗事件损失占比11.76%。

OKLink提醒大家,在参与Web3项目时,应当仔细调研项目的真实性、可靠性,提升对钓鱼网站和风险项目的甄别能力,降低投资的风险。

d4c2d5bf2e23dd7cab3c6b1992fbe60a.jpeg

官方社媒遭受诈骗与钓鱼事件共计 37起, 其损失占比 11.76%。 其主要集中在X「Twitter」、Discord等渠道。 REKT 和 RugPull 事件损失分别占比 7.33% 5.34%, 钓鱼诈骗事件损失占比 11.76%, 其他: 75.57%。 本月REKT损失最大安全事件为:2月28日,质押协议senecaUSD因为代码逻辑漏洞遭受攻击,损失约650万美金。截至发稿,攻击者已经归还价值约530万美金的资产。 本月RugPull损失最大安全事件为:2024年2月29日,Shido项目发生RugPull造成约210万美金损失。 其他(包括compromised key 、社工攻击等)闪电网络项目FixedFloat疑似私钥泄漏,导致价值约 2100万美金的BTC和价值约480万美金的ETH被盗。

案例一

Seneca

2月28日,Seneca协议遭受了一个典型的批准漏洞攻击,黑客能够执行任意外部调用来窃取用户授予协议的资金(约为650万美元)。

4f106ca8191b1d73799ddbfce0bd5246.jpeg

需要撤销授权的地址:

以太坊:0xbc83f2711d0749d7454e4a9d53d8594df0377c05

Arbitrum:0x2d99e1116e73110b88c468189aa6af8bb4675ec9

目前,黑客已将大部分被盗资金转移到以下两个地址。

0x5217c6923a4eFC5bcF53D9A30Ec4B0089f080ed0

0xe83B072433F025Ef06b73E0CAa3095133E7c5bd0


c8b720938242c2372252342363f4ee18.jpeg

案例二

Blueberry Protocol Foundation

2月23日,Blueberry Protocol Foundation经历了一次重大的安全漏洞,导致损失约457 ETH(约130万美元)。
主要的漏洞源自于一个不完备的价格预言机执行,未能准确调整基础资产的小数精度。 有趣的是,大部分利润给了MEV构建者,而前置抢先交易机器人(0xc0ffeebabe5d496b2dde509f9fa189c25cf29671)仅获得409美元。 交易链接: https://www.oklink.com/eth/tx/0xf0464b01d962f714eee9d4392b2494524d0e10ce3eb3723873afd1346b8b06e4 当前价格预言机对所有基础资产返回相同的18位小数位数的价格。

250c29ce8e9c102b74614f592180aa97.jpeg

以下为正确案例,其中对基础资产的小数精度进行了准确调整:

1604a64e4d6f2631d43a6265c0af1df8.jpeg

OKLink安全专家小贴士

本月出现了较多因为私钥泄漏等情况造成的热钱包被攻击或者项目权限被控制的情况,钓鱼和REKT和RugPull事件损失金额较上月有所下降。

本月安全事件损失金额与上月基本持平,出现了较多因为私钥泄漏等情况造成的热钱包被攻击或者项目权限被控制的情况,我们建议项目方在项目上线之前进行充分的测试和合约审计,并采用完善的流程管理项目相关私钥,以免为黑客带来可乘之机。

注:PlayDapp账面损失价值2.9亿美金PLA代币,实际流动性不支持这么大额度的套现,链上分析发现实际获利较小(数十万美金)且难以准确估算,因此仅统计第一次31M损失。

【免责声明】本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/733003.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2024年人工智能发展路线图

2024年人工智能发展路线图 2024年,人工智能将迎来重大发展。从全新模型、资金注入到技术进步,发展速度之快让人难以跟上。本文概述了2024年可能定义AI发展的关键事件、产品发布、研究突破和趋势。 Q1 2024 Gemini Ultra发布:谷歌预计将发布…

set系列集合

set系列集合 无序:存取顺序不一致 不重复:可以去除重复 无索引:没有带索引的方法,所以不能使用普通的for循环,也不能通过索引来获取元素 set集合的实现类 HashSet:无序、不重复、无索引 LinkedHashSet:有序、不重…

PyQt5开发基础知识【一】

零.前言: 作者写这篇博客的目的主要在于巩固PyQt5的基础知识,例如PyQt5的几个核心模块,分别有什么功能,PyQt5的所有控件的使用方法等。 一.PyQt5的常见模块 1.1QtCore: 该模块包含了非GUI的功能设计。 这个模块被…

python绘制水果价格与利润表图1-3

input输入 (默认输入: 苹果🍎 橘子🍊 梨子🍐 葡萄🍇空一行空值表示结束输入input添加 1. 添加 2. 删除 序号和文字都可以,要空格或者空行 可以点对点输入数据深色主题 mpl_style(darkTrue)# 折线…

PyQt5实现远程更新exe可执行文件

PyQt5实现远程下载更新exe可执行文件 1、实现流程 1、获取远程http地址 2、获取需要更新的exe文件 3、点击更新 4、把exe强关闭 5、下载文件 6、更新2、效果图 3、示例代码 conf.ini配置文件: {"http_address_edit_value": "http://xxx.com/xxx/xxx.exe&qu…

【Go】令牌桶限流算法

1. 限流 限流,顾名思义,限制用户请求流量,避免大规模并发导致系统宕机。 2. 令牌桶算法 令牌管理员以恒定的速率向令牌桶里放置一个令牌。如果桶满,就丢弃令牌。 请求到达时,都要先去令牌桶里取一个令牌&#xff0c…

如何进入Windows 11的安全模式?这里提供详细步骤

序言 如果你在启动Windows 11 PC时遇到问题,则重新启动到安全模式可能会有所帮助,该模式会暂时禁用驱动程序和功能,以使你的PC更稳定。下面是如何做到这一点。 在Windows 7和更早版本中,通常可以在打开电脑后按功能键(如F8)启动安全模式。Microsoft从Windows 8中删除了…

C++内存管理篇

文章目录 1. C/C内存分布2. C中的内存管理方式3. operator new和operator delete函数4. new和delete的实现原理5. 定位new表达式(placement-new) 1. C/C内存分布 C语言中,为了方便管理内存空间,将内存分成了不同的区域,每个区域管理不同的数据…

Linux下CAN调试工具can-utils的使用

文章目录 candumpcansendcanbusload can-utils提供了一系列实用的命令行工具,可以方便的调试CAN总线数据。这里主要记录各个工具的用法 candump: 用于查看CAN数据cansend: 用于发送数据到CAN总线canbusload: 用于查看CAN总线使用率 candump 命令行中输入candump然后回车可以…

构建智能IoT系统的步骤

目录 一、需求分析 二、设备选择与部署 三、架构设计 四、边缘节点的配置 五、数据处理与分析 六、安全措施 七、测试与优化 总结 构建一个智能IoT系统需要经过一系列精心规划和执行的步骤,以确保系统的稳定性、可靠性和高效性。下面将详细介绍构建智能IoT系…

【数据分享】2013-2022年全国范围逐月CO栅格数据(免费获取)

空气质量数据是在我们日常研究中经常使用的数据!之前我们给大家分享了2000-2022年全国范围逐月的PM2.5栅格数据和2013-2022年全国范围逐月SO2栅格数据(可查看之前的文章获悉详情)。 本次我们给大家带来的是2013-2022年全国范围的逐月的CO栅格…

【微信小程序】基本语法

目录 一、列表渲染&#xff08;包括wx:for改变默认&#xff09; 二、事件冒泡和事件捕获 三、生命周期 一、列表渲染&#xff08;包括wx:for改变默认&#xff09; 1、列表渲染(wx-for、block 改变默认wx:for item等) <view> {{msg}} </view> //渲染跟普通vu…

jupyter notebook 调整深色背景与单元格宽度与自动换行

# 安装jupyter主题 pip install jupyterthemes # 列举主题 jt -l # 设置主题 jt -t chesterish设置宽度 打开users 当前用户目录下的custom.css文件 写入.container { width:80% !important; } 即可 设置自动换行 查找创建这个目录以及文件notebook.json 写入配置 “li…

DualSPHysics使用FlowTool工具进行后处理,定义的粒子全在domains外,解决办法

可以知道DualSPHysics官方给了后处理工具使用的示例&#xff0c;如下就是官方给的案例&#xff0c;使用FlowTool工具可以计算出在两个实体domain内的粒子数。 然而我自己也定义了2个domains&#xff0c;但是计算出来Tank1和Tank2里边的粒子数一直是空的&#xff0c;粒子全部在…

保姆级讲解字符串函数(上篇)

目录 字符分类函数 导图 函数介绍 1.getchar 2. isupper 和 islower 字符转换函数&#xff1a;&#xff08;toupper , tolower&#xff09; 与 putchar 字符串函数 导图 string函数的使用和模拟实现 string的使用 求字符串长度 字符串的比较 string函数的模拟实现…

王道机试C++第 4 章 字符串:字符串内容续写几个小程序 Day30

统计字符 习题描述 统计一个给定字符串中指定的字符出现的次数。 输入描述&#xff1a; 测试输入包含若干测试用例&#xff0c;每个测试用例包含2行&#xff0c;第1行为一个长度不超过5的字符串&#xff0c;第2行为一个长度不超过80的字符串。注意这里的字符串包含空格&…

2419. prufer序列(prufer编码,模板题)

活动 - AcWing 本题需要你实现prufer序列与无根树之间的相互转化。 假设本题涉及的无根树共有 n 个节点&#xff0c;编号 1∼n。 为了更加简单明了的描述无根树的结构&#xff0c;我们不妨在输入和输出时将该无根树描述为一个以 n 号节点为根的有根树。 这样就可以设这棵无…

Sora的盈利新视角:从共创经济到产业赋能

随着科技的进步&#xff0c;人工智能和机器学习技术正逐渐成为推动经济增长的新动力。在这样的背景下&#xff0c;Sora作为一款先进的AI视频生成工具&#xff0c;其盈利路径和产业影响也呈现出新的特点。本文将从共创经济和产业赋能的角度&#xff0c;探讨Sora的盈利新路径以及…

kamailio转发电话到目的地,目的返回失败时再转给其他IP

按图中这样测试&#xff1a; A---->kamailio------->B B返回480等失败错误码&#xff08;非200 OK&#xff09;&#xff0c;能进入failure_route[TOVOICEMAIL]&#xff0c;但是t_relay_to_udp执行失败。 好吧&#xff0c;说是&#xff1a;在 failure_route 中处理的是…

苍穹外卖-day01

苍穹外卖-day01 目录 苍穹外卖-day01课程内容1. 软件开发整体介绍1.1 软件开发流程1.2 角色分工1.3 软件环境 2. 苍穹外卖项目介绍2.1 项目介绍2.2 产品原型2.3 技术选型 3. 开发环境搭建3.1 前端环境搭建3.2 后端环境搭建3.2.1 熟悉项目结构3.2.2 Git版本控制3.2.3 数据库环境…