欧科云链7月安全月报 | 私钥泄露损失约占总损失88%,超2.6亿美元

7 月全网累计造成损失约 2.9 亿美元因私钥泄露所造成损失占总损失的 88.31%,其中 WazirX 因多签钱包私钥泄露,造成约 2.35 亿美元的损失,为 7 月最大安全事件。

242a492462201e7272b454650cf2cf12.jpeg

最大安全事件-私钥泄漏

7 月 18 日,WazirX 多签钱包私钥泄露,造成损失约 2.35 亿美元

最大安全事件-钓鱼诈骗

7 月 24 日,ETH 链上地址 0x07...fDC9 损失价值 469 万美元的 Pendle 重新质押代币。

最大安全事件-REKT

7 16 日,LiFi Protocol 跨链桥聚合协议被攻击,导致损失约 1 千万美元,攻击者利用了任意调用漏洞,可以让攻击者盗取授权给这个合约用户的资产。

最大安全事件-RugPull

7 月 21 日,ETH TrustFund 发生 RugPull 并在 Base 上窃取了价值约 200 万美元的加密货币。

案例分析

7 月 15 日,Minterest 在 Mantle 上遭遇了重大的安全事故,并因此造成了约 140 万美元的损失。目前,其项目团队已暂停该协议。


流程分析:


1) 从 Mantle DEX 的 USDY/USDT 资金池中闪电贷出 426.5 万 USDY;


1f208f1d6af0f8c10947f6b0708950a7.jpeg


在其回调函数中:共循环又进行了 25 次 FlashLoan & Redeem Underlying 动作;


8617170d8f6feedfe99c2031009687ad.jpeg


2) 从 mUSDY 市场中闪电贷出 39.27 万 USDY;


8e953c8504754e2167feb374d903ac23.jpeg


在其回调函数中:调用了两个方法 wrap & lendRUSDY;


8701f02a91f681df2cb19ad3c297965e.jpeg


3) 存入 426.5 万 USDY,按照 share price,换取了 447.3 万 mUSD;


b1bf74d364f994245b90f3d300f26852.jpeg


4) 使用上一步骤获得的 447.3 万 mUSD 份额代币借出了 2,747,677 万 mUSDY;


2e550a073d928321a709b28c548dac0f.jpeg


步骤一:转入 447.3 万 mUSD share token; 

步骤二:将 447.3 万 mUSD unwrap 回 426.5 万 USDY 放在 mUSDY 市场合约中;

步骤三:转给用户 2,747,677 万 mUSDY


e9a3c47341bb6612c25d1c1efca3c911.jpeg


5) 取回底层 USDY 资产,黑客计算取回 426.5 万 USDY 需要多少 Redeem Tokens (mUSDY),发现 Redeem Underlying 时,黑客只需要还回去  2,566,963 万 mUSDY,如此一来,黑客便可留下 180,714 万的 mUSDY;


d28c19d37c96affb4fdd546d90139cee.jpeg


6) 循环以上步骤约 25 次后,黑客获利约 140 万美元。

 OKLink小贴士 

7 月全网累计造成损失约 2.9 亿美元,环比 6 月总损失上升 38.01%,因私钥泄露所造成损失占总损失的 88.31%。OKLink 提醒用户不要向任何人透露你的私钥或助记词,也不要通过截屏等形式来保存与记忆,未经验证的链接不要点击,安全意识是在 Web3 世界中保护自己的重要防线。

Web3 链上工具已经成为规避风险重要手段。OKLink 提供地址查询与监控、链上数据播报以及私人标签设立等工具,多维度的数据对比为每一次操作保驾护航。

5bab0955e1ed44e1f109d833e92343bf.jpeg

同时,OKLink 推出 EaaS(Explorer-as-a-Service,浏览器即服务),这是一种可扩展的解决方案,旨在解决项目方面临的挑战,提供零成本设置、快速部署、多链支持、高级区块分析和开放 API 等功能。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/389915.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

免账户免权限免费获取 A股 全市场股票ETF指数 分钟级数据

日期 2024/8/2 意外发现的,抛砖引玉,测试了下,其他券商的也可以。 可以直接获取 1m 5m 1day 级别的数据,全A股市场的都可以。期货未测试。 需要 其他的级别的分数数据可以自行合成。 原理 券商版qmt获取行情数据时,不…

Java 设计模式之策略模式 (Strategy Pattern) 详解

Java 设计模式之策略模式 (Strategy Pattern) 详解 策略模式(Strategy Pattern)是一种行为型设计模式,旨在定义一系列算法,将每个算法封装起来,并使它们可以互相替换,从而使得算法的变化不会影响使用算法的…

高并发内存池

高并发内存池 一、项目介绍二、什么是内存池1.池化技术2.内存池3.内存池主要解决的问题3.1内碎片3.2外碎片3.3内存池的解决方案 4.malloc 三、定长内存池1.定长内存池设计2.成员属性3.析构和构造4.New和Delete5.性能测试 四、高并发内存池整体框架设计五、申请内存设计1.Thread…

利用Qt实现调用文字大模型的API,文心一言、通义千问、豆包、GPT、Gemini、Claude。

利用Qt实现调用文字大模型的API,文心一言、通义千问、豆包、GPT、Gemini、Claude。 下载地址: AI.xyz 1 Qt实现语言大模型API调用 视频——Qt实现语言大模型API调用 嘿,大家好!分享一个最近做的小项目 “AI.xyz” 基于Qt实现调用各家大模型…

八股文-基础知识-int和Integer有什么区别?

引言 在Java编程实践中,基本数据类型int与包装类Integer扮演着不可或缺的角色,它们间的转换与使用策略深刻影响着程序的性能与内存效率。本文旨在深入探究int与Integer的区别,涵盖其在内存占用、线程安全、自动装箱与拆箱机制等方面的表现。…

tomato靶场

扫描网址端口 访问一下8888 我们用kali扫描一下目录 访问这个目录 产看iofo.php源码,发现里面有文件包含漏洞 访问/etc/passwd/发现确实有文件包含漏洞 远程连接2211端口 利用报错,向日志文件注入木马,利用文件包含漏洞访问日志文件 http:/…

嵌入式Linux系统中LCD屏驱动框架基本实现

大家好,今天主要给大家分享一下,如何使用linux系统中LCD屏驱动框架Framebuffer编写具体的代码。 第一:如何编写字符设备驱动程序 1、驱动框架基本操作: 驱动主设备号 * 构造file_operations结构体,填充open/read/write等成员函数 * 注册驱动:register_chrdev(major, name…

【参会邀请】第四届区块链技术与信息安全国际会议(ICBCTIS 2024)诚邀相聚江城!

我们诚挚地邀请您参与第四届区块链技术与信息安全国际会议(ICBCTIS 2024)。本届会议将于2024年8月17日~19日在中国武汉召开。会议将围绕区块链技术与信息安全等相关研究领域,特邀国内外数位在此领域学术卓越的学者专家做相关致辞与报告&#…

模式植物构建orgDb数据库 | 以org.Slycompersicum.eg.db为例

原文链接:模式植物构建orgDb数据库 | 以org.Slycompersicum.eg.db为例 本期教程 一步构建模式植物OrgDb数据库 source("../Set_OrgDb_Database.R")# 使用函数 Set_OrgDb_Database(emapper_file "out.emapper_tomato.csv", ## 输入的eggnog结果文件json_…

红酒与季节:品味四季的风情

四季轮转,岁月更迭,每个季节都有其不同的韵味与风情。当定制红酒洒派红酒(Bold & Generous)与四季相遇,它们共同编织出一幅幅美丽的味觉画卷,让我们在品味中感受四季的风情。 一、春之序曲&#xff1a…

学会这个Python库,接口测试so easy

前言 我们在做接口测试时,大多数返回的都是json属性,我们需要通过接口返回的json提取出来对应的值,然后进行做断言或者提取想要的值供下一个接口进行使用。 但是如果返回的json数据嵌套了很多层,通过查找需要的词,就…

MySql Linux 安装

下载 下载后的文件为:mysql-8.4.2-linux-glibc2.28-x86_64.tar.xz 创建用户和用户组 $> groupadd mysql $> useradd -r -g mysql -s /bin/false mysql由于用户仅用于所有权目的,而不是登录目的,因此useradd命令使用 -r和-s /bin/false…

临床数据科学中有关试验设计的四个关键要素

临床数据科学是现代医学研究中不可或缺的组成部分,通过科学的方法和统计分析工具来揭示医疗数据背后的规律和真相。试验设计是临床数据科学的核心环节,直接关系到研究结果的可靠性和科学性。 在过去几十年中,随机临床试验(Randomi…

《LeetCode热题100》---<5.③普通数组篇五道>

本篇博客讲解LeetCode热题100道普通数组篇中的五道题 第五道:缺失的第一个正数(困难) 第五道:缺失的第一个正数(困难) 方法一:将数组视为哈希表 class Solution {public int firstMissingPosi…

Python——记录pip问题(解决下载慢、升级失败问题)

在python开发中,经常需要使用到各种各样的库。 pip又是我们常用的安装工具。但是国外的源下载速度实在太慢,经常导致超时。 有很多朋友刚刚学Python的时候,会来问为什么pip下载东西这么慢啊? 而且pycharm里面下载库也是非常的慢…

充电宝有必要买贵的吗?充电宝可以带上高铁吗?充电宝选购方法

市面上的充电宝可以说是非常的多,但是能选到一款适合自己的充电宝基本是不容易的,然而,当我们准备选购充电宝时,常常会面临诸多疑问。其中,“充电宝有必要买贵的吗”就是一个备受关注的问题。价格似乎成为了我们在众多…

pytorch学习笔记4 tensor变换

View/reshape viewreshape, 新版本 要保证数据总量不变,否则报错Squeeze/unsqueeze 减少维度和增加维度 unsqueeze(n): 如果n是正,在第n位前面插1维(size1), 如果n是负,在倒数第|n|位后面插入1维&#xf…

将 HuggingFace 模型转换为 GGUF 及使用 ollama 运行 —— 以 Qwen2-0.5B 为例

前言 最近,阿里发布了Qwen2的系列模型,包括0.5B, 1.5B, 7B, 57B-A14B 和 72B,中英文效果都很好。 因为模型太新,目前还没有 GGUF 版本可以下载,于是转下GGUF,并分享转换教程。 什么是 GGUF? …

Linux进程间通信学习2

文章目录 共享内存信号信号概述以及种类信号的处理信号相关函数(简单)运用小demo实现ctrlc无法终止进程使用kill函数在程序内部实现一个进程杀死另外一个进程 信号相关函数高级版运用函数小demo 信号量信号量相关函数运用小demo: 共享内存 相比于前三个…

快速排序(下)

快速排序(下) 前言 在上一篇文章中我们了解了快速排序算法,但那是Hoare的版本,其实还有别的版本:一种是挖坑法,它们的区别主要在于如何找基准值。霍尔的版本思路难理解但代码好理解,挖坑法则是…