Báo cáo bảo mật hàng tháng của CertiK: Dữ liệu tháng 12 mới nhất được tiết lộ

01-07

Bài viết này được dịch máy

Xem bản gốc

MetaEra hợp tác với CertiK ra mắt Báo cáo An ninh tháng 12 năm 2024, truyền tải các thông tin an ninh quan trọng cho ngành công nghiệp.

Tác giả bài viết: 0x9999in1, MetaEra

Vào tháng 12 năm 2024, ngành công nghiệp Web 3.0 đã gặp phải một loạt các thách thức về an ninh, bao gồm các vụ tấn công Khoản vay nhanh, lợi dụng lỗ hổng và các vụ lừa đảo rút vốn. So với tháng trước, tổng số tiền bị mất đã giảm đáng kể, nhưng vẫn đạt 28,64 triệu USD, đây là tháng có mức tổn thất ít nhất trong năm.

Sự kiện an ninh lớn nhất vào tháng 12 là Gempad và FEG, cả hai đều là các vụ lợi dụng lỗ hổng, với số tiền bị mất lần lượt là 2,14 triệu USD và 1,07 triệu USD. Ngoài ra, báo cáo cũng đã điều tra và phân tích sâu các sự kiện an ninh hàng đầu trong tháng 12, các trường hợp đại diện của 3 loại sự kiện an ninh chính trong tháng, cũng như số tiền bị mất trong 3 loại sự kiện an ninh chính trong từng tháng trong năm, nhằm tăng cường nhận thức an ninh cho người dùng, đạt được mục tiêu giáo dục người dùng và ngăn chặn các cuộc tấn công, dưới đây là dữ liệu cụ thể và kết quả phân tích.

Top 5 sự kiện an ninh Khoản vay nhanh tháng 12

CloberDex

Vào ngày 10 tháng 12 năm 2024, kho bảo hiểm thanh khoản của CloberDex đã bị tấn công bởi hacker, mất 133 ETH (khoảng 500.000 USD). Kẻ tấn công đã chuyển số tiền đánh cắp từ Base sang Ethereum. Nguyên nhân chính của lỗ hổng này là do dự án CloberDEX không thực hiện kiểm tra và bảo vệ chống tái nhập khi lấy mã để hủy LP Token, và cập nhật biến trạng thái sau khi gọi hợp đồng, cuối cùng dẫn đến kẻ tấn công lợi dụng lỗ hổng tái nhập này để cạo sạch tài sản của dự án WETH.

Clipper DEX

Vào ngày 1 tháng 12 năm 2024, kẻ tấn công đã lợi dụng một lỗ hổng trong hợp đồng thông minh mà Clipper sử dụng, thao túng chức năng nạp/rút tài sản đơn. Hành động này ảnh hưởng đến các pool thanh khoản trên mạng Optimism và Base, dẫn đến mất cân bằng tài sản trong pool, cho phép kẻ tấn công rút số tài sản vượt quá số tiền họ đã gửi. Cuộc tấn công này gây ra khoảng 450.812 USD thiệt hại.

Moonwell DeFi

Vào ngày 25 tháng 12 năm 2024, Moonwell DeFi, một giao thức cho vay phi tập trung hoạt động trên mạng Optimism, đã bị tấn công Khoản vay nhanh, mất 320.000 USD. Kẻ tấn công đã sử dụng một địa chỉ hợp đồng độc hại giả mạo là "mToken" để tấn công hợp đồng vay USDC của giao thức này. Hành động này cấp quyền phê duyệt token không được ủy quyền, cho phép kẻ tấn công vơ vét tiền từ người dùng Moonwell.

BYC

Vào ngày 3 tháng 12 năm 2024, RunWay (BYC) bị nghi ngờ bị tấn công trên BSC, mất khoảng 100.000 USD.

ZeroLend

Nền tảng cho vay ZeroLend bị tấn công Khoản vay nhanh, mất khoảng 77.000 USD.

Top 5 sự kiện an ninh lợi dụng lỗ hổng tháng 12

Gempad

Vào ngày 17 tháng 12 năm 2024, GemPad bị lợi dụng lỗ hổng trên nền tảng, kẻ tấn công đánh cắp 2,1 triệu USD. Theo phân tích, kẻ tấn công đã cạn kiệt tài nguyên từ khóa an ninh của GemPad, sau đó chuyển đổi thành ETH và BNB, và tích hợp các nguồn lực này. GemPad cho biết chỉ có một số ít dự án bị ảnh hưởng, nhưng nền tảng này hiện đã an toàn và ra mắt trở lại.

FEG

Vào ngày 29 tháng 12 năm 2024, dự án FEG bị tấn công, mất khoảng 1,07 triệu USD, theo phân tích, nguyên nhân cốt lõi của sự kiện này dường như là do vấn đề về khả năng tổ hợp khi tích hợp với cầu nối xuyên chuỗi Wormhole ở lớp cơ sở, cầu này được sử dụng để truyền tải tin nhắn và token xuyên chuỗi.

Vestra DAO

Vào ngày 4 tháng 12 năm 2024, Vestra DAO đã tweet rằng một hacker đã lợi dụng lỗ hổng trong hợp đồng khóa vị thế, thao túng cơ chế thưởng, để thu được số lượng thưởng vượt quá phạm vi họ được hưởng. Sự kiện này dẫn đến tổng cộng 73.720.000 VSTR bị đánh cắp. Các token bị đánh cắp sau đó được bán dần trên Uniswap, dẫn đến mất khoảng 400.000 USD về thanh khoản ETH.

Spectral

Vào ngày 1 tháng 12 năm 2024, Spectral đã tweet rằng họ nhận được cảnh báo về lỗ hổng ảnh hưởng đến một số token trên hợp đồng đường cong ràng buộc Syntax, lỗ hổng này được sử dụng để rút khoảng 250.000 USD thanh khoản.

HarryPotterObamaSonic10Inu 2.0

Vào ngày 18 tháng 12 năm 2024, một loạt các giao dịch lợi dụng đã xuất hiện nhắm vào pool thanh khoản token HarryPotterObamaSonic10Inu 2.0 trên Ethereum. Kẻ tấn công đã thu lợi khoảng 243.000 USD và gửi tiền vào Tornado.

Về CertiK

CertiK luôn nỗ lực theo dõi liên tục các xu hướng an ninh trong lĩnh vực Web 3.0, cho đến nay đã thực hiện hơn 70 lần hành động mũ trắng, báo cáo hơn 4.000 sự kiện an ninh, phát hiện hơn 115.000 lỗ hổng mã, bảo vệ hơn 3,6 nghìn tỷ USD tài sản kỹ thuật số khỏi những tổn thất tiềm ẩn; và thông qua các báo cáo an ninh hàng năm và quý, truyền tải các thông tin an ninh quan trọng cho ngành công nghiệp.

Về MetaEra

MetaEra là nền tảng thông tin hàng đầu và chuyên gia về quản lý thương hiệu và tăng trưởng trong ngành công nghiệp Web 3.0. Tận dụng toàn bộ nguồn lực ưu việt trên toàn cầu, cung cấp các giải pháp sáng tạo và dịch vụ tùy chỉnh để quản lý thương hiệu và thúc đẩy tăng trưởng kinh doanh của bạn.

Nguồn

Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.

Thích

Thêm vào Yêu thích

Bình luận

Chia sẻ

Nội dung liên quan