2024年q3全網(wǎng)鏈上累計(jì)造成損失約7.43億美元，環(huán)比上升 58%。發(fā)生主要攻擊事件110起，其中詐騙與釣魚事件共計(jì)61起，損失金額3.4億美元，損失占比46.03%。

據(jù) OKLink 數(shù)據(jù)統(tǒng)計(jì)，因私鑰泄漏事件所造成的損失約2.7 億美元，占比36.06%。REKT 事件損失約8,042 萬美元，占比10.78%。RugPull 事件損失約461 萬美元，占比0.62% 。

在 7 月和 8 月期間，每月均遭受了大約3 億美元的重大損失，9 月總損失陡然下降57%，盡管如此，仍面臨著釣魚事件和私鑰泄露等安全風(fēng)險(xiǎn)的挑戰(zhàn)，這些安全事件具有高度的隨機(jī)性，構(gòu)成了不容忽視的威脅。OKLink 提醒大家務(wù)必提高安全防范意識，不要輕信任何未經(jīng)驗(yàn)證的簽名請求，尤其是在授權(quán) “Permit” 或涉及資金轉(zhuǎn)移時，一定要核實(shí)簽名的真實(shí)性。

同時，妥善保管好您的私鑰和助記詞，切勿泄露給任何人，也不要通過截圖或存儲在不安全的設(shè)備上保存。

最大安全事件-釣魚詐騙

8 月 19 日，一名潛在受害者疑似因釣魚攻擊損失了4,064 BTC，價值約2.38 億美元。這筆巨額資金在被竊取后迅速通過 ThorChain、eXch、Kucoin、ChangeNow、Railgun 和 Avalanche Bridge 等多個平臺進(jìn)行了復(fù)雜的轉(zhuǎn)移操作。

最大安全事件-私鑰泄漏

7 月 18 日，WazirX 交易所因多簽錢包私鑰泄露，導(dǎo)致?lián)p失約2.35 億美元。

最大安全事件-REKT

9 月 3 日，Penpie 因其獎勵協(xié)議存在重入漏洞遭受攻擊，導(dǎo)致?lián)p失約2,734 萬美元。

最大安全事件-RugPull

7 月 21 日，ETHTrustFund 發(fā)生RugPull，并在 Base 竊取了價值約200 萬美元的加密貨幣。

案例分析

9 月 3 日，Penpie 合約遭受重入攻擊，攻擊者在重入階段向合約添加流動性來冒充獎勵金額，從而獲取合約內(nèi)原有的獎勵代幣。資產(chǎn)損失高達(dá)2,734 萬美元。

1、攻擊者使用惡意的 SY_1 代幣合約在 Pendle 協(xié)議上創(chuàng)建出惡意的 SY_1_PENDLE-LPT 市場。隨后攻擊者使用該惡意 SY_1_PENDLE-LPT 市場在 Penpie 上創(chuàng)建出新抵押池，并在該抵押池中存入了大量的 SY_1_PENDLE-LPT 代幣；

2、攻擊者閃電貸獲取大量的 wstETH，sUSDe，egETH 和 rswETH 代幣，并存入到 SY_1 代幣合約，當(dāng)作是 SY_1 代幣合約產(chǎn)生的獎勵。之后調(diào)用 Penpie.batchHarvestMarketRewards 函數(shù)，該函數(shù)會觸發(fā) SY_1 代幣合約的 claimRewards 函數(shù)，期望從 SY_1 代幣合約獲取獎勵代幣；

3、但是，在 SY_1代幣的claimRewards 函數(shù)中，攻擊者利用 Penpie 協(xié)議的重入漏洞，將閃電貸獲得的 wstETH，sUSDe，egETH 和 rswETH 代幣存入到相應(yīng)的 Pendle 市場，并將獲得的 LP 代幣存入到 Penpie 協(xié)議中。

由于該操作發(fā)生在 Penpie.batchHarvestMarketRewards 函數(shù)調(diào)用期間，Penpie 錯誤地將這些新存入的代幣當(dāng)作獎勵代幣，并將這些錯誤數(shù)量的獎勵代幣發(fā)送給 RewardDistributor 合約。因?yàn)楣粽呤窃搻阂?Pendle 市場的唯一存款者，所以攻擊者可以獲得所有的獎勵；

4、最后攻擊者從 Penpie 贖回所有 Pendle-LP 代幣，隨后從 Pendle 贖回 wstETH，sUSDe，egETH 和 rswETH 等代幣并歸還閃電貸。

OKLink小貼士

OKLink 提醒用戶在進(jìn)行鏈上操作時，請仔細(xì)核對鏈上地址，避免因地址篡改而遭受損失。建議定期檢查并撤銷不再使用的合約授權(quán)，防止惡意合約濫用。合理利用鏈上工具對操作進(jìn)行保障，OKLink 提供代幣授權(quán)查詢、地址監(jiān)控、合約對比等功能，輕松管理代幣授權(quán)，合約風(fēng)險(xiǎn)盡在掌控。

面對高收益項(xiàng)目要保持理性，尤其是那些沒有透明度或?qū)徲?jì)報(bào)告的項(xiàng)目，謹(jǐn)防落入 RugPull 和 REKT 陷阱。

以上就是Q3 安全季報(bào)揭秘｜全網(wǎng)鏈上損失席卷 7.4 億美金，近五成源于釣魚詐騙陷阱的詳細(xì)內(nèi)容

AD：

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請第一時間聯(lián)系我們修改或刪除，多謝。