安全月报 | 一个链接导致巨额损失，视频教你如何防范

作者：欧科云链

 

6 月 10 日，以太坊上借贷协议 UwU Lend 被攻击，合计损失 2270 万美元，攻击者利用合约存在预言机价格操纵的漏洞造成损失约 1900 万美元，并在 6 月 13 日再次利用项目方对合约治理操作失误再次攻击，获利 370 万美元。

攻击流程：

1) Flashloan 获取 USD，从而操纵 SUSDE 降低其价格；

2) 地址 0xf19d66 向 pool_2409 存入 19979 WBTC、6.15 亿 DAI 和 3.01 亿 SUSDSE；

3) 地址 0x87ed92 向 pool_2409 存入 31.8 万 ETH（约等于 11.93 亿 SUSDSE）；

4）地址 0x87ed92 借款 3.02 亿 SUSDSE 并转给地址 0xf19d66，然后地址 0xf19d66 使用这些 SUSDSE 存入 pool_2409。地址 0x87ed92 重复此操作四次；

5) 地址 0xf19d66 借款 31.9 万 ETH 给地址 0x87ed92，然后地址 0x87ed92 重复步骤 3 和步骤 4；

6) 地址 0x87ed92 从 UwULend 中提取 34.4 万 WETH；

7) 地址 0xf19d66 操纵 SUSDSE 价格并清算地址 0x87ed92 的借款；

8) 使用 uSUSDE 作为抵押品，地址 0x4cd6fe 从 UwU 借入 350 万 DAI 和 420 万 USDT。

最大安全事件-RugPull

6 月 8 日, zkSync 生态 emholicECO 发生 Rugpull, 造成的损失约 340 万美元。

最大安全事件-钓鱼诈骗

6 月 23 日，某巨鲸用户遭受钓鱼攻击，损失约 1100 万美元。

最大安全事件-私钥泄漏

6 月 22 日，BtcTurk 中的一些热钱包遭遇攻击，怀疑与私钥泄露相关，造成资金损失 9000 万美元，其中 530 万美元的被盗资金被冻结追回。

OKLink小贴士

6 月遭受诈骗与钓鱼事件占比下降，但依旧不能掉以轻心。OKLink 提醒大家，不要向任何人透露你的私钥或助记词，对于承诺异常高回报的项目要保持怀疑态度，投资前，务必对项目和团队进行深入研究，不能忽视任何一次点击，诸如社群内消息，一个短信中的链接，一个冒充官方客服的私信链接，这当中都可能藏着不可逆的陷阱。

利用 OKLink 等工具查询币种与项目等多项信息，充分调研。以数据为基石，方能坐怀不乱，先为自己的链上安全筑起防线。