Pembaruan Mingguan | Total kerugian insiden keamanan Web3 adalah sekitar 19,963 juta dolar AS

Ringkasan

Menurut arsip yang diretas blockchain SlowMist (statistik, dari 14 Agustus hingga 20 Agustus 2023, total 10 insiden keamanan terjadi, dengan total kerugian sekitar 19,963 juta dolar AS.

Insiden tertentu

Bot MEV

Pada 14 Agustus 2023, Hexagate men-tweet bahwa satu Bot MEV dieksploitasi sekitar $200.000 dalam beberapa hari terakhir, termasuk BNBChain, Ethereum, Polygon, dan Arbitrum.

Protokol Zunami

Pada 14 Agustus 2023, Protokol Zunami di Ethereum mengalami serangan manipulasi harga dan kehilangan 1.179 ETH (sekitar $2,2 juta). Penyebab kejadian tersebut adalah perhitungan harga LP pada kontrak rentan bergantung pada saldo CRV kontrak itu sendiri dan rasio konversi CRV pada kumpulan wETH/CRV. Penyerang memanipulasi harga LP dengan mentransfer CRV ke kontrak dan memanipulasi rasio konversi kumpulan wETH/CRV. Menurut analisis MistTrack, ETH telah ditransfer ke Tornado Cash saat ini.

Perlu disebutkan bahwa sistem kami mendeteksi kerentanan ini sebelumnya, dan kami juga mengingatkannya tentang kerentanan tersebut, tetapi pihak proyek tidak memperhatikannya, dan sudah terlambat ketika insiden itu terjadi.

Meletakkan

Pada 15 Agustus 2023, akun Twitter resmi Metis, solusi ekspansi Ethereum, dicuri. Menurut pejabat, anggota tim menjadi korban serangan pertukaran SIM yang memungkinkan aktor jahat mengambil alih akun selama sekitar 30 jam.

Tujuan dari serangan pertukaran SIM adalah pencurian identitas, di mana penyerang mengambil alih nomor telepon korban, memberi mereka akses ke rekening bank, kartu kredit, atau akun terenkripsi. Berbicara kepada Cointelegraph, SlowMist CISO berkata: "Karena popularitas Web3 menarik lebih banyak orang ke dalam industri, kemungkinan serangan pertukaran SIM meningkat karena persyaratan teknisnya yang relatif rendah. Serangan pertukaran SIM seperti itu juga lazim di dunia Web2, jadi tidak mengherankan melihatnya muncul di lingkungan Web3.

(

Karena serangan pertukaran SIM tidak memerlukan banyak keterampilan teknis dari peretas, pengguna harus menjaga keamanan identitas mereka untuk mencegah serangan peretasan tersebut. Untuk peretasan pertukaran SIM, kami merekomendasikan penggunaan autentikasi multi-faktor, verifikasi akun yang ditingkatkan seperti kata sandi tambahan, atau membuat PIN atau kata sandi yang aman untuk kartu SIM atau akun telepon.

Anda adalah Jaringan

Pada 15 Agustus 2023, server Discord resmi Sei Network disusupi.

RocketSwap

Pada tanggal 15 Agustus 2023, proyek ekologi Base RocketSwap diserang Penyerang mencuri token RCKT, mengubahnya menjadi ETH senilai sekitar $868.000 dan menghubungkannya ke Ethereum, dan kemudian peretas membuat memecoin bernama LoveRCKT , tujuannya mungkin untuk menggunakan aset curian untuk memanipulasi sentimen pasar demi keuntungan pribadi.

Insiden itu juga menimbulkan pertanyaan tentang RocketSwap, terutama proses penyebaran dan penyimpanan kunci pribadi. Namun, tim tersebut membantah keterlibatan internal dan mengaitkan tindakan tersebut dengan peretas pihak ketiga. RocketSwap berkata: "Tim perlu menggunakan tanda tangan offline dan meletakkan kunci pribadi di server saat meluncurkan Launchpad. Saat ini terdeteksi bahwa server telah diretas oleh kekerasan, dan karena kontrak pertanian menggunakan kontrak proxy, ada beberapa tinggi -izin berisiko yang mengarah pada transfer aset pertanian."

SwirlLend

Pada 16 Agustus 2023, tim protokol pinjaman SwirlLend mencuri cryptocurrency senilai sekitar $2,9 juta dari Base dan cryptocurrency senilai $1,7 juta dari Linea, yang semuanya dirantai silang ke Ethereum. Saat ini, pengalih telah mentransfer 254,2 ETH ke Tornado Cash. Akun Twitter dan Telegram resmi Swirlend telah keluar, dan situs web resminya juga tidak dapat diakses. Menurut analisis MistTrack, penerapan menggunakan SwftSwap, XY Finance, Orbiter Finance, dll. Pada saat yang sama, IP berikut ditemukan: 50.*.*.106, 50.*.*.58, 50 .*.\ *.42.

Dibuat oleh Kera

Pada 16 Agustus 2023, analis on-chain ZachXBT mentweet bahwa ada masalah dengan APl SaaSy Labs dari Made by Apes, platform aplikasi lisensi on-chain yang diluncurkan oleh BAYC, yang memungkinkan akses ke detail pribadi untuk aplikasi MBA. Masalah ini telah dilaporkan ke Yuga Labs sebelum diungkapkan dan kini telah diperbaiki. Yuga Labs menjawab bahwa saat ini tidak pasti apakah ada kasus penyalahgunaan data, sedang menghubungi siapa saja yang mungkin telah mengungkap informasi, dan akan memberikan perlindungan penipuan dan identitas kepada setiap pengguna yang mungkin membutuhkannya.

(

Persis Protokol

Pada 18 Agustus 2023, perjanjian peminjaman DeFi Exactly Protocol diserang dan kehilangan lebih dari 7.160 ETH (sekitar US$12,04 juta). Kedua penyerang kontrak menyerang dengan memanggil fungsi kick() beberapa kali dan menggunakan kontrak pengembang di Ethereum untuk mentransfer deposit ke Optimism dan akhirnya mentransfer dana yang dicuri kembali ke Ethereum. Dipahami bahwa akar penyebab serangan Exactly Protocol tidak mencukupi_pemeriksaan. Penyerang melewati pemeriksaan izin dalam fungsi leverage kontrak DebtManager dengan secara langsung meneruskan alamat pasar palsu yang belum diverifikasi dan mengubah _msgSender ke alamat korban. Kemudian, dalam panggilan eksternal yang tidak tepercaya, penyerang masuk kembali ke fungsi crossDeleverage di kontrak DebtManager dan mencuri agunan dari _msgSender. Tepat Protokol tweeted bahwa penangguhan perjanjian telah dicabut, pengguna dapat melakukan semua operasi, dan tidak ada likuidasi yang terjadi. Peretasan hanya memengaruhi pengguna yang menggunakan kontrak periferal (DebtManager), protokolnya masih berfungsi normal.

Protokol Pelabuhan

Pada 19 Agustus 2023, Harbour Protocol, protokol mata uang stabil lintas rantai ekologi Cosmos, men-tweet bahwa Harbour Protocol telah dieksploitasi, mengakibatkan menipisnya sejumlah dana di brankas stable-mint, stOSMO, LUNA, dan WMATIC. Dari informasi yang dikumpulkan sejauh ini, penyerang menggunakan alamat berikut untuk melakukan semua operasi: comdex1sma0ntw7fq3fpux8suxkm9h8y642fuqt0ujwt5. Dilaporkan bahwa Harbour Protocol kehilangan 42.261 LUNA, 1.533 CMDX, 1.571 stOSMO dan 18.600 triliun WMATIC dalam serangan itu.

Thales

Pada tanggal 20 Agustus 2023, pasar derivatif Thales mengeluarkan pengumuman yang mengatakan bahwa PC/Metamask kontributor inti telah diretas, dan beberapa dari mereka bertindak sebagai penyebar sementara ($25.000) atau robot administrator ($10.000).Hot wallet telah disusupi. Jangan berinteraksi dengan kontrak Thalesmarket apa pun di Rantai BNB, dan cabut kontrak apa pun yang sedang menunggu persetujuan. Semua dana aman di Optimisme, Arbitrum, Poligon, dan Basis. Thales mengatakan bahwa sebagai akibat dari serangan tersebut, dukungan untuk BSC akan secara resmi dihentikan.

Meringkaskan

Dua insiden minggu ini adalah kerugian yang disebabkan oleh kunci pribadi yang disusupi. Di masa lalu, peristiwa yang menyebabkan kerugian karena manajemen kunci pribadi pihak proyek yang tidak tepat juga sering terjadi, seperti peristiwa Jaringan Ronin dengan kerugian lebih dari 610 juta dolar AS, peristiwa Harmoni dengan kerugian lebih dari 100 juta dolar AS, dan acara Wintermute dengan kerugian lebih dari 160 juta dolar AS. Ada banyak alasan pencurian kunci pribadi Ada tiga aspek utama keamanan kunci pribadi untuk pihak proyek: pemecahan kunci pribadi, serangan rekayasa sosial, dan keamanan ekologis. Karena pentingnya kunci pribadi, meningkatkan tingkat penyimpanan yang aman (seperti perlindungan chip enkripsi perangkat keras) dan menghilangkan risiko satu titik merupakan cara penting untuk mencegah serangan. Pencadangan kunci pribadi/mnemonik juga dapat mempertimbangkan untuk mengurangi risiko satu titik, dan menggunakan beberapa metode, media, atau proses pencadangan yang aman, dll. Untuk detailnya, silakan lihat solusi keamanan aset terenkripsi yang diproduksi oleh SlowMist: