【安全月报】| 6月区块链安全事件持续增长，因黑客攻击等损失近2亿美元

零时科技
更新于 2024-07-02 16:21
阅读 420

6月发生较典型安全事件超39起，因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达1.98亿美元。

![封面banner.jpg](https://img.learnblockchain.cn/attachments/2024/07/dnTNkRmS6683b7511c524.jpg)

零时科技每月安全事件看点开始了！据一些区块链安全风险监测平台统计显示，2024年6月，各类安全事件损失金额较5月相比有所上涨。6月发生较典型安全事件超**39**起，因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达**1.98****亿**美元，较5月增长约**28.6%**。该金额是2024年第二高的月度损失金额，此外**130万**美元在安全事件中被退还。其中，退出诈骗损失约**480万**美元、闪电贷款损失约**2350万**美元、漏洞利用损失约**1.713亿**美元。

# **黑客攻击方面**

**典型安全事件 *****10***** 起**

(1)  6月2日，去中心化交易所Velocore遭遇安全漏洞，导致约680万美元的ETH损失。根据Velocore事故分析报告显示，事故的主要原因是ConstantProductPool的velocore\_\_execute()函数中存在错误逻辑。

![1.png](https://img.learnblockchain.cn/attachments/2024/07/TvsdZhCe6683b7977438d.png)

(2)  6月4日，NCD在BNBChain上遭到攻击，损失约2万美元。

(3)  6月7日，SteamSwap (STM) 在BNBChain上遭到攻击，损失约10.5万美元。

(4)  6月7日，汽车售后零部件的主要供应商 Advance Auto Parts, Inc. 遭遇了大规模数据泄露。一名名为“Sp1d3r”的威胁者声称Advance Auto Parts数据泄露。

该威胁行为者还声称从该公司的Snowflake云存储中窃取了3TB的数据。据称，被盗信息以150万美元的价格出售。

(5)  6月9日，Loopring智能钱包遭到入侵，该攻击利用了只有一个守护者的钱包，特别是 Loopring官方守护者。黑客启动了恢复过程，冒充钱包所有者重置所有权并提取资产。黑客将所盗Loopring资产已全部兑换为以太坊，地址目前持有1373枚ETH，价值超500万美元。

![2.png](https://img.learnblockchain.cn/attachments/2024/07/AT8toU1P6683b7cb8685f.png)

(6)  6月10日，UwU协议遭受黑客多次闪电贷攻击，损失近2000万美元。黑客已将不同资产（比如WBTC和DAI）从池中抽出并转换为ETH。目前UwU称已经偿还2,000,000 CRV、100,000 bLUSD和125,000 USDT的坏账。自2024年6月10日事件发生以来，共偿还了11,600,000美元。

![3.jpg](https://img.learnblockchain.cn/attachments/2024/07/XbKJEb2f6683b7deb3d56.jpg)

(7)  6月17日，Dyson在BNBChain上遭攻击，损失约31,000美元。

(8)  6月21日，Blast生态项目YOLO Game在Bazaar上的流动性池被盗150万美元，其根本原因是“exitPool”函数中没有权限检查，允许任何人冒充流动性提供者并耗尽资金池。黑客已归还 90%资金。

![4.png](https://img.learnblockchain.cn/attachments/2024/07/8abKGXmi6683b7f4378bd.png)

(9)  6月23日，线上博彩平台Sportsbet疑似同样遭到BtcTurk黑客的攻击，损失超350万美元。

(10)  6月23日，CoinStats被攻击，黑客通过应用程序向用户推送了含有钓鱼链接的通知。大约1,590个钱包受到影响。受影响最大的可能是一个属于Blurr.eth的钱包，他被盗取了3,657枚MKR（870万美元）并被黑客在链上抛售换成2,482枚ETH。这导致了MKR价格由2462美元跳水至2280美元，短时下跌了7%。\

![5.png](https://img.learnblockchain.cn/attachments/2024/07/50QXNzzV6683b8119267a.png)

# **Rug Pull / 钓鱼诈骗**

**典型安全事件 *8* 起**

(1)  6月2日，某0x6435开头地址因网络钓鱼诈骗损失了158万美元。

(2)  6月5日，某0xa38a开头地址因签署许可证网络钓鱼签名而损失了212万美元。

(3)  6月6日，某0x2ac2开头地址因签署许可证网络钓鱼签名而损失了368,717美元。被盗资产是Uniswap和SushiSwap LP代币。

(4)  6月9日，某0x1Ea4开头地址因签署许可证网络钓鱼签名而损失了价值105万美元的Pendle USD。

(5)  6月13日，某0x4dc开头地址因签署Uniswap Permit2网络钓鱼签名而损失了 249,365 美元。

(6)  6月17日，某0x107f开头地址因签署许可证网络钓鱼签名而损失了170cbETH（663,308 美元）。

(7)  6月18日，某0x6759开头地址因签署网络钓鱼签名而损失了445,778 美元。

(8)  6月21日，某0x4e9E开头地址遭受网络钓鱼攻击，损失了约21.4万美元。

# **总结**

从上述多个事件分析来看，相较5月，6月损失金额上涨，同时网络钓鱼诈骗事件也有所上涨。零时科技安全团队建议项目方始终保持警惕，并做好内部安全培训和权限管理，在项目上线前寻找专业的安全公司进行审计并做好项目背景调查。

注：

本文内容均来自公开的资料整理收集。

重要提醒：本文只对行业信息进行整理，不构成任何投资建议和保证。

零时科技每月安全事件看点开始了！据一些区块链安全风险监测平台统计显示，2024年6月，各类安全事件损失金额较5月相比有所上涨。6月发生较典型安全事件超39起，因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达1.98**亿美元，较5月增长约28.6%。该金额是2024年第二高的月度损失金额，此外130万美元在安全事件中被退还。其中，退出诈骗损失约480万美元、闪电贷款损失约2350万美元、漏洞利用损失约1.713亿**美元。

黑客攻击方面

典型安全事件 **10 起**

(1) 6月2日，去中心化交易所Velocore遭遇安全漏洞，导致约680万美元的ETH损失。根据Velocore事故分析报告显示，事故的主要原因是ConstantProductPool的velocore__execute()函数中存在错误逻辑。

(2) 6月4日，NCD在BNBChain上遭到攻击，损失约2万美元。

(3) 6月7日，SteamSwap (STM) 在BNBChain上遭到攻击，损失约10.5万美元。

(4) 6月7日，汽车售后零部件的主要供应商 Advance Auto Parts, Inc. 遭遇了大规模数据泄露。一名名为“Sp1d3r”的威胁者声称Advance Auto Parts数据泄露。

该威胁行为者还声称从该公司的Snowflake云存储中窃取了3TB的数据。据称，被盗信息以150万美元的价格出售。

(5) 6月9日，Loopring智能钱包遭到入侵，该攻击利用了只有一个守护者的钱包，特别是 Loopring官方守护者。黑客启动了恢复过程，冒充钱包所有者重置所有权并提取资产。黑客将所盗Loopring资产已全部兑换为以太坊，地址目前持有1373枚ETH，价值超500万美元。

(6) 6月10日，UwU协议遭受黑客多次闪电贷攻击，损失近2000万美元。黑客已将不同资产（比如WBTC和DAI）从池中抽出并转换为ETH。目前UwU称已经偿还2,000,000 CRV、100,000 bLUSD和125,000 USDT的坏账。自2024年6月10日事件发生以来，共偿还了11,600,000美元。

(7) 6月17日，Dyson在BNBChain上遭攻击，损失约31,000美元。

(8) 6月21日，Blast生态项目YOLO Game在Bazaar上的流动性池被盗150万美元，其根本原因是“exitPool”函数中没有权限检查，允许任何人冒充流动性提供者并耗尽资金池。黑客已归还 90%资金。

(9) 6月23日，线上博彩平台Sportsbet疑似同样遭到BtcTurk黑客的攻击，损失超350万美元。

(10) 6月23日，CoinStats被攻击，黑客通过应用程序向用户推送了含有钓鱼链接的通知。大约1,590个钱包受到影响。受影响最大的可能是一个属于Blurr.eth的钱包，他被盗取了3,657枚MKR（870万美元）并被黑客在链上抛售换成2,482枚ETH。这导致了MKR价格由2462美元跳水至2280美元，短时下跌了7%。\

Rug Pull / 钓鱼诈骗

典型安全事件 8 起

(1) 6月2日，某0x6435开头地址因网络钓鱼诈骗损失了158万美元。

(2) 6月5日，某0xa38a开头地址因签署许可证网络钓鱼签名而损失了212万美元。

(3) 6月6日，某0x2ac2开头地址因签署许可证网络钓鱼签名而损失了368,717美元。被盗资产是Uniswap和SushiSwap LP代币。

(4) 6月9日，某0x1Ea4开头地址因签署许可证网络钓鱼签名而损失了价值105万美元的Pendle USD。

(5) 6月13日，某0x4dc开头地址因签署Uniswap Permit2网络钓鱼签名而损失了 249,365 美元。

(6) 6月17日，某0x107f开头地址因签署许可证网络钓鱼签名而损失了170cbETH（663,308 美元）。

(7) 6月18日，某0x6759开头地址因签署网络钓鱼签名而损失了445,778 美元。

(8) 6月21日，某0x4e9E开头地址遭受网络钓鱼攻击，损失了约21.4万美元。

总结

注：

本文内容均来自公开的资料整理收集。

重要提醒：本文只对行业信息进行整理，不构成任何投资建议和保证。

原创
学分: 19
分类: 安全
标签:

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。

【安全月报】| 6月区块链安全事件持续增长，因黑客攻击等损失近2亿美元

黑客攻击方面

Rug Pull / 钓鱼诈骗

总结

0 条评论

文章目录