Raport o danych bezpieczeństwa Web3 GoPlus z listopada

W listopadzie, Web3 poniosło straty ekonomiczne w wysokości 183 981 395 dolarów z powodu głównych incydentów bezpieczeństwa. Typy incydentów bezpieczeństwa obejmują luki w inteligentnych kontraktach, ataki socjotechniczne, ataki phishingowe, pułapki rugpull itp.

Eksploatacja

11月，Eksploatacja (w tym ataki na kontrakty, oszustwa socjotechniczne, ujawnienie kluczy prywatnych itp.) spowodowała straty w wysokości 175 031 395 $. Typowe incydenty obejmują:

3 listopada, Balancer (@Balancer) został zaatakowany z powodu luki w obliczeniach inteligentnego kontraktu, co spowodowało straty przekraczające 128 milionów dolarów, w tym aktywa takie jak WETH, osETH i wstETH, prawdopodobnie dokonane przez północnokoreańskich hakerów

4 listopada, @VenusProtocol (BSC) @TakaraLend (SEI) @MoonwellDeFi (Base) @orbiterone (MoonbeamNetwork) i inne rynki pożyczkowe padły ofiarą ataku „odłączenia zasilania przez orakla”, całkowita strata przekroczyła 2 miliony dolarów

20 listopada, GANA PayFi (@GANA_PayFi) został zaatakowany, w #BSC stracono około 3,15 miliona dolarów BUSD, co spowodowało spadek ceny tokena $GANA o ponad 90%.

7 listopada, największa giełda kryptowalut w Korei, Upbit (@Official_Upbit), straciła gorący portfel, w #Solana skradziono około 54 miliardów wonów (36,8 miliona dolarów), skradzione aktywa obejmowały 24 rodzaje kryptowalut, w tym SOL, USDC, DOOD, SONIC, SOON i TRUMP.

30 listopada, inteligentny kontrakt yETH LST Yearn (@yearnfi) został zaatakowany z powodu luki w obliczeniach biznesowych, straty na #Ethereum wyniosły około 9 milionów dolarów, z czego 2,4 miliona dolarów zostało uratowanych.

Phishing

W listopadzie w wyniku ataków phishingowych całkowite straty wyniosły około 8 milionów dolarów, a liczba ofiar wyniosła około 7000 osób.

7 listopada, użytkownik stracił około $1.22M USDC i aPlaUSDT0 z powodu podpisania złośliwego zezwolenia „permit”.

24 listopada, użytkownik stracił około $838K PT-LP tUSDe z powodu podpisania złośliwego zezwolenia „approve”.

Napastnicy wykorzystali „Phishing-as-a-Service” i technologie AI, znacznie obniżając koszty tworzenia stron phishingowych, przeprowadzając szerokie ataki phishingowe na społeczności ekosystemu.

Dla użytkowników ważne jest, aby rozwijać świadomość bezpieczeństwa i nawyki operacyjne w duchu zerowego zaufania. Pamiętaj o zasadach #GoPlus dotyczących ochrony przed phishingiem — nie klikaj, nie instaluj, nie podpisuj, nie przelewaj: nie klikaj w nieznane linki, nie instaluj oprogramowania o nieznanym pochodzeniu, (portfel) nie podpisuj nieznanych transakcji, nie przelewaj na niezweryfikowane adresy.

Jednocześnie zainstaluj wtyczkę bezpieczeństwa GoPlus, aby na bieżąco blokować linki phishingowe, ryzykowne podpisy, autoryzacje i transakcje.

HoneyPot & Scam

W listopadzie na ETH, Base, BSC zarejestrowano 836 nowych tokenów Pi Xiu (HoneyPot), co oznacza spadek w porównaniu z październikiem, w tym:

Nowa liczba tokenów Pi Xiu na ETH: 21

Nowa liczba tokenów Pi Xiu na Base: 115

Nowa liczba tokenów Pi Xiu na BSC: 710

21 listopada, GoPlus ujawnia prawdziwy model oszustwa „fabryka Pi Xiu”. Oszuści poprzez: masowe tworzenie tokenów → dodawanie płynności → uruchamianie fałszywej aktywnej transakcji → pompowanie ceny → opróżnianie płynności, średnio zbierają zyski w ciągu kilkunastu minut do pół godziny, w listopadzie wdrożono ponad 700 tokenów Pi Xiu, zarabiając ponad 100 tysięcy dolarów.