enkripsi Laporan Bulanan: Kerugian keamanan dana pada bulan Januari sekitar 9800 juta dolar AS, turun secara signifikan dibandingkan dengan tahun sebelumnya dan dibandingkan dengan bulan sebelumnya
Sorotan insiden keamanan bulanan Teknologi Zero-hour telah dimulai! Menurut beberapa platform pemantauan risiko keamanan blockchain, pada Januari 2025, kerugian akibat kerentanan, peretas, dan penipuan sekitar $98 juta, dan ada 28 serangan Mata Uang KriptoHacker, di mana sekitar $8 juta dikaitkan dengan Phishing. Namun, dibandingkan dengan kerugian $133 juta pada Januari 2024, ini adalah penurunan 44.6%. Ini adalah penurunan 56% dari kerugian $ 23,58 juta pada Desember '24.
Sisi Serangan Hacker
Tujuh Kejadian Keamanan Tipe
(1) Pada 8 Januari, pengguna Orange Finance (protokol DeFi di Arbitrum) telah kehilangan lebih dari 800 ribu dolar AS. Penyerang dapat mengakses kunci manajemen protokol tersebut, dan menggunakan kunci-kunci tersebut untuk melakukan peningkatan jahat terhadap kontrak protokol, sehingga mencuri dompet semua pengguna yang memiliki token yang sah untuk protokol tersebut.
(2) Pada 8 Januari, Moby mengalami insiden kebocoran kunci privat yang mempengaruhi sebagian aset LP dalam beberapa protokol. Mereka menyatakan bahwa ini bukan masalah keamanan yang terkait dengan kontrak cerdas protokol, melainkan Hacker mencoba mencuri dana dengan menggunakan kunci privat agen yang dicuri untuk secara sederhana meningkatkan kontrak cerdas yang ada. Akhirnya, tonykebot berhasil melakukan tindakan penyelamatan sebagai white hat dengan memanfaatkan kekurangan perlindungan dalam implementasi UUPS, dan mengembalikan 1,47 juta USDC yang sebelumnya diperoleh Moby Hacker dari protokol opsi serangan ke pemilik proyek.
(3) 13 Januari, menurut tim keamanan Zero Hour Tech, UniLend di EVM chain diserang, mengalami kerugian sekitar 19.7 ribu dolar AS. Penyebab kerentanan kali ini adalah bahwa Unilend tidak mengurangi jumlah collateral saat melakukan redeem, sehingga mengakibatkan perhitungan yang salah dan jumlah collateral setelahnya lebih tinggi dari jumlah collateral yang sebenarnya dimiliki oleh penyerang, yang seharusnya tidak berhasil ditukar. Akhirnya, ini menyebabkan penyerang menguras token stETH dari pihak proyek.
Analisis serangan rinci dapat diakses melalui tautan ini:
Analisis Serangan Kejadian Unilend oleh Zero Hour Technology
Pada tanggal 15 Januari pukul 12:00, tim proyek Zero Hour Technology melaporkan serangkaian serangan terhadap proyek Sorra di atas rantai Ethereum, yang menyebabkan kerugian sebesar 41.000 USD. Penyebab kerentanan ini adalah karena Sorra tidak memeriksa apakah pengguna telah menarik reward atau tidak ketika melakukan penarikan. Sehingga pengguna dapat menarik reward secara berulang dengan melakukan operasi dalam jumlah besar. Para penyerang menggunakan kerentanan ini untuk melakukan beberapa transaksi dan menarik semua token SOR di dalam proyek Sorra.
Analisis serangan rinci dapat diakses melalui tautan ini:
Analisis Kejadian Serangan SorraStaking oleh Teknologi Sementara
Pada tanggal 21 Januari, Forta menemukan kerentanan senilai $324.000 di TheIdolsNFT.
(6) 23 Januari, dompet panas pertukaran mata uang kripto Phemex yang berbasis di Singapura diserang, menyebabkan kerugian sekitar 70 juta dolar.
(7) Pada tanggal 24 Januari, menurut tim keamanan SlowMist, karena kurangnya validasi input pada ODOS, kerentanan ini telah dieksploitasi di berbagai rantai, dengan kerugian sekitar $100.000. ODOS mengumumkan bahwa serangan ini memanfaatkan kerentanan dalam kontrak executor yang telah diaudit, mencuri pendapatan yang disimpan dalam kontrak, tetapi tidak mempengaruhi dana pengguna apa pun.
( Rug Pull / Phishing Scam
10 Kejadian Keamanan Tipe yang Biasa Terjadi
)1( tanggal 2 Januari, pemegang $VIRTUAL, yang memegang sekitar 39x ($ 196.396) token, kehilangan semua tokennya karena transaksi Phishing "peningkatan batas".
)2### tanggal 3 Januari, pemegang $RLB kehilangan semua token senilai sekitar $1 juta karena tanda tangan Phishing "Uniswap Permit2".
(3) Pada tanggal 6 Januari, alamat yang dimulai dengan 0x5167 kehilangan nilai 155.256 dolar EIGEN setelah melakukan transaksi Phishing "menambahkan insentif".
(4) Pada 7 Januari, alamat yang dimulai dengan 0x8536 kehilangan token senilai $103.020 setelah melakukan transaksi Phishing 'Uniswap Permit2'.
Pada tanggal 8 Januari, alamat yang dimulai dengan 0x3402 kehilangan nilai $OLAS, $SEKOIA, $VIRTUAL, dan $FJO senilai $474,422 setelah menandatangani beberapa tanda tangan Phishing.
Pada tanggal 14 Januari, alamat yang dimulai dengan 0x00c0 kehilangan $VIRTUAL senilai 263.255 dolar setelah menandatangani transaksi Phishing.
(7) Pada 17 Januari, alamat yang dimulai dengan 0x80dc kehilangan nilai 426,106 USUALUSDC+ setelah menandatangani tanda tangan "lisensi" Phishing.
(8) 20 Januari, alamat 0x1e70 kehilangan WETH senilai $135.068 setelah menandatangani tanda tangan Phishing "Izinkan".
(9) Pada 22 Januari, alamat yang dimulai dengan 0x3149 kehilangan $XG senilai 553.045 USD setelah menandatangani transaksi Phishing "transfer".
Pada tanggal 29 Januari, alamat yang dimulai dengan 0xeb2 kehilangan $LINK senilai $384,645 setelah menandatangani transaksi Phishing 'increaseApproval'.
( Ringkasan
Bulan Januari, Phishing Mata Uang Kripto mencuri $10,25 juta dari 9.220 korban, turun 56% dari kerugian $23,58 juta pada bulan Desember. Namun, para pelaku kejahatan terus berkembang dan menggunakan metode serangan yang lebih kompleks.
Tim Keamanan Zero Hour Technology menyarankan pihak proyek untuk selalu waspada, mengingatkan pengguna untuk mewaspadai serangan phishing. Pengguna disarankan untuk sepenuhnya memahami latar belakang dan tim proyek sebelum terlibat dalam proyek, serta memilih investasi dengan hati-hati. Selain itu, pelatihan keamanan internal dan manajemen izin juga perlu dilakukan, dan sebelum proyek diluncurkan, disarankan untuk mencari perusahaan keamanan profesional untuk melakukan audit dan melakukan pengecekan latar belakang proyek.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
enkripsi Laporan Bulanan: Kerugian keamanan dana pada bulan Januari sekitar 9800 juta dolar AS, turun secara signifikan dibandingkan dengan tahun sebelumnya dan dibandingkan dengan bulan sebelumnya
Sorotan insiden keamanan bulanan Teknologi Zero-hour telah dimulai! Menurut beberapa platform pemantauan risiko keamanan blockchain, pada Januari 2025, kerugian akibat kerentanan, peretas, dan penipuan sekitar $98 juta, dan ada 28 serangan Mata Uang KriptoHacker, di mana sekitar $8 juta dikaitkan dengan Phishing. Namun, dibandingkan dengan kerugian $133 juta pada Januari 2024, ini adalah penurunan 44.6%. Ini adalah penurunan 56% dari kerugian $ 23,58 juta pada Desember '24.
Sisi Serangan Hacker
Tujuh Kejadian Keamanan Tipe
(1) Pada 8 Januari, pengguna Orange Finance (protokol DeFi di Arbitrum) telah kehilangan lebih dari 800 ribu dolar AS. Penyerang dapat mengakses kunci manajemen protokol tersebut, dan menggunakan kunci-kunci tersebut untuk melakukan peningkatan jahat terhadap kontrak protokol, sehingga mencuri dompet semua pengguna yang memiliki token yang sah untuk protokol tersebut.
Laporan Enkripsi: Kerugian keamanan dana sekitar 98 juta dolar AS pada bulan Januari, turun secara signifikan dibandingkan dengan tahun sebelumnya dan bulan sebelumnya
(2) Pada 8 Januari, Moby mengalami insiden kebocoran kunci privat yang mempengaruhi sebagian aset LP dalam beberapa protokol. Mereka menyatakan bahwa ini bukan masalah keamanan yang terkait dengan kontrak cerdas protokol, melainkan Hacker mencoba mencuri dana dengan menggunakan kunci privat agen yang dicuri untuk secara sederhana meningkatkan kontrak cerdas yang ada. Akhirnya, tonykebot berhasil melakukan tindakan penyelamatan sebagai white hat dengan memanfaatkan kekurangan perlindungan dalam implementasi UUPS, dan mengembalikan 1,47 juta USDC yang sebelumnya diperoleh Moby Hacker dari protokol opsi serangan ke pemilik proyek.
(3) 13 Januari, menurut tim keamanan Zero Hour Tech, UniLend di EVM chain diserang, mengalami kerugian sekitar 19.7 ribu dolar AS. Penyebab kerentanan kali ini adalah bahwa Unilend tidak mengurangi jumlah collateral saat melakukan redeem, sehingga mengakibatkan perhitungan yang salah dan jumlah collateral setelahnya lebih tinggi dari jumlah collateral yang sebenarnya dimiliki oleh penyerang, yang seharusnya tidak berhasil ditukar. Akhirnya, ini menyebabkan penyerang menguras token stETH dari pihak proyek.
Analisis serangan rinci dapat diakses melalui tautan ini:
Analisis Serangan Kejadian Unilend oleh Zero Hour Technology
Pada tanggal 15 Januari pukul 12:00, tim proyek Zero Hour Technology melaporkan serangkaian serangan terhadap proyek Sorra di atas rantai Ethereum, yang menyebabkan kerugian sebesar 41.000 USD. Penyebab kerentanan ini adalah karena Sorra tidak memeriksa apakah pengguna telah menarik reward atau tidak ketika melakukan penarikan. Sehingga pengguna dapat menarik reward secara berulang dengan melakukan operasi dalam jumlah besar. Para penyerang menggunakan kerentanan ini untuk melakukan beberapa transaksi dan menarik semua token SOR di dalam proyek Sorra.
Analisis serangan rinci dapat diakses melalui tautan ini:
Analisis Kejadian Serangan SorraStaking oleh Teknologi Sementara
Pada tanggal 21 Januari, Forta menemukan kerentanan senilai $324.000 di TheIdolsNFT.
(6) 23 Januari, dompet panas pertukaran mata uang kripto Phemex yang berbasis di Singapura diserang, menyebabkan kerugian sekitar 70 juta dolar.
(7) Pada tanggal 24 Januari, menurut tim keamanan SlowMist, karena kurangnya validasi input pada ODOS, kerentanan ini telah dieksploitasi di berbagai rantai, dengan kerugian sekitar $100.000. ODOS mengumumkan bahwa serangan ini memanfaatkan kerentanan dalam kontrak executor yang telah diaudit, mencuri pendapatan yang disimpan dalam kontrak, tetapi tidak mempengaruhi dana pengguna apa pun.
( Rug Pull / Phishing Scam
10 Kejadian Keamanan Tipe yang Biasa Terjadi
)1( tanggal 2 Januari, pemegang $VIRTUAL, yang memegang sekitar 39x ($ 196.396) token, kehilangan semua tokennya karena transaksi Phishing "peningkatan batas".
)2### tanggal 3 Januari, pemegang $RLB kehilangan semua token senilai sekitar $1 juta karena tanda tangan Phishing "Uniswap Permit2".
(3) Pada tanggal 6 Januari, alamat yang dimulai dengan 0x5167 kehilangan nilai 155.256 dolar EIGEN setelah melakukan transaksi Phishing "menambahkan insentif".
(4) Pada 7 Januari, alamat yang dimulai dengan 0x8536 kehilangan token senilai $103.020 setelah melakukan transaksi Phishing 'Uniswap Permit2'.
Pada tanggal 8 Januari, alamat yang dimulai dengan 0x3402 kehilangan nilai $OLAS, $SEKOIA, $VIRTUAL, dan $FJO senilai $474,422 setelah menandatangani beberapa tanda tangan Phishing.
Pada tanggal 14 Januari, alamat yang dimulai dengan 0x00c0 kehilangan $VIRTUAL senilai 263.255 dolar setelah menandatangani transaksi Phishing.
(7) Pada 17 Januari, alamat yang dimulai dengan 0x80dc kehilangan nilai 426,106 USUALUSDC+ setelah menandatangani tanda tangan "lisensi" Phishing.
(8) 20 Januari, alamat 0x1e70 kehilangan WETH senilai $135.068 setelah menandatangani tanda tangan Phishing "Izinkan".
(9) Pada 22 Januari, alamat yang dimulai dengan 0x3149 kehilangan $XG senilai 553.045 USD setelah menandatangani transaksi Phishing "transfer".
Pada tanggal 29 Januari, alamat yang dimulai dengan 0xeb2 kehilangan $LINK senilai $384,645 setelah menandatangani transaksi Phishing 'increaseApproval'.
( Ringkasan
Bulan Januari, Phishing Mata Uang Kripto mencuri $10,25 juta dari 9.220 korban, turun 56% dari kerugian $23,58 juta pada bulan Desember. Namun, para pelaku kejahatan terus berkembang dan menggunakan metode serangan yang lebih kompleks.
Tim Keamanan Zero Hour Technology menyarankan pihak proyek untuk selalu waspada, mengingatkan pengguna untuk mewaspadai serangan phishing. Pengguna disarankan untuk sepenuhnya memahami latar belakang dan tim proyek sebelum terlibat dalam proyek, serta memilih investasi dengan hati-hati. Selain itu, pelatihan keamanan internal dan manajemen izin juga perlu dilakukan, dan sebelum proyek diluncurkan, disarankan untuk mencari perusahaan keamanan profesional untuk melakukan audit dan melakukan pengecekan latar belakang proyek.