7 月安全月報 | 私鑰洩露損失約占總損失 88%，超 2.6 億美元

7 月全網累計造成損失約 2.9 億美元 ，因私鑰洩露所造成損失占總損失的88.31%，其中 WazirX 因多簽錢包私鑰洩露，造成約2.35 億美元 的損失，為 7 月最大安全事件。

最大安全事件 - 私鑰洩漏 7 月 18 日，WazirX 多簽錢包私鑰洩露，造成損失約 2.35 億美元。 最大安全事件 - 釣魚詐騙 7 月 24 日，ETH 鏈上地址 0x07…fDC9 損失價值 469 萬美元的 Pendle 重新質押代幣。 最大安全事件 -REKT 7 月 16 日，LiFi Protocol 跨鏈橋聚合協議被攻擊，導致損失約 1 千萬美元，攻擊者利用了任意調用漏洞，可以讓攻擊者盜取授權給這個合約用戶的資產。 最大安全事件 -RugPull 7 月 21 日，ETH TrustFund 發生 RugPull 並在 Base 上竊取了價值約 200 萬美元 的加密貨幣。

案例分析

7 月 15 日，Minterest 在 Mantle 上遭遇了重大的安全事故，並因此造成了約 140 萬美元的損失。目前，其項目團隊已暫停該協議。

流程分析：

1) 從 Mantle DEX 的 USDY/USDT 資金池中閃電貸出 426.5 萬 USDY；

在其回調函數中：共循環又進行了 25 次 FlashLoan \& Redeem Underlying 動作；

2) 從 mUSDY 市場中閃電貸出 39.27 萬 USDY；

在其回調函數中：調用了兩個方法 wrap \& lendRUSDY；

3) 存入 426.5 萬 USDY，按照 share price，換取了 447.3 萬 mUSD；

4) 使用上一步驟獲得的 447.3 萬 mUSD 份額代幣借出了 2,747,677 萬 mUSDY；

步驟一：轉入 447.3 萬 mUSD share token；

步驟二：將 447.3 萬 mUSD unwrap 回 426.5 萬 USDY 放在 mUSDY 市場合約中；

步驟三：轉給用戶 2,747,677 萬 mUSDY；

5) 取回底層 USDY 資產，黑客計算取回 426.5 萬 USDY 需要多少 Redeem Tokens (mUSDY)，發現 Redeem Underlying 時，黑客只需要還回去 2,566,963 萬 mUSDY，如此一來，黑客便可留下 180,714 萬的 mUSDY；

6) 循環以上步驟約 25 次後，黑客獲利約 140 萬美元。

OKLink 小貼士

7 月全網累計造成損失約 2.9 億美元，環比 6 月總損失上升 38.01% ，因私鑰洩露所造成損失占總損失的 88.31%。OKLink 提醒用戶不要向任何人透露你的私鑰或助記詞，也不要通過截屏等形式來保存與記憶，未經驗證的鏈接不要點擊，安全意識是在 Web3 世界中保護自己的重要防線。

Web3 鏈上工具已經成為規避風險重要手段。OKLink 提供地址查詢與監控、鏈上數據播報以及私人標籤設立等工具，多維度的數據對比為每一次操作保駕護航。

同時，OKLink 推出 EaaS （Explorer-as-a-Service，瀏覽器即服務），這是一種可擴展的解決方案，旨在解決項目方面臨的挑戰，提供零成本設置、快速部署、多鏈支持、高級區塊分析和開放 API 等功能。