4 月安全月报：全网链上总损失环比 3 月下降 42.11%

安全意识是您在 Web3 世界中最强大的护盾，也是您保护数字资产的第一道防线。
OKLink 作为您的安全第一站，提供 40+ 头部区块链浏览器，为用户提供一站式查询入口。
与此同时，地址监控、代币授权查询、地址健康度等工具，全方位助力用户以安全的姿态畅行 Web3。详见 https://www.oklink.com/zh-hans/tools?channelId=wx0001

1、本月全网累计造成损失约 1.1 亿美元，环比 3 月下降 42.11%。

2、官方社媒遭受诈骗与钓鱼事件共计 32 起，其损失占比 7.67%。其主要集中在 X、Discord 及各类钓鱼网站等渠道。

3、REKT 和 RugPull 事件损失分别占比 43.90% 和 44.07%，其他安全事件损失事件占比 4.36%。

案例分析：

4 月 19 日 Hedgey Finance 在以太坊和 Arbitrum 上存在重大安全漏洞，损失约 4470 万美元。黑客利用了一个缺乏用户输入验证的漏洞，获得了易受攻击合约的授权，从而窃取了合约中的资产。该事件成为4月损失最大REKT安全事件。

攻击流程：

攻击交易：https://www.oklink.com/cn/eth/tx/0xa17fdb804728f226fcd10e78eae5247abd984e0f03301312315b89cae25aa517

1) 从 Balancer 闪电贷 130 万USDC；

2) 通过 createLockedCampaign() 将 130 万 USDC 存入 ClaimCampaigns 合约；

3) 由于输入验证的缺失，ClaimCampaigns 合约错误地对恶意地址进行了 130 万 USDC 的授权；

4) 通过 cancelCampaign() 将存入的 130 万 USDC 取回。至此，攻击者获得了合约 130 万 USDC 的授权，攻击者可以在随后的攻击交易中将合约中的 130 万 USDC 盗走；

5) 偿还闪电贷；

https://www.oklink.com/cn/eth/tx/0x2606d459a50ca4920722a111745c2eeced1d8a01ff25ee762e22d5d4b1595739

6) 利用获得的授权从 ClaimCampaigns 合约中窃取 130 万 USDC。

问题代码

https://etherscan.deth.net/address/0xbc452fdc8f851d7c5b72e1fe74dfb63bb793d511

4月RugPull损失最大安全事件

4 月 21 日，加密博彩平台 ZKasino 发生 Rugpull，造成的损失约 3300 万美元。

OKLink安全贴士

本月的安全事件造成的损失相较上月有所减少，但仍有许多私钥泄漏导致资损的案例，请务必避免向任何人透露您的私钥或助记词，也不要以截图的方式存储它们。此外，下载软件时务必保持谨慎，以免设备受到木马的侵害，导致私钥或助记词泄漏。对那些声称能提供异常高回报的项目要保持怀疑态度，并在考虑投资前进行充分的项目和团队调研。