Отчет о данных безопасности Web3 от GoPlus за ноябрь

11月，Web3 из-за основных инцидентов безопасности понес экономические убытки в размере 183,981,395 долларов. Типы инцидентов безопасности включают уязвимости смарт-контрактов, атаки социального инжиниринга, фишинг, пирамида, Rugpull и т. д.

Эксплуатация

11月，Эксплуатация (включая атаки на контракты, мошенничество с социальным инжинирингом, утечка закрытых ключей и т. д.) из-за 15 основных событий, привела к убыткам в размере $175,031,395. Типичные события включают:

3 ноября, Balancer (@Balancer) подвергся атаке из-за уязвимости в расчетах бизнес-логики смарт-контрактов, убытки составили более 1.28 миллиарда долларов, включая активы WETH, osETH и wstETH, предположительно, это работа хакеров из Северной Кореи.

4 ноября, @VenusProtocol (BSC) @TakaraLend (SEI) @MoonwellDeFi (Base) @orbiterone (MoonbeamNetwork) и несколько других кредитных рынков подверглись атаке "отклонение цен от оракула", общие убытки составили более 2 миллионов долларов США

20 ноября, GANA PayFi (@GANA_PayFi) подверглась атаке, на #BSC было потеряно около 3.15 миллионов долларов BUSD, что привело к падению цены токена $GANA более чем на 90%.

7 ноября, крупнейшая криптовалютная биржа Кореи Upbit (@Official_Upbit) потеряла средства из горячего кошелька, на #Solana было украдено около 54 миллиардов вон (36.8 миллиона долларов США), украденные активы включают 24 криптоактива, такие как SOL, USDC, DOOD, SONIC, SOON и TRUMP.

30 ноября, смарт-контракт yETH LST Yearn (@yearnfi) был атакован из-за уязвимости в бизнес-вычислениях, на #Ethereum было потеряно около 9 миллионов долларов, из которых 2.4 миллиона долларов были спасены.

Фишинг

В ноябре из-за фишинговых атак общие убытки составили около 8 миллионов долларов, количество пострадавших около 7000 человек.

7 ноября, один пользователь потерял около $1.22M USDC и aPlaUSDT0 из-за подписания вредоносного разрешения "permit".

24 ноября, один пользователь потерял около $838K PT-LP tUSDe из-за подписания вредоносного разрешения "approve".

Злоумышленники использовали "фишинг как услуга (Phishing-as-a-Service)" и технологии ИИ, значительно снизившие стоимость создания фишинговых сайтов, проводя широкомасштабные фишинговые атаки на различные экосистемы.

Пользователи должны развивать осознанность и привычки безопасности с нулевым доверием. Помните об основных принципах защиты от фишинга от #GoPlus — не нажимать, не устанавливать, не подписывать, не переводить: не нажимайте на незнакомые ссылки, не устанавливайте незнакомое ПО, (кошелек) не подписывайте непонятные сделки, не переводите средства на непроверенные адреса.

Одновременно установите плагин безопасности GoPlus, который в реальном времени перехватывает фишинговые ссылки, рискованные подписи, авторизации и транзакции.

HoneyPot & Scam

В ноябре на ETH, Base, BSC было обнаружено 836 новых токенов пийся (HoneyPot), что меньше по сравнению с октябрём, среди них:

Количество новых токенов пийся на ETH: 21

Количество новых токенов пийся на Base: 115

Количество новых токенов пийся на BSC: 710

21 ноября, GoPlus раскрыла истинную мошенническую схему "фабрики пийся". Мошенники через: массовое создание токенов → добавление ликвидности → запуск поддельных активных транзакций → манипуляция ценой → опустошение ликвидности, в среднем за десятки минут до получаса собирали урожай, в ноябре было развернуто более 700 токенов пийся, прибыль составила более 100 тысяч долларов.