Звіт за місяць шифрування: втрати від безпеки коштів в січні становили близько 98 мільйонів доларів США, що значно менше порівняно з попередніми місяцями та з аналогічним періодом минулого року
Точка зору на місячні події в галузі кібербезпеки від ZeroTech! Згідно зі статистикою кількох платформ моніторингу ризиків блокчейну, збитки, спричинені помилками, хакерами та шахрайством у січні 2025 року становили приблизно 98 мільйонів доларів США. Відбулося 28 атак Хакерів Криптоактивів, з яких близько 8 мільйонів доларів США припадають на Фішинг. Однак порівняно зі збитками в січні 2024 року в розмірі 133 мільйонів доларів США, це зменшилося на 44,6%. Це також на 56% менше в порівнянні зі збитками в грудні 2024 року в розмірі 23,58 мільйонів доларів США.
Аспекти атаки хакера
Типова подія з безпеки7відбулася
(1) 8 січня користувачі Orange Finance (протокол DeFi на Arbitrum) були позбавлені понад 800 000 доларів США. Зловмисникам вдалося отримати доступ до керуючих ключів цього протоколу та використати їх для зловживання у виконанні шкідливого оновлення контракту цього протоколу, тим самим викрадаючи гаманці всіх користувачів, які мають дійсні токени, схвалені цим протоколом.
(2) 8 січня Moby став свідком витоку приватного ключа, який вплинув на частину активів LP в певних протоколах. Вони заявили, що це не проблема безпеки, пов'язана з розумними контрактами протоколу, а Хакер намагався просто оновити існуючий розумний контракт, використовуючи вкрадений делегований приватний ключ, щоб вкрасти кошти. Нарешті, tonykebot успішно впровадив білу шапку, використовуючи недостатньо захищену реалізацію UUPS, і повернув 1,47 мільйонів USDC, отриманих Хакером від попередньої атаки на опційний протокол Moby, власнику проекту.
(3) 13 січня, за даними команди з безпеки Zero Hour Technology, UniLend на EVM ланцюжку став жертвою атаки з втратами приблизно 197 тисяч доларів США. Причиною цього вразливості є те, що при виконанні процесу redeem Unilend не віднімає кількість монет, яку має бути переказано при викупі, що призводить до неправильного розрахунку кількості забезпечення, яка виявляється більшою, ніж насправді має атакуюча сторона. В результаті атакуючий викрав токени stETH від команди проекту.
Детальний аналіз атаки доступний за посиланням:
Аналіз події атаки на ZeroTech || Unilend
(4) 15 січня команда проекту Zero Hour виявила кілька атак на проекти, що працюють на ланцюгу Ethereum, зокрема на проект Sorra, в результаті яких збитки склали 41 000 доларів США. Причиною цього вразливості стало те, що команда проекту Sorra не перевіряла, чи користувач вже вивів свою винагороду при виведенні коштів, що дозволило користувачам безліч разів повторно вивести винагороду. Зловмисники використали цю вразливість для проведення кількох транзакцій та повного виведення токенів SOR з проекту Sorra.
Детальний аналіз атаки доступний за посиланням:
Аналіз події атаки SorraStaking від Zero Tech
(5) 21 січня Forta виявила уразливість на TheIdolsNFT, вартістю 324 тис. доларів США.
(6) 23 січня гарячий гаманець Криптоактиви біржі Phemex, що базується в Сінгапурі, був атакований, що призвело до збитків приблизно 70 мільйонів доларів.
(7) 24 січня за даними команди безпеки SlowMist, через відсутність перевірки введення у ODOS ця вразливість вже була використана на кількох ланцюжках, завдаючи збитків приблизно 100 тисяч доларів. ODOS випустив заяву, в якій зазначив, що цей напад використовував вразливість в його перевіреному контракті виконавця, що призвело до крадіжки доходу, збереженого в контракті, але не вплинуло на будь-які користувацькі кошти.
Rug Pull / Фішинг
Типові події з безпеки10випадків
(1) 2 січня один власник $VIRTUAL утримував близько 39 разів (196,396 доларів) токенів, втративши всі токени через "збільшення ліміту" Фішинг торгівлю.
(2) 3 січня власник $RLB втратив всі токени на суму приблизно 1 мільйон доларів через втрату підпису "Uniswap Permit2" Фішинг.
6 січня (3) року адреса, яка починалася з 0x5167, втратила EIGEN на суму 155 256 доларів США після підписання транзакції «Збільшення надбавки».
(4) 7 січня адреса, яка починається з 0x8536, зазнала втрат на суму 103 020 доларів США після укладення угоди про "Uniswap Permit2" Фішинг.
(5) 8 січня адреса, яка починається з 0x3402, втратила вартість 474,422 доларів США в $OLAS, $SEKOIA, $VIRTUAL та $FJO після підписання кількох фішингових підписів.
(6) 14 січня адреса, яка починається з 0x00c0, втратила значення 263,255 доларів у $VIRTUAL після підписання шахрайської угоди.
(7) У січні 17 року адреса, що починається з 0x80dc, втратила 426,106 доларів США в криптовалюті USUALUSDC+ після підписання "ліцензії" Фішинг підпису.
(8) 20 січня адреса, яка починається з 0x1e70, втратила вартість у 135,068 доларів США WETH після підписання "дозволу" на Фішинг.
(9) 22 січня адреса, що починається з 0x3149, втратила $XG на суму 553,045 доларів США після підписання транзакції фішингу "переказ".
1月29日,0xeb2 адреса почала підписувати "increaseApproval" phishing угоди після чого втратила 384,645 доларів США вартості $LINK.
( Загальний висновок
У січні шахраї-хакери, які займаються фішингом криптовалют, вкрали 10,25 мільйонів доларів з 9 220 постраждалих, що на 56% менше, ніж у грудні, коли злочинці вкрали 23,58 мільйона доларів. Однак злочинці постійно еволюціонують і використовують більш складні методи нападу.
Команда з безпеки технологій Zero Time рекомендує проєктам завжди залишатися бджолиними, нагадувати користувачам про обережність щодо атаки на рибалку. Рекомендується користувачам ретельно вивчити фон проєкту, команду перед участю в проєкті та обережно вибирати інвестиційні проєкти. Крім того, слід надати належну внутрішню навчальну програму з безпеки та управління правами, знайти перед запуском проєкту професійну компанію з безпеки для аудиту та провести дослідження фону проєкту.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Звіт за місяць шифрування: втрати від безпеки коштів в січні становили близько 98 мільйонів доларів США, що значно менше порівняно з попередніми місяцями та з аналогічним періодом минулого року
Точка зору на місячні події в галузі кібербезпеки від ZeroTech! Згідно зі статистикою кількох платформ моніторингу ризиків блокчейну, збитки, спричинені помилками, хакерами та шахрайством у січні 2025 року становили приблизно 98 мільйонів доларів США. Відбулося 28 атак Хакерів Криптоактивів, з яких близько 8 мільйонів доларів США припадають на Фішинг. Однак порівняно зі збитками в січні 2024 року в розмірі 133 мільйонів доларів США, це зменшилося на 44,6%. Це також на 56% менше в порівнянні зі збитками в грудні 2024 року в розмірі 23,58 мільйонів доларів США.
Аспекти атаки хакера
Типова подія з безпеки7 відбулася
(1) 8 січня користувачі Orange Finance (протокол DeFi на Arbitrum) були позбавлені понад 800 000 доларів США. Зловмисникам вдалося отримати доступ до керуючих ключів цього протоколу та використати їх для зловживання у виконанні шкідливого оновлення контракту цього протоколу, тим самим викрадаючи гаманці всіх користувачів, які мають дійсні токени, схвалені цим протоколом.
(2) 8 січня Moby став свідком витоку приватного ключа, який вплинув на частину активів LP в певних протоколах. Вони заявили, що це не проблема безпеки, пов'язана з розумними контрактами протоколу, а Хакер намагався просто оновити існуючий розумний контракт, використовуючи вкрадений делегований приватний ключ, щоб вкрасти кошти. Нарешті, tonykebot успішно впровадив білу шапку, використовуючи недостатньо захищену реалізацію UUPS, і повернув 1,47 мільйонів USDC, отриманих Хакером від попередньої атаки на опційний протокол Moby, власнику проекту.
(3) 13 січня, за даними команди з безпеки Zero Hour Technology, UniLend на EVM ланцюжку став жертвою атаки з втратами приблизно 197 тисяч доларів США. Причиною цього вразливості є те, що при виконанні процесу redeem Unilend не віднімає кількість монет, яку має бути переказано при викупі, що призводить до неправильного розрахунку кількості забезпечення, яка виявляється більшою, ніж насправді має атакуюча сторона. В результаті атакуючий викрав токени stETH від команди проекту.
Детальний аналіз атаки доступний за посиланням:
Аналіз події атаки на ZeroTech || Unilend
(4) 15 січня команда проекту Zero Hour виявила кілька атак на проекти, що працюють на ланцюгу Ethereum, зокрема на проект Sorra, в результаті яких збитки склали 41 000 доларів США. Причиною цього вразливості стало те, що команда проекту Sorra не перевіряла, чи користувач вже вивів свою винагороду при виведенні коштів, що дозволило користувачам безліч разів повторно вивести винагороду. Зловмисники використали цю вразливість для проведення кількох транзакцій та повного виведення токенів SOR з проекту Sorra.
Детальний аналіз атаки доступний за посиланням:
Аналіз події атаки SorraStaking від Zero Tech
(5) 21 січня Forta виявила уразливість на TheIdolsNFT, вартістю 324 тис. доларів США.
! Щомісячний звіт про криптовалюту: Втрата безпеки фонду в січні склала близько 98 мільйонів доларів США, різке зниження в річному обчисленні та щомісячному обчисленні
(6) 23 січня гарячий гаманець Криптоактиви біржі Phemex, що базується в Сінгапурі, був атакований, що призвело до збитків приблизно 70 мільйонів доларів.
! Щомісячний звіт про криптовалюту: Втрата безпеки фонду в січні склала близько 98 мільйонів доларів США, що є значним зниженням у річному обчисленні та щомісячному обчисленні
(7) 24 січня за даними команди безпеки SlowMist, через відсутність перевірки введення у ODOS ця вразливість вже була використана на кількох ланцюжках, завдаючи збитків приблизно 100 тисяч доларів. ODOS випустив заяву, в якій зазначив, що цей напад використовував вразливість в його перевіреному контракті виконавця, що призвело до крадіжки доходу, збереженого в контракті, але не вплинуло на будь-які користувацькі кошти.
Rug Pull / Фішинг
Типові події з безпеки10випадків
(1) 2 січня один власник $VIRTUAL утримував близько 39 разів (196,396 доларів) токенів, втративши всі токени через "збільшення ліміту" Фішинг торгівлю.
(2) 3 січня власник $RLB втратив всі токени на суму приблизно 1 мільйон доларів через втрату підпису "Uniswap Permit2" Фішинг.
6 січня (3) року адреса, яка починалася з 0x5167, втратила EIGEN на суму 155 256 доларів США після підписання транзакції «Збільшення надбавки».
(4) 7 січня адреса, яка починається з 0x8536, зазнала втрат на суму 103 020 доларів США після укладення угоди про "Uniswap Permit2" Фішинг.
(5) 8 січня адреса, яка починається з 0x3402, втратила вартість 474,422 доларів США в $OLAS, $SEKOIA, $VIRTUAL та $FJO після підписання кількох фішингових підписів.
(6) 14 січня адреса, яка починається з 0x00c0, втратила значення 263,255 доларів у $VIRTUAL після підписання шахрайської угоди.
(7) У січні 17 року адреса, що починається з 0x80dc, втратила 426,106 доларів США в криптовалюті USUALUSDC+ після підписання "ліцензії" Фішинг підпису.
(8) 20 січня адреса, яка починається з 0x1e70, втратила вартість у 135,068 доларів США WETH після підписання "дозволу" на Фішинг.
(9) 22 січня адреса, що починається з 0x3149, втратила $XG на суму 553,045 доларів США після підписання транзакції фішингу "переказ".
1月29日,0xeb2 адреса почала підписувати "increaseApproval" phishing угоди після чого втратила 384,645 доларів США вартості $LINK.
( Загальний висновок
У січні шахраї-хакери, які займаються фішингом криптовалют, вкрали 10,25 мільйонів доларів з 9 220 постраждалих, що на 56% менше, ніж у грудні, коли злочинці вкрали 23,58 мільйона доларів. Однак злочинці постійно еволюціонують і використовують більш складні методи нападу.
Команда з безпеки технологій Zero Time рекомендує проєктам завжди залишатися бджолиними, нагадувати користувачам про обережність щодо атаки на рибалку. Рекомендується користувачам ретельно вивчити фон проєкту, команду перед участю в проєкті та обережно вибирати інвестиційні проєкти. Крім того, слід надати належну внутрішню навчальну програму з безпеки та управління правами, знайти перед запуском проєкту професійну компанію з безпеки для аудиту та провести дослідження фону проєкту.