Relatório de dados de segurança Web3 da GoPlus em novembro

Em novembro, as perdas econômicas causadas por principais acidentes de segurança na Web3 totalizaram 183,981,395 dólares. Os tipos de eventos de segurança incluem vulnerabilidades em contratos inteligentes, ataques de engenharia social, ataques de phishing, esquemas Ponzi, Rugpull, entre outros.

Exploit

Novembro, Exploit (incluindo ataques a contratos, fraudes de engenharia social, vazamentos de chaves privadas, etc.) causou uma perda de $175,031,395 devido a 15 eventos principais. Eventos típicos incluem:

Em 3 de novembro, o Balancer (@Balancer) foi atacado devido a uma vulnerabilidade no cálculo de negócios de contratos inteligentes, resultando em perdas superiores a 128 milhões de dólares, incluindo ativos como WETH, osETH e wstETH, supostamente por hackers da Coreia do Norte

4 de novembro, @VenusProtocol (BSC) @TakaraLend (SEI) @MoonwellDeFi (Base) @orbiterone (MoonbeamNetwork) e vários mercados de empréstimo sofreram ataques de "desvinculação de preços de oráculos", com perdas totais superiores a 2 milhões de dólares.

20 de novembro, GANA PayFi (@GANA_PayFi) sofreu um ataque, resultando em uma perda de cerca de 3,15 milhões de dólares em BUSD na #BSC, e o preço do token $GANA caiu mais de 90%.

7 de novembro, a maior exchange de criptomoedas da Coreia, Upbit (@Official_Upbit), teve sua carteira quente roubada, com cerca de 54 bilhões de won (36,8 milhões de dólares) sendo roubados na #Solana, incluindo 24 ativos criptográficos como SOL, USDC, DOOD, SONIC, SOON e TRUMP.

30 de novembro, o contrato inteligente yETH LST do Yearn (@yearnfi) foi atacado devido a uma falha de cálculo de negócios, resultando em perdas de cerca de 9 milhões de dólares na #Ethereum, dos quais 2,4 milhões foram recuperados.

Phishing

Em novembro, devido a ataques de phishing, as perdas totais foram de cerca de 8 milhões de dólares, com aproximadamente 7.000 vítimas.

7 de novembro, um usuário perdeu cerca de $1.22M em USDC e aPlaUSDT0 devido à assinatura de uma autorização maliciosa "permit".

24 de novembro, um usuário perdeu cerca de $838K em PT-LP tUSDe devido à assinatura de uma autorização maliciosa "approve".

Os atacantes utilizaram "Phishing-as-a-Service" e tecnologia de IA, reduzindo significativamente o custo de criação de sites de phishing e realizando ataques de phishing em larga escala em várias comunidades ecológicas.

Para os usuários, é essencial cultivar uma consciência e hábitos de segurança de zero confiança. Lembre-se do princípio "quatro não" da GoPlus contra phishing — não clique, não instale, não assine, não transfira: não clique em links desconhecidos, não instale softwares de origem duvidosa, não assine transações de conteúdo desconhecido (carteira), não transfira para endereços não verificados.

Ao mesmo tempo, instale o plugin de segurança GoPlus para interceptar em tempo real links de phishing, assinaturas de risco, autorizações e transações.

HoneyPot & Scam

Em novembro, foram monitorados 836 novos tokens de Pi Xiu (HoneyPot) na ETH, Base e BSC, uma redução em relação a outubro, onde:

Número de novos tokens de Pi Xiu na ETH: 21

Número de novos tokens de Pi Xiu na Base: 115

Número de novos tokens de Pi Xiu na BSC: 710

21 de novembro, GoPlus revelou o verdadeiro modelo de fraude "fábrica de Pi Xiu". Os fraudadores criam tokens em massa → adicionam liquidez → lançam transações ativas falsas → manipulam o mercado → esvaziam a liquidez, colhendo em média a cada dez minutos a meia hora. Mais de 700 tokens de Pi Xiu foram implantados em novembro, gerando lucros superiores a cem mil dólares.