tp钱包苹果版本1 | 什么是「社会工程学攻击」？解构Concentric.Fi安全事件 | Web3世界

所谓社会工程学攻击，是指攻击者通过与被攻击者的正常交流，骗取其信任，对其心理造成影响后泄漏机密或者作出某些行为，以达到攻击者的目的。

1 月 22 日，Concentric.fi 遭到攻击，损失超过 185 万美元。Concentric 在其官方社交账号宣布，此次攻击是一次有针对性的「社会工程学攻击」。

所谓社会工程学攻击，是指攻击者通过与被攻击者的正常交流，骗取其信任，对其心理造成影响后泄漏机密或者作出某些行为，以达到攻击者的目的。

在针对 Concentric 的攻击中，其团队一名合约管理员钱包被泄露。攻击者控制该钱包后，恶意升级了 Concentric 的金库合约，导致流动性池以及 Concentric 的用户遭受损失。

2024 年 1 月 22 日，Concentric 在其 X 账号上发布警告称，他们可能遭遇了安全事件。

CertiK 安全团队立刻展开调查。在研究其合约地址活动的过程中，我们发现了一个可疑的钱包地址，该钱包反复铸造 CONE-1 LP 并将其销毁，以此从 Concentric 的流动性池中提取资金。

Concentric 团队随后宣布，此次事件是由于他们的一个管理员钱包的私钥泄露造成的。该钱包将其所有权转移到了 0x3F06 开头的地址，后者则将 Concentric 的流动池代码升级为可被攻击者控制的恶意合约。

借助升级后的恶意合约，攻击者能够铸造大量 LP 代币并提取相对应的 ERC-20 代币。ERC-20 代币最终被换成了 ETH，并被转移到了以下 3 个钱包中。这些钱包都与以前发生过的攻击事件有关：

② 0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d( 在 Etherscan 上被标注为「OKX Exploiter 2」)

此外，合约 0xc62A25462A61f02EBAB35Cd39C5E9651426e760b 还能窃取用户在 Concentric 上授权的资金。被盗资金被换成 ETH，并转入了 0x5c0e 开头地址，截稿时，通过此种方式被盗的资金超过 15 万美元。而两种方式造成的损失总计超过 185 万美元。

此次攻击之前，攻击者地址的原始资金来自 2023 年早些时候 UnoRe 攻击事件的关联钱包地址。而在完成攻击后，Concentric 的攻击者则将盗取资金转移至之前 OKX 攻击相关的钱包地址。

2023 年 12 月 13 日，一个已废弃的 OKX DEX 做市商合约被黑客控制，通过升级授权盗取资产，造成约 270 万美元损失。该事件中的攻击者被认为与 Lunafi,、Uno Re、RVLT 等多起攻击事件相关。

① 首先，Concentric Deployer 地址（0xeaf6 开头）遭到入侵。攻击者利用访问权限将合约所有权转移到 0x3F06 开头地址。

③ 完成合约升级后，攻击者可以调用 adminMint()，从每个流动性池中提取 CONE-1，然后再调用 burn() 将 CONE-1 换成相应的底层资产。

④ 接下来，攻击者创建了第二个合约，允许用户向流动性池转移已授权资产，并从流动性池将指定资产转走。0xc62a 和 0x3F06 均由攻击者控制。

⑤ 0x105f 开头地址将盗来资产换为 715 个 ETH，分别转移至三个钱包。其中 300 个 ETH 被发送到的钱包地址被确认与之前的 OKX 攻击事件相关。

除此之外，0xc62a 开头地址还向 0x5c0E945Fc1c83D8d10E9c6366E2cBC5241532AEc 发送了 65.4 个 ETH，使损失总额略高于 780 个 ETH，约合 185 万美元。

以往我们常常有所防备的是攻击者利用钓鱼和社会工程学策略控制个人资产，但同样的手段也同样可以控制项目的所有权。

2024 年 1 月，网络钓鱼和私钥泄露造成的损失已达 1.7 亿美元，占 1 月份总损失的近 90%。这其中，最严重的事件莫过于 Chris Larsen 的私人账户被盗，造成约 1.125 亿美元的损失。Concentric 的此次事件再次证明，若不加以防范，传统社会工程学攻击对 Web3.0 生态项目安全将带来毁灭性的影响。

Push Protocol 是一款 Web3 的去中心化通信协议，它使任何智能合约、dApp 甚至传统服务都可以向钱包地址发送通知，当然前提是这些钱包地址选择接收这些渠道的消息，它可以应用于 Web3 的全场景中，包括 DeFi 的资产清算、ens 的域名到期包括媒体的新闻推送等，目前已经为 6 万的订阅者发送了 1770 万条消息，是去中心化通讯赛道的头部项目。

去年下半年，即便整个加密市场处在深熊困境当中，但 Arbitrum 生态代表项目 GMX 和 Treasure DAO 依然逆势增长，无论是用户数据还是 Token 市场表现都可圈可点，引人注目。

Consensys 和 YouGov 一起做了一项关于加密和 Web3 的全球调查，旨在了解全球不同地区对加密和 Web3 的看法和见解。该调查除了人们对加密资产投资的典型问题，还探讨了数据隐私、数字所有权和最近的加密新闻周期等主题。本报告采访了北美和南美，欧洲，非洲和亚洲 15 个国家的 15158 名 18 至 65 岁的人，以形成调查结果。