11 月 Web3 安全事件盤點:總損失約 8,624 萬美元
2024 年 11 月共發生 21 起被黑事件,導致損失約 7,686 萬美元,有 2,550 萬美元得到返還,事件原因涉及合約漏洞、帳號被黑和價格操縱等。此外,本月有 9,208 名釣魚事件受害者,損失規模達 938 萬美元。
作者:慢霧安全團隊
概覽
2024 年 11 月,Web3 安全事件總損失約 8,624 萬美元。其中,據慢霧區塊鏈被黑檔案庫 (https://hacked.slowmist.io) 統計,共發生 21 起被黑事件,導致損失約 7,686 萬美元,有 2,550 萬美元得到返還,事件原因涉及合約漏洞、帳號被黑和價格操縱等。此外,據 Web3 反詐騙平台 Scam Sniffer 統計,本月有 9,208 名釣魚事件受害者,損失規模達 938 萬美元。
(https://dune.com/scam-sniffer/november-scam-sniffer-2024-phishing-report)
安全大事件
MetaWin
2024 年 11 月 4 日,據鏈上偵探 ZachXBT 監測,加密博彩平台 MetaWin 疑似遭攻擊,在 Ethereum 和 Solana 鏈上被盜取 400 多萬美元。據 MetaWin CEO Skel 表示,攻擊者是通過平台的 frictionless withdrawal 系統入侵了 MetaWin 的熱錢包。
DeltaPrime
2024 年 11 月 11 日,DeFi 協議 DeltaPrime 在 Avalanche 和 Arbitrum 上被攻擊,DeltaPrime 初步估計損失為 475 萬美元。此次攻擊的根本原因在於獎勵領取功能缺乏輸入驗證。
(https://x.com/DeltaPrimeDefi/status/1855899502944903195)
Thala
2024 年 11 月 15 日,基於 Aptos 的 DeFi 項目 Thala 遭攻擊,導致 2,550 萬美元被盜,攻擊者利用了其智能合約中的漏洞。項目方暫停了相關智能合約並凍結了部分代幣,最終成功凍結約 1,150 萬美元的資產。在與執法部門和多個區塊鏈安全團隊合作後,項目方成功協商追回了資產,並允許攻擊者保留 30 萬美元作為賞金。
(https://x.com/thalalabs/status/1857703541089120541?s=46\&t=bcMyidYO0QkS5ajIW9CBdg)
DEXX
2024 年 11 月 16 日,鏈上交易終端 DEXX 的多名用戶資金被盜。據慢霧安全團隊統計,此次事件的損失規模已達 2,100 萬美元。目前,慢霧安全團隊在協助 DEXX 官方及合作夥伴持續進行分析。11 月 28 日,慢霧安全團隊公布已收集到的 Solana 鏈上 8,612 個 DEXX 攻擊者地址,EVM 鏈上的攻擊者地址也將在清洗統計完成後公開。
(https://x.com/MistTrack_io/status/1862134946090881368)
Polter Finance
2024 年 11 月 17 日,基於 Fantom 的 DeFi 項目 Polter Finance 遭攻擊,損失約 1,200 萬美元。攻擊者通過閃電貸耗盡了 BOO 的代幣儲備,人為抬高了 BOO 的計算價格。這使其能夠借出遠超抵押品實際價值的代幣,從而獲得了巨額利潤。該平台的創始人表示,他們已向新加坡當局提交了報告,並嘗試通過鏈上消息與攻擊者聯繫以協商歸還資金,但尚未收到回應。
(https://x.com/polterfinance/status/1857971122043551898)
特徵分析及安全建議
本月安全事件數和損失規模相較上月有明顯下降,這一變化在一定程度上反映了行業對安全防護措施的持續改進。值得注意的是,無論從攻擊原因分佈還是導致的損失規模來看,合約漏洞都為占比最高的一項。本月發生的 7 起合約漏洞利用事件造成了約 3,000 萬美元的損失,占總損失的 39%,慢霧安全團隊建議項目方始終保持警惕並定期進行全面的安全審計,跟蹤和解決新的安全威脅和漏洞,保護項目和資產安全。
此外,慢霧安全團隊注意到,本月發生了針對 Crypto 行業的 AI 投毒真實攻擊案例。這一現象表明,供應鏈攻擊的目標範圍正進一步擴大。一些開發者在追求效率的同時,可能過於依賴 AI 生成的代碼,而忽視了對代碼安全性的審查。因此,慢霧安全團隊提醒開發者和項目方,在使用 AI 生成代碼時,切勿盲目信任輸出結果。所有代碼在投入實際使用前,都應經過嚴格的安全審計與測試,以防範安全隱患,保護項目及用戶的資產安全。與此同時,項目方還應加強供應鏈整體的安全管理,對第三方工具和服務進行全面評估,並持續關注相關領域的安全動態,以及時應對新型威脅。
免責聲明:文章中的所有內容僅代表作者的觀點,與本平台無關。用戶不應以本文作為投資決策的參考。
您也可能喜歡
CoinGecko:31 年,Memecoin 佔加密貨幣敘事的 2024%,佔投資者總興趣的三分之一
簡單來說 CoinGecko 的報告強調,2024 年加密貨幣的主導趨勢是 memecoin 敘事,吸引了 30.67% 的興趣,表明總興趣的三分之一集中在投機機會。
Analog 啟動主網,計劃在 TGE 之前推出核心功能
簡單來說 Analog 推出主網,計劃在 TGE 之前引入提名權益證明共識機制、跨鏈訊息傳遞、跨鏈資料查詢等功能。
QCP Capital:比特幣漲勢因 Mt. Gox 拋售和 ETF 流出而失敗,市場為波動做好準備
簡單來說 QCP Capital 指出,隨著週五大到期日的臨近,市場似乎已經做好了應對潛在波動的準備,波動性利差有所上升,表明市場尚未穩定下來。
Solv Protocol 在主網上推出 BTC 質押,為賺取收益創建安全且可擴展的基礎設施
簡單來說 Solv Protocol 使用其主網質押解決方案啟用了比特幣質押,創建了一個安全且可擴展的基礎設施,使 BTC 持有者能夠賺取收益,同時保持比特幣架構的完整性。