每月動態| Web3 安全事件總損失約4.04 億美元

概覽

根據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io) 統計,2024 年2 月,共發生安全事件28 起,總損失約4.04 億美元,原因涉及合約漏洞、DDoS 攻擊、閃電貸攻擊、私鑰外洩和帳號被盜等。

主要事件

Phantom

2024 年2 月2 日,加密錢包Phantom 表示遭DDoS 攻擊,有人試圖過載其係統,部分服務可能會暫時中斷,用戶資產安全。隨後,Phantom 在推特上發文表示,所有服務已恢復正常並再次順利運作。

(https://twitter.com/phantom/status/1753100432145318116)

Starlay Finance

2024 年2 月8 日,Polkadot 生態的借貸協議Starlay Finance 遭攻擊,損失約210 萬美元。 2 月9 日,Starlay Finance 推舉初步分析表明,這次攻擊是由於流動性指數計算錯誤被利用,導致未經授權的提款。

(https://twitter.com/starlay_fi/status/1755856271184654360)

PlayDapp

2024 年2 月10 日,區塊鏈遊戲平台PlayDapp 遭攻擊,駭客的地址被加入為鑄幣者,鑄造2 億枚PLA 代幣(約3,650 萬美元)。事件發生後不久,PlayDapp 透過鏈上交易給駭客發送訊息,要求歸還被盜資金並提供100 萬美元白帽獎勵,但最終談判失敗。 2 月12 日,PlayDapp 遭二次攻擊,駭客又鑄造了15.9 億枚PLA 代幣(約2.539 億美元)並開始透過加密貨幣交易平台轉移。根據統計,駭客攻擊導致約2.9 億美元的損失。

(https://twitter.com/playdapp_io/status/1756060784692736038)

Duelbits

2024 年2 月14 日,加密博弈平台Duelbits 的熱錢包遭攻擊,損失約460 萬美元,被竊原因疑為私鑰外洩。

(https://twitter.com/Duelbits/status/1758159495807541459)

FixedFloat

2024 年2 月17 日,根據鏈上數據,加密貨幣交易平台FixedFloat 遭攻擊,損失約2,610 萬美元的比特幣和以太坊。 FixedFloat 針對此攻擊事件澄清:這次駭客攻擊是由於安全結構中的漏洞引起的外部攻擊,並不是由員工所實施,用戶資金並未受到「外部攻擊」的影響。 2 月18 日,FixedFloat 在推特表示:「確認確實存在駭客攻擊和資金被盜的情況,我們尚未準備好就此事發表公開評論,因為我們正在努力消除所有潛在的漏洞、提高安全性並進行調查。FixedFloat 的服務將很快恢復,稍後將提供有關此事件的詳細信息。”

(https://twitter.com/FixedFloat/status/1759216185185288653?s=20)

Blueberry Protocol

2024 年2 月22 日,DeFi 借貸協議Blueberry Protocol 遭攻擊,損失約457.7 ETH (約135 萬美元),該攻擊被一位白帽駭客c0ffeebabe.eth 攔截,366 ETH 被返還給了Blueberry Protocol。根據Blueberry Protocol 的事件分析報告顯示,攻擊是由於預言機部署錯誤導致。

(https://medium.com/@blueberryprotocol/2-22-24-exploit-post-mortem-6f6be7c1dcc3)

BitForex

2024 年2 月23 日,總部位於香港的BitForex 加密貨幣交易平台疑跑路,其在多個區塊鏈上發生約5,650 萬美元的可疑資金外流後關閉了平台的存取權限。鏈上偵探ZachXBT 最先註意到了該交易所的提款異動,他指出,該交易平台已停止處理提款,並且沒有回覆客戶。該公司於2023 年中因無證經營在日本面臨監管審查,並被指控誇大交易量。其執行長於一月辭職,承諾將由新團隊接任。

(https://twitter.com/zachxbt/status/1762028433574650347)

Jihoz

2024 年2 月23 日,Axie Infinity 聯合創始人Jihoz 在推特上發文表示:個人的兩個地址已洩露。此次攻擊的範圍僅為其個人帳戶,與Ronin 鏈的驗證或運作無關。此外,洩漏的密鑰與Sky Mavis 的營運無關。他想向大家保證,已對所有連鎖相關活動採取了嚴格的安全措施。據統計,此次攻擊導致約1000 萬美元的損失。

(https://twitter.com/Jihoz_Axie/status/1760845078757511562)

Seneca

2024 年2 月28 日,全鏈CDP 協定Seneca 因合約漏洞遭駭客攻擊。駭客利用建構的calldata 參數,呼叫transferfrom,將授權到該專案合約的代幣轉移到自己的地址上,最後兌換為ETH。 Seneca 被駭客盜走超1900 枚ETH,價值約650 萬美元。 2 月29 日,Seneca 駭客將1,537 枚ETH(約530 萬美元)返還到Seneca 部署者地址。

(https://twitter.com/SlowMist_Team/status/1762865505042645010)

Shido Network

2024 年2 月29 日,Ethereum 鏈上去中心化的跨鏈協定Shido Network 疑跑路。 SHIDO 代幣質押合約的所有者首先升級了質押合約,然後提取了大量的SHIDO,最後以692 枚ETH(約210 萬美元)的價格拋售了大量的SHIDO。

總結

在本月28 起主要安全事件中,有2 個項目(Blueberry Protocol 和Seneca)共追回約638 萬美元的被盜資金;本月3 起私鑰洩漏事件的損失約3.04 億,約佔本月安全事件總損失的75%,慢霧安全團隊建議用戶和專案方加強對私鑰的保護措施,例如使用硬體錢包、離線儲存等方式,提高私鑰的安全性;本月4 起合約漏洞利用事件導致約725 萬美元的損失,慢霧安全團隊建議專案方始終保持警惕並定期進行安全審計,追蹤和解決新的安全威脅和漏洞,最大程度地保護專案和資產安全。最後,本文收錄的事件為本月主要安全事件,個人用戶被竊事件未納入統計。

Total
0
Shares
Related Posts