概覽

根據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io) 統計，2024 年2 月，共發生安全事件28 起，總損失約4.04 億美元，原因涉及合約漏洞、DDoS 攻擊、閃電貸攻擊、私鑰外洩和帳號被盜等。

主要事件

Phantom

2024 年2 月2 日，加密錢包Phantom 表示遭DDoS 攻擊，有人試圖過載其係統，部分服務可能會暫時中斷，用戶資產安全。隨後，Phantom 在推特上發文表示，所有服務已恢復正常並再次順利運作。

(https://twitter.com/phantom/status/1753100432145318116)

Starlay Finance

2024 年2 月8 日，Polkadot 生態的借貸協議Starlay Finance 遭攻擊，損失約210 萬美元。 2 月9 日，Starlay Finance 推舉初步分析表明，這次攻擊是由於流動性指數計算錯誤被利用，導致未經授權的提款。

(https://twitter.com/starlay_fi/status/1755856271184654360)

PlayDapp

2024 年2 月10 日，區塊鏈遊戲平台PlayDapp 遭攻擊，駭客的地址被加入為鑄幣者，鑄造2 億枚PLA 代幣（約3,650 萬美元）。事件發生後不久，PlayDapp 透過鏈上交易給駭客發送訊息，要求歸還被盜資金並提供100 萬美元白帽獎勵，但最終談判失敗。 2 月12 日，PlayDapp 遭二次攻擊，駭客又鑄造了15.9 億枚PLA 代幣（約2.539 億美元）並開始透過加密貨幣交易平台轉移。根據統計，駭客攻擊導致約2.9 億美元的損失。

(https://twitter.com/playdapp_io/status/1756060784692736038)

Duelbits

2024 年2 月14 日，加密博弈平台Duelbits 的熱錢包遭攻擊，損失約460 萬美元，被竊原因疑為私鑰外洩。

(https://twitter.com/Duelbits/status/1758159495807541459)

FixedFloat

2024 年2 月17 日，根據鏈上數據，加密貨幣交易平台FixedFloat 遭攻擊，損失約2,610 萬美元的比特幣和以太坊。 FixedFloat 針對此攻擊事件澄清：這次駭客攻擊是由於安全結構中的漏洞引起的外部攻擊，並不是由員工所實施，用戶資金並未受到「外部攻擊」的影響。 2 月18 日，FixedFloat 在推特表示：「確認確實存在駭客攻擊和資金被盜的情況，我們尚未準備好就此事發表公開評論，因為我們正在努力消除所有潛在的漏洞、提高安全性並進行調查。FixedFloat 的服務將很快恢復，稍後將提供有關此事件的詳細信息。”

(https://twitter.com/FixedFloat/status/1759216185185288653?s=20)

Blueberry Protocol

2024 年2 月22 日，DeFi 借貸協議Blueberry Protocol 遭攻擊，損失約457.7 ETH （約135 萬美元），該攻擊被一位白帽駭客c0ffeebabe.eth 攔截，366 ETH 被返還給了Blueberry Protocol。根據Blueberry Protocol 的事件分析報告顯示，攻擊是由於預言機部署錯誤導致。

(https://medium.com/@blueberryprotocol/2-22-24-exploit-post-mortem-6f6be7c1dcc3)

BitForex

2024 年2 月23 日，總部位於香港的BitForex 加密貨幣交易平台疑跑路，其在多個區塊鏈上發生約5,650 萬美元的可疑資金外流後關閉了平台的存取權限。鏈上偵探ZachXBT 最先註意到了該交易所的提款異動，他指出，該交易平台已停止處理提款，並且沒有回覆客戶。該公司於2023 年中因無證經營在日本面臨監管審查，並被指控誇大交易量。其執行長於一月辭職，承諾將由新團隊接任。

(https://twitter.com/zachxbt/status/1762028433574650347)

Jihoz

2024 年2 月23 日，Axie Infinity 聯合創始人Jihoz 在推特上發文表示：個人的兩個地址已洩露。此次攻擊的範圍僅為其個人帳戶，與Ronin 鏈的驗證或運作無關。此外，洩漏的密鑰與Sky Mavis 的營運無關。他想向大家保證，已對所有連鎖相關活動採取了嚴格的安全措施。據統計，此次攻擊導致約1000 萬美元的損失。

(https://twitter.com/Jihoz_Axie/status/1760845078757511562)

Seneca

2024 年2 月28 日，全鏈CDP 協定Seneca 因合約漏洞遭駭客攻擊。駭客利用建構的calldata 參數，呼叫transferfrom，將授權到該專案合約的代幣轉移到自己的地址上，最後兌換為ETH。 Seneca 被駭客盜走超1900 枚ETH，價值約650 萬美元。 2 月29 日，Seneca 駭客將1,537 枚ETH（約530 萬美元）返還到Seneca 部署者地址。

(https://twitter.com/SlowMist_Team/status/1762865505042645010)

Shido Network

2024 年2 月29 日，Ethereum 鏈上去中心化的跨鏈協定Shido Network 疑跑路。 SHIDO 代幣質押合約的所有者首先升級了質押合約，然後提取了大量的SHIDO，最後以692 枚ETH（約210 萬美元）的價格拋售了大量的SHIDO。

總結

在本月28 起主要安全事件中，有2 個項目（Blueberry Protocol 和Seneca）共追回約638 萬美元的被盜資金；本月3 起私鑰洩漏事件的損失約3.04 億，約佔本月安全事件總損失的75%，慢霧安全團隊建議用戶和專案方加強對私鑰的保護措施，例如使用硬體錢包、離線儲存等方式，提高私鑰的安全性；本月4 起合約漏洞利用事件導致約725 萬美元的損失，慢霧安全團隊建議專案方始終保持警惕並定期進行安全審計，追蹤和解決新的安全威脅和漏洞，最大程度地保護專案和資產安全。最後，本文收錄的事件為本月主要安全事件，個人用戶被竊事件未納入統計。