零時科技每月安全事件看點開始了!根據一些區塊鏈安全風險監測平台統計顯示,2024年5月,各類安全事件損失金額較4月相比有上漲。 5月發生較典型安全事件超37起,因駭客攻擊、釣魚詐騙和Rug Pull造成的總損失金額達1.54億美元,較4月增長約52.5%。其中攻擊事件約5,451萬美元,成長約3.7%;釣魚詐騙事件約9,740萬美元,成長約754%;Rug Pull事件約204萬美元,下降約94.5%。
此外,還有一些具體安全事件和新的消息,以下來為大家詳細講述。
駭客攻擊方面
典型安全事件11起
(1) 5月5日,Fantom鏈上的GNUS遭到攻擊,損失約127萬美元。
(2)5月9日,Blast生態Bloom計畫遭到攻擊,損失約54萬美元。被竊資金已追回90%(扣除10%的漏洞賞金)。
(3)5月10日,Web3遊戲專案Galaxy Fox遭受攻擊,損失約30萬美元。
(4)5月10日,Base生態Tsuru遭受攻擊,損失約41萬美元。
(5)5月14日,Arbitrum鏈上DEX專案Predy Finance遭受攻擊,損失約46萬美元。
(6) 5月15日,比特幣DeFi工具Alex Lab因私鑰而被盜在Stacks和BSC兩條鏈上共損失約630萬美元。
(7) 5月15日,Optimism鏈上Compound fork專案Sonne Finance因合約漏洞遭受攻擊,損失達2,000萬美元。事件發生後,Seal 貢獻者透過向市場添加價值約100 美元的VELO,挽救了約650 萬美元。這次攻擊利用了新加入市場的漏洞,在市場創建後的兩天內,攻擊者利用多簽錢包和時間鎖功能執行關鍵交易,成功操縱了市場的抵押因子(c-factors)。
(8)5月16日,Solana生態pump.fun計畫遭到攻擊,損失約190萬美元。攻擊者隨後開始將資金空投到一些隨機的錢包。 pump.fun 在推特發文表示,此次攻擊是因為某位前員工利用其在公司的特權非法獲取了提款權限,並藉助借貸協議實施了閃電貸攻擊。
(9)5月20日,Web3 遊戲平台Gala Games 遭攻擊,損失約2,180 萬美元。攻擊者鑄造了50 億枚GALA 代幣,價值超過2 億美元,之後迅速拋售5.92 億枚GALA,獲得5952 枚ETH。 5 月22 日,根據鏈上記錄和Gala Games 在Discord 的聲明,駭客返還了5913.2 枚ETH。
(10) 5月21日,TON生態Launchpad平台TonUP因工程師錯誤配置腳本參數遭到攻擊,損失約10.7萬美元。
(11)5月26日,Base生態Meme幣Normie遭到攻擊,損失約49萬美元。
Rug Pull / 釣魚詐騙
典型安全事件6起
(1) 5月3日,某大鯨地址遭遇地址中毒詐騙,損失達7,200萬美元。
(2) 5月14日,Polygon鏈上虛假Pii Park專案發生Rugpull,部署者獲利約49萬美元。
(3)5月14日,某0xff49開頭地址遭到Pink Drainer的釣魚詐騙,損失約166萬美元。
(4) 5月16日,某0x719e開頭地址遭受釣魚詐騙,損失約125萬美元。
(5) 5月18日,某0xee6a開頭地址遭受釣魚詐騙,損失價值約560萬美元的Pendle yield代幣。
(6) 5月26日,某0x2154開頭地址遭受釣魚詐騙,損失約690萬美元。
加密犯罪方面
典型安全事件20起
(1)5月19日,重慶兩江新區(自貿區)人民法院日前審結了一起備受關注的委託合約糾紛案,該案涉及委託傳銷組織成員購買虛擬貨幣的糾紛。法院審理後認定委託契約違反了國家法律、行政法規強制規定,應認定為無效。一審宣判後,周某不服,提起上訴。重慶市第一中級人民法院作出二審判決,駁回上訴,維持原判。目前,該判決已生效且已自動履行。
(2) 5月,天水麥積區警方輾轉5省9市,全鏈條打掉一個虛擬貨幣洗錢團夥,抓獲犯罪嫌疑人13名,追贓物挽損百萬餘元。目前,13名犯罪嫌疑人已被依法採取刑事強制措施,案件正在進一步偵辦中。
(3) 5月15日,成都市公安局公佈一起特大涉虛擬貨幣地下錢莊案的偵破過程,該案涉案金額138億元,共抓獲犯罪嫌疑人193人,凍結涉案資金1.49億元。該案於2022年11月獲得相關線索,2023年6月1日,在公安部、公安廳的指揮下,抓獲林某、翁某、陳某等25名犯罪嫌疑人,查獲大量用於作案的銀行卡、U盾等支付工具。
(4) 5月13日消息,吉林省磐石市公安局成功破獲一起利用虛擬貨幣非法經營地下錢莊案,涉案金額約21.4億元人民幣,6名在中韓兩國實施犯罪的嫌疑人落網。警方查明,該案犯罪集團利用境內帳戶接收與轉移資金、OTC買賣虛擬幣、韓幣結算等方式,非法從事外匯兌換業務,幫助韓國代購、跨境電商、進出口貿易公司等群體實現人民幣與韓幣的匯兌。
(5) 5月11日,福建明溪公安破獲一起虛擬貨幣詐欺案。李某透過境外某聊天軟體認識一名陌生男子,並在該陌生男子的誘騙下,欲透過購買「USDT」虛擬幣再進行轉賣賺取差價的方式賺錢。多次向該名男子轉帳購買「USDT」虛擬幣,收到錢款後,男子卻捏造各種理由拒絕向李提供「USDT」虛擬幣,最終李某被騙38.7萬元。 5月11日,明溪警方赴四川成功逮捕詐騙嫌疑犯趙某。
(6) 5月16日,黑龍江省黑河市孫吳縣公安局反詐中心在工作中發現一起電信網路詐騙的線索後,警方立即組織警力開展工作。經了解,警方發現江西省某市居民吳某某涉嫌夥同他人利用虛擬幣幫助電信詐騙分子洗錢,並迅速鎖定犯罪嫌疑人。當天,警方在江西省某市一舉將鄔某源、陳某、劉某華、王某偉等4名犯罪嫌疑人抓獲歸案。
(7) 5月16日消息,香港警方近日在一起涉嫌加密貨幣詐騙案中逮捕了3名本地男子。一名男子在尖沙咀一店內試圖轉售價值約100萬元(港幣)的泰達幣(USDT),卻被支付冥幣詐騙。
(8) 5月14日,香港警方將一跨境洗黑錢集團逮捕。據悉,香港警方商業罪案調查科於2023年11月鎖定跨國洗黑錢集團,調查發現集團於2023年9月至2024年3月期間,招攬內地人到香港開設傀儡銀行戶口,透過不同類型詐騙案去詐騙受害者。受害人根據騙徒指示,將騙款存入犯罪集團控制的傀儡戶口,之後集團會從傀儡戶口以現金方式提取騙款,並到加密貨幣場外交易所(OTC)購買加密貨幣,同時又會在海外加密貨幣平台上以虛假身分開設戶口,並存入由騙款所購買的加密貨幣,再轉移至多個加密貨幣錢包,以清洗犯罪得益。
(9)美國司法部起訴並逮捕了卡地亞珠寶的一名繼承人Cartier,罪名是罪名是涉嫌使用USDT洗錢,據稱他與哥倫比亞販毒集團有勾結。 Cartier與五名哥倫比亞國民一起試圖進口100公斤可卡因並洗錢數億美元,大部分透過場外(OTC) USDT 交易進行。他們在被捕前實際上已成功洗錢1450萬美元。 Cartier目前被關押在邁阿密拘留中心,而他的共犯則被關押在哥倫比亞監獄。
(10)美國司法部逮捕了一名策劃1.3億美元網路詐騙的殭屍網路負責人,根據5月29日的起訴書,該犯罪嫌疑人涉嫌「創建並傳播惡意軟體,以入侵和聚集全球數百萬台家用Windows電腦網路”,區塊鏈分析公司Chainlysis的一項獨立分析顯示,與犯罪嫌疑人相關的錢包地址共持有透過非法佣金賺取的超過1.3億美元的數位資產。
(11) 5月17日消息,加州中部地區的一份起訴書被公開,指控兩名中國籍人士涉嫌在一個洗錢方案中扮演主要角色,涉及加密貨幣投資詐騙。他們被指控領導一項與國際加密投資騙局有關的洗錢計劃,金額至少為7,300萬美元。
(12) 5月1日消息,FBI破獲以加密投資為誘餌的龐氏騙局Idin Dalpour,涉案金額4,300萬美元。
(13) 5月14日消息,Tornado Cash混幣服務的開發者之一Alexey Pertsev被判犯有洗錢罪,並在荷蘭被判處64個月監禁。
(14) 5月15日消息,加拿大「加密貨幣之王」及其同夥被捕,被指控透過加密貨幣和外匯投資計畫詐騙投資者3000萬美元。
(15)5月21日消息,美國當局逮捕並指控一名台灣男子經營暗網毒品交易市場,涉嫌利用該網站以加密貨幣銷售價值超過1億美元的非法麻醉品,包括芬太尼。
(16)巴拉圭當局在薩普凱市抓獲了近400名比特幣礦工。此次行動由警方和國家電力管理局(ADE)聯合開展,是對涉嫌竊電行為進行調查的一部分。
(17)5月月31日消息,土耳其當局在安卡拉的21個省開展了加密行動,拘留了127名涉嫌「透過龐氏騙局進行國際詐欺」和「犯罪及清洗犯罪所得資產」的嫌疑人。在此次行動中,當局查獲了超過177 件不動產和61 件動產,價值10億土耳其里拉。此外,他們還沒收了一支無牌槍、一支空包彈槍和一些加密資產。
(18)5月26日消息,馬來西亞執法部門近日逮捕了一個涉嫌利用加密貨幣洗錢的犯罪團夥,共有10人被捕。執法人員在5月13日至21日期間的突擊行動中,查獲了129輛總價值約380萬美元(1800萬馬幣)的車輛,以及價值超過390萬美元的名牌手錶、18輛豪車、摩托車和手袋,並凍結了總額約1080萬美元的銀行帳戶。此集團涉嫌透過詐騙高檔車牌號碼和奢侈品牌手錶交易非法獲利,並將資金透過未註冊的兌換商和加密貨幣交易轉移到馬來西亞。
(19)美國德州證券委員會已向Arkbit Capital發出停止令,指控其從事欺詐性加密雲端挖礦活動。根據命令,德州證券委員會發現Arkbit Capital及其附屬實體從事詐欺活動,包括使用欺騙性圖像和視訊處理技術來推廣其投資計畫。 Arkbit 虛假聲稱營運位於阿肯色州的資料中心,用於雲端挖礦各種加密貨幣,承諾對50美元至49999美元之間的數位資產存款提供120天的每日1.6-2.8%的投資回報。
(20)5月26日消息,印度公民Chirag Tomar已承認“通過欺騙Coinbase 網站竊取超過3700萬美元的聯邦指控”,承認犯有電信欺詐罪,最高可判處20年監禁和25萬美元罰款。 Chirag Tomar及其同夥設計假Coinbase Pro網站誘騙用戶輸入登入憑證和雙重認證碼,後於去年12月20日進入美國時在亞特蘭大機場被捕,目前仍被聯邦拘留。
總結
從上述多個事件分析來看,相較4月5月損失金額上漲,其中發生2起損失超過千萬美元的駭客攻擊事件:遊戲平台Gala Games因私鑰洩漏損失2,250萬美元、Sonne Finance因合約漏洞損失2000萬美元。
零時科技安全團隊建議專案方隨時保持警惕,並做好內部安全訓練和權限管理,提高員工的安全意識和避免內部作惡的情況。
註:
本文內容均來自公開的資料整理收集。
重要提醒:本文只對產業資訊進行整理,不構成任何投資建議與保證。