概覽

2024 年11 月，Web3 安全事件總損失約8,624 萬美元。其中，據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io) 統計，共發生21 起被黑事件，導致損失約7,686 萬美元，有2,550 萬美元得到返還，事件原因涉及合約漏洞、帳號被駭和價格操縱等。此外，根據Web3 反詐騙平台Scam Sniffer 統計，本月有9,208 名釣魚事件受害者，損失規模達938 萬美元。

(https://dune.com/scam-sniffer/november-scam-sniffer-2024-phishing-report)

安全大事件

MetaWin

2024 年11 月4 日，根據鏈上偵探ZachXBT 監測，加密博彩平台MetaWin 疑似遭攻擊，在Ethereum 和Solana 鏈上被盜取400 多萬美元。根據MetaWin CEO Skel 表示，攻擊者是透過平台的frictionless withdrawal 系統入侵了MetaWin 的熱錢包。

DeltaPrime

2024 年11 月11 日，DeFi 協議DeltaPrime 在Avalanche 和Arbitrum 上被攻擊，DeltaPrime 初步估計損失為475 萬美元。這次攻擊的根本原因在於獎勵領取功能缺乏輸入驗證。

(https://x.com/DeltaPrimeDefi/status/1855899502944903195)

Thala

2024 年11 月15 日，基於Aptos 的DeFi 專案Thala 遭攻擊，導致2,550 萬美元被盜，攻擊者利用了其智慧合約中的漏洞。專案方暫停了相關智能合約並凍結了部分代幣，最終成功凍結約1,150 萬美元的資產。在與執法部門和多個區塊鏈安全團隊合作後，專案方成功協商追回了資產，並允許攻擊者保留30 萬美元作為賞金。

(https://x.com/thalalabs/status/1857703541089120541?s=46&t=bcMyidYO0QkS5ajIW9CBdg)

DEXX

2024 年11 月16 日，鏈上交易終端DEXX 的多名用戶資金被竊。根據慢霧安全團隊統計，此事件的損失規模已達2,100 萬美元。目前，慢霧安全團隊在協助DEXX 官方及合作夥伴持續進行分析。 11 月28 日，慢霧安全團隊公佈已收集到的Solana 鏈上8,612 個DEXX 攻擊者地址，EVM 鏈上的攻擊者地址也將在清洗統計完成後公開。

(https://x.com/MistTrack_io/status/1862134946090881368)

Polter Finance

2024 年11 月17 日，基於Fantom 的DeFi 專案Polter Finance 遭攻擊，損失約1,200 萬美元。攻擊者透過閃電貸耗盡了BOO 的代幣儲備，人為提高了BOO 的計算價格。這使其能夠借出遠超抵押品實際價值的代幣，從而獲得了巨額利潤。該平台的創始人表示，他們已向新加坡當局提交了報告，並嘗試透過鏈上訊息與攻擊者聯繫以協商歸還資金，但尚未收到回應。

(https://x.com/polterfinance/status/1857971122043551898)

特徵分析及安全建議

本月安全事件數和損失規模相較上月明顯下降，這項變更在一定程度上反映了業界對安全防護措施的持續改善。值得注意的是，無論從攻擊原因分佈或導致的損失規模來看​​，合約漏洞都是佔比最高的一項。本月發生的7 起合約漏洞利用事件造成了約3,000 萬美元的損失，佔總損失的39%，慢霧安全團隊建議專案方始終保持警惕並定期進行全面的安全審計，追蹤和解決新的安全威脅和漏洞，保護專案和資產安全。

此外，慢霧安全團隊注意到，本月發生了針對Crypto 產業的AI 投毒真實攻擊案例。這一現象表明，供應鏈攻擊的目標範圍正進一步擴大。有些開發者在追求效率的同時，可能過度依賴AI 產生的程式碼，而忽略了對程式碼安全性的審查。因此，慢霧安全團隊提醒開發者和專案方，在使用AI 產生程式碼時，切勿盲目信任輸出結果。所有代碼在投入實際使用前，都應經過嚴格的安全審計與測試，以防範安全隱患，保護專案及使用者的資產安全。同時，專案方也應加強供應鏈整體的安全管理，對第三方工具和服務進行全面評估，並持續關注相關領域的安全動態，以及時應對新型威脅。