2024 區塊鏈安全與反洗錢年度報告解讀之安全態勢

上週，我們發布了慢霧出品| 2024 區塊鏈安全與反洗錢年度報告，接下來我們把報告分為四篇文章來解讀，剖析報告中的關鍵內容，幫助讀者更全面深入地理解當前區塊鏈生態系中的關鍵安全挑戰與機會。本篇主要聚焦區塊鏈生態安全態勢。

在安全領域，2024 年延續了以往的嚴峻態勢。駭客攻擊事件頻繁，尤其是針對中心化平台的攻擊佔據主導地位。同時，智能合約漏洞和社會工程攻擊仍是駭客的主要作惡手段，而釣魚攻擊的方式更加隱蔽，手段更加複雜，用戶資產的保護仍面臨重大挑戰。供應鏈安全問題也在2024 年引發更多關注，多個知名專案遭遇惡意程式碼注入攻擊，導致大量使用者資產遺失。

根據慢霧區塊鏈被黑事件檔案庫(SlowMist Hacked) 統計，2024 年共發生安全事件410 件，損失高達20.13 億美元。對比2023 年（共464 件，損失約24.86 億美元），損失年減19.02%。

註：本報告數據基於事件發生時的代幣價格，由於幣價波動和部分未公開事件的損失未納入統計等因素，實際損失應高於統計結果。

(https://hacked.slowmist.io/statistics/?c=all&d=2024)

典型攻擊事件

（2024 損失Top10 的安全攻擊事件）

DMM Bitcoin

2024 年5 月31 日，日本加密貨幣交易所DMM Bitcoin 表示，其官方錢包中的4,502.9 BTC 被非法轉移，造成價值約482 億日圓的損失。據悉，DMM Bitcoin 安全事件的損失金額在加密貨幣駭客攻擊史上排名第七，是自2022 年12 月以來最大的攻擊。同時，先前日本曾發生兩起重大加密貨幣交易所駭客攻擊事件，即2014 年的Mt.Gox 事件和2018 年的Coincheck 事件，被竊金額分別為4.5 億美元和5.34 億美元。這次DMM Bitcoin 攻擊事件成為日本第三大此類案件。 12 月23 日，根據美國聯邦調查局（FBI）通報，美國聯邦調查局（FBI）、國防部網路犯罪中心（DC3）以及日本警察廳（NPA）提醒公眾，此次竊盜與TraderTraitor 威脅活動相關， TraderTraitor 也被追蹤記錄為Jade Sleet、UNC4899 和Slow Pisces。 TraderTraitor 活動通常以針對同一公司多名員工的社交工程攻擊為特徵。

據悉，2024 年3 月底，一名偽裝成LinkedIn 招募人員的北韓駭客聯繫了Ginco 公司的員工，Ginco 是一家總部位於日本的企業級加密貨幣錢包軟體公司。駭客向目標員工發送了一個鏈接，指向一個託管在GitHub 上的惡意Python 腳本，聲稱這是一個入職測試。目標員工將Python 程式碼複製到自己的GitHub 頁面上，結果遭到入侵。 5 月中旬後，TraderTraitor 駭客利用會話Cookie 資訊冒充被攻擊的員工，成功存取Ginco 公司未加密的通訊系統。 5 月底，駭客可能利用此存取權限篡改了DMM Bitcoin 員工的合法交易請求，導致4,502.9 BTC 被盜。最終，盜取的資金被轉移到TraderTraitor 控制的錢包。

PlayDapp

2024 年2 月9 日，區塊鏈遊戲平台PlayDapp 遭攻擊，駭客入侵了PlayDapp (PLA) 代幣智能合約。駭客非法取得了私鑰，從而改變了智能合約的所有權和鑄幣權限，將其轉移到自己的帳戶上。駭客移除了現有管理員的授權，並非法鑄造了2 億個PLA 代幣。事發後不久，PlayDapp 透過鏈上交易向駭客發送訊息，要求歸還被盜資金並提供100 萬美元白帽獎勵，但最終談判失敗。 2 月12 日，駭客再次非法鑄造了15.9 億PLA 代幣，但由於交易所已採取凍結措施，市場流通已被停止，未能流通。 4 月1 日，據PlayDapp 披露，2024 年1 月16 日，PlayDapp 團隊收到了黑客偽造的郵件，該郵件精心設計，具有與其經常收到的來自主要合作交易所的常規信息請求郵件完全相同的標題、寄件者郵件地址（包括使用者名稱和網域名稱）以及內容。分析表明，當執行郵件附件中的惡意程式碼時，受害者的電腦安裝了一個篡改的遠端存取多會話工具，隨後被駭客遠端控制，導致管理員私鑰被盜。

WazirX

2024 年7 月18 日，印度加密貨幣交易所WazirX 的多簽錢包被監控到發生多筆可疑交易。 7 月19 日，根據WazirX 在X 平台發布網路攻擊的初步調查結果，他們的一個多重簽名錢包遭遇了網路攻擊，損失超過2.3 億美元。錢包共有六個簽署人—— 五名來自WazirX 團隊成員和一名來自Liminal 的成員，負責交易驗證。每筆交易通常需要WazirX 團隊三名簽署人（這三名簽署人都使用Ledger 硬體錢包以確保安全）批准後，才會由Liminal 的簽署人進行最終批准。此網路攻擊源自於Liminal 介面上顯示的資料與實際交易內容之間的差異，在攻擊發生時，Liminal 介面顯示的交易資訊與實際簽署的內容不符。 WazirX 懷疑駭客透過替換載荷，將錢包控制權轉移給了自己。

BtcTurk

2024 年6 月22 日，土耳其加密貨幣交易所BtcTurk 遭攻擊，損失約9 千萬美元。 BtcTurk 在6 月22 日的聲明中表示：「此次網路攻擊影響了我們熱錢包中10 種加密貨幣餘額的一部分，大部分儲存在冷錢包中的資產仍然安全。」根據Binance 執行長Richard Teng透露，Binance 已凍結了其中價值530 萬美元的被盜資產。

Munchables

2024 年3 月27 日，Blast 生態專案Munchables 遭攻擊，損失約6,250 萬美元。同日，Blast 創始人Pacman 發推說：“Blast 核心貢獻者已通​​過多重簽名獲得9,700 萬美元的資金。感謝前Munchables 開發者選擇最終退還所有資金，且不需要任何贖金。”

Radiant Capital

2024 年10 月17 日，Radiant Capital 在X 發文表示意識到BNB Chain 和Arbitrum 上的Radiant 借貸市場存在問題，Base 和主網市場已暫停交易。根據慢霧安全團隊分析，這起事件是Radiant 駭客非法控制3 個多簽權限後，升級了惡意合約以竊取資金。 10 月18 日，Radiant 發布事件分析報告表示，這起事件導致約5 千萬美元的損失，駭客透過複雜的惡意軟體注入技術，成功入侵了至少三位核心貢獻者的設備，這些被入侵的設備隨後被用來簽署惡意交易。 12 月6 日，Radiant 發布被攻擊事件的最近進展，Radiant 聘請的安全公司Mandiant 將攻擊歸因於UNC4736，通常被稱為AppleJeus 或Citrine Sleet。 Mandiant 高度認為UNC4736 與朝鮮民主主義人民共和國（DPRK）有關。

BingX

2024 年9 月20 日，根據加密貨幣交易所BingX 公告，新加坡時間9 月20 日凌晨4 點左右，BingX 的安全系統偵測到針對一個熱錢包的未經授權的入侵。根據慢霧安全團隊統計，這起事件導致的損失約達4,500 萬美元。根據MistTrack 的分析，Indodax 駭客和BingX 駭客之間疑似存在聯繫，這兩起攻擊事件的駭客使用了同一個地址洗錢，且都指向了北韓駭客Lazarus Group。

Hedgey Finance

2024 年4 月19 日，Hedgey Finance 遭攻擊，駭客進行了一系列惡意交易，導致其在Ethereum 和Arbitrum 兩條鏈上損失總計約4,470 萬美元。事件的根本原因是缺少對用戶參數輸入的驗證操作，使得駭客能夠操縱並獲得未經授權的代幣批准。

Penpie

2024 年9 月4 日，去中心化流動性收益專案Penpie 遭攻擊，駭客獲利約2,735 萬美元。根據慢霧安全團隊分析，此事件的核心在於Penpie 在註冊新的Pendle 市場時，錯誤地假設所有由Pendle Finance 創建的市場都是合法的。然而，Pendle Finance 的市場創建流程是開放式的，允許任何人創建市場，並且其中的關鍵參數如SY 合約地址，可以由用戶自訂。利用這一點，駭客創建了一個含有惡意SY 合約的市場合約，並利用Penpie 池子在獲取獎勵時需要對外部SY 合約調用的機制，借助閃電貸為市場和池子添加了大量的流動性，人為放大了獎勵金額，從而獲利。

FixedFloat

2024 年2 月16 日，根據鏈上數據，加密貨幣交易平台FixedFloat 遭攻擊，損失約409 枚BTC（約2,117 萬美元）和1,728 枚ETH（約485 萬美元）。 FixedFloat 針對此攻擊事件表示：這次駭客攻擊是由於安全結構中的漏洞引起的外部攻擊，並非由員工所實施，用戶資金並未受影響。 4 月2 日，FixedFloat 在X 平台表示其再次遭受了2 月16 日攻擊事件的駭客的攻擊。駭客設法利用了FixedFloat 使用的第三方服務中的漏洞。這兩次攻擊事件對FixedFloat 造成總計約2,900 萬美元損失。

Rug Pull

Rug Pull 是一種騙局，其本質是惡意項目方造勢吸引用戶投資，等到時機成熟便“拉毯子”，捲款跑路。根據慢霧區塊鏈被黑事件檔案庫(SlowMist Hacked) 統計，2024 年Rug Pull 事件達58 起，導致損失約1.06 億美元。

（2024 損失Top10 的跑路事件）

隨著Meme 幣熱潮的到來，許多用戶在投機和FOMO 情緒驅使下，忽略了潛在風險。有些發幣方甚至不需要向用戶描繪願景或提供白皮書，僅憑一個概念或口號，便能炒作出熱度吸引用戶購買代幣，而低廉的作惡成本導致跑路事件層出不窮。以下是惡意項目方常見的操作：

• 虛假宣傳與造勢：透過誇大技術實力或市場潛力，以及虛假合作或名人背書等手段，吸引用戶投資。

• 操控代幣價格：專案方通常會預先持有大量代幣，透過操控市場價格製造繁榮假象，吸引更多資金入場。

• 代幣合約設定漏洞：透過在智能合約中預留後門，專案方可以隨時提取資金或銷毀流動性池。

• 人間蒸發：在跑路前夕，專案方往往關閉官方網站、社群帳號或解散社群，切斷與投資人的聯繫。

在了解惡意項目方的操作手法後，我們可以發現，這些騙局往往利用的是使用者的投機心理和對高收益的渴望。要避免成為這類騙局的受害者，關鍵在於保持警惕，增強防範和驗證能力，以下方法可以幫助使用者盡可能避免參與到會跑路的專案：

• 檢視專案背景：關注團隊成員的真實性和背景，查看其過往專案是否有不良記錄。

• 是否經過審計：查看專案是否經過專業的安全審計。

• 關注社群回饋：加入專案的社群媒體或論壇，觀察社群的活躍度和討論內容，警惕過多的吹捧或不合理承諾。

• 分散投資：不要把所有資金投入一個項目，避免因單一項目造成重大損失。

• 警惕高收益誘惑：天上不會掉餡餅，高收益往往伴隨高風險，對於“快速翻倍”，“零風險”等不切實際的承諾需格外謹慎。

完整報告的連結如下，也可直接點擊閱讀原文跳轉，歡迎閱讀並分享:)

中文：https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(CN).pdf

英文：https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(EN).pdf