2024年1月,各类安全事件损失金额较2023年12月大幅增加。本月 Rug Pull 事件达 17 起,约占本月安全事件数的 30%,导致损失约 526 万美元,用户在参与项目之前应充分了解项目的背景、团队,谨慎选择投资项目。
本月 3 起闪电贷攻击事件导致了约 635 万美元的损失。其中涉及合约漏洞、DDoS 攻击、闪电贷攻击、价格操纵和账号被盗等。本月损失超过千万美元的攻击事件包括:Ripple联合创始人Chris Larsen个人账户被盗1.125亿美元;韩国Web3社交音乐服务SOMESING被攻击损失1158万美元。本月钓鱼诈骗事件依旧不减,用户还需要提高反诈意识。
以下为典型安全事件信息
- 1月2日,Arbitrum链上借贷协议Radiant Capital因合约漏洞遭到攻击,损失约450万美元。
- 1 月 3 日,多链借贷协议 Radiant Capital 遭攻击,损失 1900 枚 ETH(约合 450 万美元)。据分析,黑客是利用借贷市场(从 Compound / Aave 衍生而来)中一个新市场被激活的时间窗口。该漏洞还依赖于当前 Compound / Aave 代码库中已知的 rounding 问题。
- 1月4日,Gamma Strategies因合约漏洞遭到攻击,总损失达618万美元。Gamma 表示,Gamma 的金库有 4 个主要的存款保护来源以防止闪电贷,其中一点为“设置价格变动阈值,当价格变动超过一定金额时将不允许存款”。主要问题是该价格变化阈值的设置太高,导致某些 LST 和稳定币金库的价格变化范围为 -50% / +100%,这使得攻击者能够操纵价格直至价格变化阈值,并铸造大量的 LP 代币。
- 1月5日,流动性挖矿项目 Narwhal 的协议遭攻击,损失约 150 万美元。所有 NRW 代币已被兑换为 USDT,并通过 Stargate 桥接至 ETH。大部分被盗资金已被转移至 Tornado Cash。
- 1月6日,加密支付服务提供商 Coinspaid 发生多笔未经授权的交易,黑客盗取价值约 750 万美元的加密资产。包括 480 万枚 USDT、500 枚 ETH、9700 万枚 CPD、10.6 万枚 USDC、2.4 万枚 BSC-USD 和 268.5 枚 BNB。
- 1月16日,互操作性协议Socket因合约漏洞遭攻击,损失约330万美元。事后约230万美元已追回。攻击者利用 Socket 聚合器系统下新添加的一个模块的漏洞,该模块负责代表用户进行代币交换。该模块中的漏洞允许攻击者从那些已经无限批准代币给 Socket Gateway 合约的用户那里窃取资金。这次攻击是通过在以太坊上进行的两笔恶意交易实施的。
- 1 月 18 日,据 Manta Network 推文称,Manta Pacific 链在大约 UTC 9 AM 遭遇 RPC 攻击。Manta Network 联创 Kenny Li @superanonymousk 在推特上更新了关于 Manta Network 遭受攻击的情况,他提到,Manta Network 在 UTC 9:30 AM,即他们的 TGE 活动开始时,遭受了一次精心策划的 DDoS 攻击。RPC 节点遭遇了超过 1.35 亿次请求,表明这是一次非常激烈和有计划的攻击。
- 2024 年 1 月 19 日,HTX 在社交媒体发文提醒用户其应用程序当前遭遇中断,技术团队正在努力解决问题。Tron 创始人孙宇晨发推表示,Htx.com 和 HTX_DAO 遭受了 DDoS 攻击。
- 1月22日,基于 Camelot V3 协议构建的DeFi 协议Concentric Finance 遭攻击,损失约170万美元。Concentric Finance 官方在社交媒体上发文表示,持有其合约部署者钱包的一名团队成员遭到有针对性的社会工程攻击,攻击者利用漏洞升级金库,铸造新的 LP 代币,然后耗尽平台资产。
- 1月23日,链游平台 GMEE 发推表示,Polygon 上 GMEE 代币合约在几个小时前遭到未经授权的 GitLab 访问,导致 6 亿枚 GMEE 代币被盗,损失约 700 万美元。随后攻击者将代币兑换为以太坊和 MATIC。在接下来的几个小时内,攻击者通过各种 DEX 兑换盗走的代币,影响了各个交易所的 GMEE 代币价格。
- 1月25日,太空主题开放世界 Web3 游戏 Nebula Revelation 的质押合约遭重入攻击,损失约18万美元。1 月 28 日,Nebula Revelation 公布赔偿方案,团队承诺全面赔偿且决定按照被盗币前的价格向用户赔付,以确保公正性。
- 1月27日,韩国Web3社交音乐服务SOMESING遭受攻击,损失了7.3亿枚原生代币SSX,价值1158万美元。Somesing 表示:“已经确认,此次黑客事件与 Somesing 团队的任何成员都没有关系,考虑到攻击方法,可能是由专门攻击虚拟资产的黑客实施的。”该平台已向国家警察厅报告对黑客事件进行调查,并表示将通知国际刑警组织。
- 1月28日,Conflux 生态借贷协议 Goledo Finance 遭攻击,损失 790 万枚 CFX,约合 170 万美元。Goledo 团队已完成对借贷池中大笔借贷的初步调查,确认该攻击与闪电贷有关。
- 1月29日,Ethereum链上Barley Finance项目遭到重入漏洞攻击,损失约13万美元。1.攻击者盗取了pod中总BARL供应的10%以上,其中约9%是开发团队的抵押品,来自营销和开发分配。因此,对用户造成的损害很小(受影响玩家可向官方发送邮件申请赔偿);2.解决方案是更改wBARLpod合约,以移除导致漏洞攻击的函数。
- 1月30日,Ethereum链上MIM_Spell项目因合约漏洞遭到攻击,损失达650万美元。随后 Abracadabra.Money (MIM_Spell) 在推特更新进展,表示其技术团队已找到漏洞原因,该漏洞针对特定 Cauldrons V3 和 V4,允许未经授权的 MIM 借用,目前已将这些 cauldrons 的借贷限额设置为零来缓解问题。
- 1月31日,据链上侦探 ZachXBT 披露,Ripple 遭黑客攻击,被窃取 2.13 亿枚 XRP,约合 1.125 亿美元。Ripple 联合创始人 Chris Larsen 发推称:“昨天,我的一些个人 XRP 账户(不是 @Ripple )– 我们很快就发现了问题并通知交易所冻结受影响的地址。执法部门已经介入。”
- 1月1日,某0x3605地址因签署恶意的ERC20 Permit被盗约130万美元。
- 1月2日,某0xd9b7地址因签署恶意的'increaseAllowance'交易被盗约247万美元。
- 1月3日,某0x01be地址遭遇地址中毒攻击,损失约440万美元。
- 1月7日,Solana链上MangoFarm项目发生rug pull,部署者获利约200万美元。
- 1月7日,Arbitrum链上XKING项目发生rug pull,部署者获利约124万美元。
- 1月9日,SEC官方X账户(推特)被盗,发布「比特币现货 ETF 被批准」的不实消息。
- 1月15日,Fantom链上Hector Network项目发生rug pull,部署者获利约270万美元。
- 1月21日,某0x1749地址遭遇钓鱼诈骗,损失达470万美元。
- 1月24日,某0xf8EB地址因网络钓鱼攻击损失约130万美元资产。
- 1月25日,某0x0c00地址遭遇钓鱼诈骗,损失约266万美元。
- 1月27日,某0xc9f3地址遭遇钓鱼诈骗,损失约234万美元。
- 1月29日,某0xD70f地址遭遇钓鱼诈骗,损失了约10.78万美元。
🔲本月钓鱼诈骗事件依旧不减,发生多起单个地址被盗百万美元以上的事件,用户还需提高警惕。
以下为其他方面安全事件
注:时间不分先后
- 2024年1月,北京丰台警方经过缜密侦查,破获了一起以网络区块链游戏为诱饵,诱骗群众投资虚拟币,骗取5名群众600余万元人民币的案件。犯罪嫌疑人刘某伙同他人,谎称某区块链游戏是其海外团队开发,通过互联网宣传,在币某网购买虚拟货币,持虚拟货币在游戏内可以等价换购游戏内的通用货币H某币,使用H某币在游戏内购买NFT数字资产,NFT数字资产随着交易者交易,会产生增值效果,预期收益能达到原价值的三倍以上。通过以上话术,刘某先后诱骗5名投资群众向其指定数字账号汇款,后刘某等人下落不明,被骗群众纷纷报警。经工作,刘某被丰台分局经济犯罪侦查大队抓获,目前,因涉嫌合同诈骗罪被丰台警方刑事拘留。
- 德国警方已在一次盗版执法行动中暂时扣押了50,000个比特币,价值21.7亿美元,本次行动据称是该国有史以来最大的加密货币扣押行动,据悉两名犯罪嫌疑人中的一个是自愿将比特币转移给德国联邦刑事警察局(BKA),目前尚未对相关犯罪嫌疑人提出正式指控,但对随后的商业洗钱行为调查仍在进行中。
- 1月29日消息,美国证券交易委员会(SEC)对涉案17亿美元的加密庞氏骗局HyperFund提起诉讼。
- 1月26日消息,一印度籍人士因暗网贩毒罪名在美国地方法院认罪,被没收 1.5 亿美元加密货币。
- 1月19日消息,美国联邦检察官对一德国商人提起诉讼,指控他通过加密货币欺诈计划诈骗投资者超过 1.5 亿美元。
- Silk Road案主犯Banmeet Singh认罪,涉案8100枚BTC被没收。Silk Road暗网市场的英籍运营者Banmeet Singh在美国认罪。这起案件涉及美国缉毒局(DEA)有史以来最大规模的比特币没收行动,涉及约8100枚比特币,价值约1.5亿美元。
- 上海首例数字人民币“跑分”案件披露。上海市杨浦区人民法院近期审结了一起上海首例利用数字人民币“跑分”案件。案件中不法分子在2小时内利用数字人民币兑换功能,将当时ATM机内存放的现金全部取空。
- 上海宝山检察院对一起数额2.2亿元的虚拟币非法外汇兑换案件提起公诉。涉案人员利用境外账户以外币购买虚拟货币,在境内卖出虚拟币,按照约定汇率向客户指定的境内第三方支付平台账户支付相应数量的人民币,从中赚取汇率差及服务费。
鉴于各类安全事件频发,零时科技安全团队提出以下安全建议:
- 项目方建立严格私钥管理流程,采用多签机制,禁止在联网环境中使用私钥。
- 在项目上线之前,找专业的第三方安全企业进行全面的安全审计,而且可以找多家进行交叉审计。
- 项目方可以发布漏洞赏金计划,发送社区白帽子帮助找问题,先于黑客找到漏洞。
- 加强对项目的安全监测和预警,尽量做到在黑客发动攻击之前发布预警从而保护项目安全。
- 智能合约开发者应该重视合约中的代码逻辑必须严谨,避免历史漏洞重现,加强代码安全性。
- 用户仔细进行项目背景调查,不要轻信未开源的项目合约,查看相关审计报告,避免资产损失。
- 用户要提高反诈意识,若不幸被骗,留存好证据,尽快向警方立案。
- 注:
本文内容均来自公开的资料整理收集。
重要提醒:本文只对行业信息进行整理,不构成任何投资建议和保证。