Q3 概览
据慢雾安全团队统计,2024 年 Q3 季度,Web3 安全事件呈现出持续频发的趋势,安全形势依旧严峻:
本季度共发生 93 起被黑事件,钓鱼事件受害者超过 3.3 万人。
本季度安全事件造成的总损失约为 7.84 亿美元,其中有 2,754 万美元得以追回。
7 月的损失约达 3 亿美元,接着,8 月的损失攀升至 3.16 亿美元,其中大部分损失归因于一起涉及 2.43 亿美元的骗局。
9 月的损失较前两月有所下降,但安全压力仍然较大,9 月有 3 起安全事件的损失规模达千万美元,被黑事件数与 8 月持平,钓鱼事件的规模和损失依然维持在较高水平。
9 月概览
2024 年 9 月,Web3 安全事件总损失约 1.7 亿美元。其中,据慢雾区块链被黑档案库(https://hacked.slowmist.io) 统计,共发生 28 起被黑事件,导致损失约 1.24 亿美元,有 490 万美元得到返还,事件原因涉及合约漏洞、账号被黑和私钥泄露等。此外,据 Web3 反诈骗平台 Scam Sniffer 统计,本月有 10,525 名钓鱼事件受害者,损失规模达 4,643 万美元。
(https://dune.com/scam-sniffer/september-scam-sniffer-2024-phishing-report)
9 月安全大事件
BingX
2024 年 9 月 20 日,新加坡加密货币交易所 BingX 发现其热钱包遭到攻击,慢雾安全团队及时协助 BingX 调查此事件,统计受损金额约达 4,500 万美元。在慢雾安全团队的帮助下,约 100 万美元的被盗资金已被冻结。此外,我们针对此次事件成立了群组,以监控资金转移情况。
(https://x.com/SlowMist_Team/status/1837062650179768523)
Penpie
2024 年 9 月 4 日,去中心化流动性收益项目 Penpie 遭攻击,攻击者获利近 3 千万美元。据慢雾安全团队分析,此次事件的核心在于 Penpie 在注册新的 Pendle 市场时,错误地假设所有由 Pendle Finance 创建的市场都是合法的。然而,Pendle Finance 的市场创建流程是开放式的,允许任何人创建市场,并且其中的关键参数如 SY 合约地址,可以由用户自定义。利用这一点,攻击者创建了一个含有恶意 SY 合约的市场合约,并利用 Penpie 池子在获取奖励时需要对外部 SY 合约调用的机制,借助闪电贷为市场和池子添加了大量的流动性,人为放大了奖励数额,从而获利,详细分析见偏信则暗 —— Penpie 被黑分析。
Indodax
2024 年 9 月 11 日,印尼加密交易所 Indodax 遭攻击,攻击者从热钱包中盗取了约 2,200 万美元的各种代币。慢雾安全团队分析后认为热钱包被攻破的可能性较小,更可能是由于取款系统被攻击。
(https://x.com/SlowMist_Team/status/1833707952353812782)
DeltaPrime
2024 年 9 月 16 日,DeltaPrime DeFi 协议由于私钥泄露,损失约 600 万美元。攻击者通过获取私钥,铸造了 1.1×10⁶⁹ DPUSDC 代币,这些代币可以按 1:1 的比例兑换 USDC 稳定币。攻击者随后使用类似方法,铸造了大量的比特币、以太坊和其他加密货币的存款凭证代币。最终,攻击者从这些巨量的存款凭证中兑换了一小部分,总计约 600 万美元的资产。
Truflation
2024 年 9 月 26 日,据链上侦探 ZachXBT 消息,Truflation 遭攻击,损失约 500 万美元,资金从“财库多签和个人钱包”中被盗取。攻击者利用了恶意软件发起攻击。慢雾安全团队及时跟进被盗资金的转移动向,攻击者当天已将 415 ETH 转移到 0xb1cf7880351e6d16313c03a6686b4c8a5ba6372a,目前,该地址上已沉淀了 523 ETH,暂未转出。
(https://x.com/SlowMist_Team/status/1839154230210543732)
特征分析及安全建议
本月,攻击原因为合约漏洞的安全事件有 9 起,导致损失规模达到 4,100 万美元,占总被黑损失(1.24 亿美元)的 33.06%;本月账号被黑事件有 8 起,相比上月(18 起)有显著减少,涉及平台主要集中在 X 和 Discord。
慢雾安全团队建议项目方始终保持警惕并定期进行全面的安全审计,跟踪和解决新的安全威胁和漏洞,保护项目和资产安全;此外,建议项目方建立健全的应急计划,以便在遭受攻击时能够快速、有效地应对,减轻损失并提高资金收回的机率。广大用户也应谨防钓鱼攻击,定期检查账户权限;多方确认消息的真实性,不点击不明链接,更不轻易输入私钥/助记词;安装杀毒软件(如卡巴斯基、AVG 等)和钓鱼风险阻断插件(如 Scam Sniffer),提高设备安全性。
最后,本文收录的事件为本月主要安全事件,更多区块链安全事件可在慢雾区块链被黑档案库(https://hacked.slowmist.io/) 查看,点击阅读原文可直接跳转。
往期回顾
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾 GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
知识星球
https://t.zsxq.com/Q3zNvvF
