零时科技每月安全事件看点开始了!据一些区块链安全风险监测平台统计显示,2024年3月,各类安全事件损失金额较2023年2月大幅下降。3月发生较典型安全事件超30起,因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达1.58亿美元,较2月下降约62.5%。其中攻击事件约1.16亿美元,下降约66.4%;钓鱼诈骗事件约3685万美元,增长约129%;Rug Pull事件约812万美元,下降约91.4%。
此外,还有一些具体安全事件和新的消息,下面来为大家详细讲述。
黑客攻击方面
典型安全事件15起
(1) 3月5日,Arbitrum链上WooFi项目因合约漏洞遭受攻击,损失约875万美元。这次利用是由一系列闪电贷组成的,攻击者利用低流动性操纵 WOO 的价格,然后以更低的价格偿还闪电贷。攻击者在极短的时间内重复攻击 3 次,偿还闪电贷后获利约 875 万美元。
(2)3月6日,BNB Chain链上TGBS项目因合约漏洞遭受攻击,损失约15万美元。
(3)3月9日,DeFi 交易平台unizen遭到外部调用漏洞攻击,损失约260万美元。3 月 12 日,Unizen 的 CTO Martin Granström 发推表示已从四名黑客那里追回了价值 18.5 万美元的被盗资金。
(4)3月11日,Blast链上BLASTOFF因合约漏洞遭受攻击,损失约60万美元。
(5) 3月13日,Web3全栈互操作性基础设施Polyhedra Network在BNB链上遭遇了钱包访问漏洞,攻击者提取了140万美元,其中包括价值70万美元的THE代币,然后将所有代币换成了BNB。
(6) 3月15日,Arbitrum链上Mozaic项目因私钥泄露被盗约200万美元。据 Mozaic 称,这次盗窃是由一名开发人员实施的,该开发人员成功获取了核心团队成员持有的私钥。Mozaic 还表示,约 90% 的被盗资金已在 MEXC 上冻结。
(7) 3月15日,DeFi协议MOBOX因合约漏洞而遭到攻击,损失约 75 万美元。
(8) 3月16日,Milady创始人称其系统遭到黑客攻击,所有已导入的钱包均被盗,损失约300万美元。
(9) 3月20日,Dolomite Exchange的旧合约遭受攻击,损失约190万美元。
(10) 3月22日,Blast生态项目Super Sushi Samurai遭遇漏洞利用,导致460万美元被盗。盗窃后不久,攻击者联系了该项目,声称自己是白帽。随后,Super Sushi Samurai 确认资金已经归还,其中的 5% 作为赏金。
(11) 3月21日,黑客通过社会工程骗局获得了AirDAO LP的访问权限,导致AirDAO被盗约100万美元。
(12) 3月24日,RWA基础设施Curio Ecosystem因访问权限控制漏洞遭受攻击,损失达1600万美元。
(13) 3月27日,基于Blast链的Web3游戏平台Munchables遭遇攻击,损失约6230万美元。该攻击疑似因项目方雇佣朝鲜黑客为开发者所致。
(14) 3月28日,DeFi协议Prisma Finance遭遇闪电贷攻击,损失约1160万美元。攻击原因在于 MigrateTroveZap 合约的 onFlashloan 函数缺乏输入验证,使得攻击者能够伪造迁移数据,从而实现未经授权的抵押品转移,导致合法的 Prisma Finance 用户受损。
(15) 3月29日,DeFi协议LavaLending遭遇价格操纵攻击,损失约34万美元。
Rug Pull / 钓鱼诈骗
典型安全事件9起
(1) 3月1日,某0x7653开头地址遭受钓鱼攻击,损失达439万美元。
(2) 3月4日,某0x6f5e开头地址遭受钓鱼攻击,损失约172万美元。
(3) 3月5日,Ethereum链上OrdiZK项目发生Rug pull,损失约140万美元。
(4) 3月7日,Ethereum链上Humanized_AI项目发生Rug pull,损失约66万美元。
(5) 3月14日,某0x39b2开头地址遭受钓鱼攻击,损失约200万美元。
(6) 3月17日,某推特假账号通过钓鱼诈骗共盗取约260万美元资产。
(7) 3月18日,某0x0ffe开头地址遭受钓鱼攻击,损失约248万美元。
(8) 3月20日,某0xef49开头地址遭受钓鱼攻击,损失约305万美元。
(9) 3月24日,某0x954d开头地址遭受钓鱼攻击,损失约290万美元。
加密犯罪方面
典型安全事件3起
(1) 3月11日消息,阿根廷抓获一对被控在巴西策划价值4亿美元庞氏骗局的夫妇。
(2) 3月21日消息,一英国女子因在2017年至2022年间帮助一名中国逃犯洗钱被判洗钱罪,该逃犯策划了近60亿美元的投资诈骗案。
(3) 3月23日消息,中国四川警方打掉以炒作“空气币”为幌子的犯罪团伙,涉案资金达2亿余人民币。
总结
从上述多个事件分析来看,虽然3月各类区块链安全事件损失金额大幅下降,但事件数量却大幅增加。
本月超过千万美元攻击事件包括:Blast链游戏平台Munchables(6230万美元)、RWA基础设施Curio Ecosystem(1600万美元)、DeFi协议Prisma Finance(1160万美元)。本月钓鱼诈骗事件大幅增加,发生了多起个人地址损失超100万美元的事件。
零时科技安全团队建议项目方保持警惕并定期在专业的安全公司进行安全审计。由于本月有多起钓鱼诈骗事件,同时建议用户一定不要轻易点击可疑链接且安全存储私钥。
注:
本文内容均来自公开的资料整理收集。
重要提醒:本文只对行业信息进行整理,不构成任何投资建议和保证。