概览


据慢雾区块链被黑档案库(https://hacked.slowmist.io) 统计,2024 年 5 月,共发生安全事件 31 起,总损失约 1.24 亿美元,原因涉及合约漏洞、地址污染攻击、跑路和账号被盗等。



主要事件


Whale

2024 年 5 月 3 日,一名巨鲸遭遇了相同首尾号地址钓鱼攻击,被钓走 1155 枚 WBTC,价值约 7000 万美元,详情见花小钱钓大鱼|揭秘 1155 WBTC 钓鱼事件。5 月 10 日,据慢雾安全团队监测,黑客返还了受害者的资金。


(https://x.com/SlowMist_Team/status/1788847044632920238)


Sonne Finance

2024 年 5 月 14 日,基于 Compound 的 Optimism 原生借贷协议 Sonne Finance 遭闪电贷攻击,损失超 2000 万美元。事件发生后,Seal 贡献者通过向市场添加价值约 100 美元的 VELO,挽救了约 650 万美元。此次攻击利用了新加入市场的漏洞,在市场创建后的两天内,攻击者利用多签钱包和时间锁功能执行关键交易,成功操纵了市场的抵押因子(c-factors)。

 

(https://x.com/tonyke_bot/status/1790547461611860182)

pump.fun

2024 年 5 月 16 日,基于 Solana 的 meme 币生成器 pump.fun 遭攻击,损失 12300 SOL(价值约 190 万美元),攻击者随后开始将资金空投到一些随机的钱包中。pump.fun 在推特发文表示,此次攻击是因为某位前员工利用其在公司的特权非法获取了提款权限,并借助借贷协议实施了闪电贷攻击。


(https://x.com/pumpdotfun/status/1791235050643636303)


Gala Games

2024 年 5 月 20 日,Web3 游戏平台 Gala Games 遭攻击,损失约 2180 万美元。攻击者铸造了 50 亿枚 GALA 代币,价值超过 2 亿美元,之后迅速抛售 5.92 亿枚 GALA,获得 5952 枚 ETH。5 月 22 日,根据链上记录和 Gala Games 在 Discord 的声明,黑客返还了 5913.2 枚 ETH。


(https://x.com/Benefactor0101/status/1792698768166715776)


总结



本月 31 起安全事件中,有 14 起是合约漏洞利用事件所致,占总事件数的 42%,慢雾安全团队建议项目方始终保持警惕并定期进行安全审计,跟踪和解决新的安全威胁和漏洞,最大程度地保护项目和资产安全;



本月造成损失最多的是 1 起相同首尾号地址钓鱼事件,其次是 2 起私钥泄露安全事件,导致约 2600 万美元的损失,慢雾安全团队建议项目方做好内部安全培训和权限管理,提高员工的安全意识和避免内部作恶的情况;


本月有 4 起安全事件共计收回约 9258 万美元,其中 3 起事件几乎收回全部资金。适当的事件响应机制可以帮助减轻损失并提高资金收回的机率,因此,慢雾安全团队建议项目方除了要做好预防措施,也要建立健全的应急计划。


最后,更多区块链安全事件可在慢雾区块链被黑档案库(https://hacked.slowmist.io/) 查看,点击阅读原文可直接跳转。


往期回顾

「区块链黑暗森林自救手册」韩文版正式发布

Web3 安全入门避坑指南|假钱包与私钥助记词泄露风险

花小钱钓大鱼|揭秘 1155 WBTC 钓鱼事件

每月动态 | Web3 安全事件总损失约 9081 万美元

慢雾(SlowMist) 严正声明

慢雾导航


慢雾科技官网

https://www.slowmist.com/


慢雾区官网

https://slowmist.io/


慢雾 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


知识星球

https://t.zsxq.com/Q3zNvvF