【安全月报】| 12月份因漏洞、黑客攻击等损失为2860万美元，为全年黑客攻击最少月份

零时科技｜2025-01-03 10:30

12月发生较典型安全事件超23起，因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达2860万美元

零时科技每月安全事件看点开始了！据一些区块链安全风险监测平台统计显示，2024年12月，各类安全事件损失金额较11月大幅下降。12月发生较典型安全事件超23起，因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达2860万美元，较11月下降约55%。

黑客攻击方面

典型安全事件7 起

(1) 12月1日，安全机构 fuzzland 联创 @shoucccc 发推表示，去中心化交易平台 Clipper 因 API 漏洞（如私钥泄露）而遭到黑客攻击。目前损失超过 50 万美元，650 万美元面临风险，并建议用户立即提现。而第二天，去中心化交易所（DEX）Clipper 澄清称，其提款功能中存在漏洞，导致其协议最近遭到黑客攻击，损失金额达 45 万美元，而非“第三方”所说的私钥泄露。

【安全月报】| 12月份因漏洞、黑客攻击等损失为2860万美元，为全年黑客攻击最少月份

(2) 12月3日，据慢雾安全团队监测，RunWay (BYC) 疑似在 BSC 上遭攻击，损失约 10 万美元。

【安全月报】| 12月份因漏洞、黑客攻击等损失为2860万美元，为全年黑客攻击最少月份

(3) 12月4日，安全公司Fuzzland联合创始人Chaofan Shou在X平台表示：“Vestra DAO刚刚遭到黑客攻击，目前仍在继续。已损失48万美元，未来可能还会损失更多。建议立即撤回质押并撤回流动性。”

【安全月报】| 12月份因漏洞、黑客攻击等损失为2860万美元，为全年黑客攻击最少月份

(4) 12月10日，零时科技项目团队监控到一起针对 Base 上的项目 CloberDEX 的链上攻击事件，本次漏洞成因主要是因为 CloberDEX 项目方合约在获取销毁 LP Token 的代码中没有进行重入检测和防护，且更新状态变量在合约调用之后，最终导致攻击者利用该重入漏洞掏空项目方的WETH 。

详细攻击分析可点此链接：

https://mp.weixin.qq.com/s/ff0YJBuZiaVBIIUZlarXRQ

(5) 12月15日，零时科技项目团队监控到一起针对 BnbSmartChain 上的项目 DCFToken 的链上攻击事件，被攻击的项目为 DCFToken ，攻击者通过此次攻击获利约为 8800 USD 。本次漏洞成因主要是因为 DCFToken 项目方合约在获取 DCFToken 的价格时，通过单一来源PancakeSwapV2 来计算，导致价格被攻击者操纵，最终利用价差套利。

详细攻击分析可点此链接：

https://mp.weixin.qq.com/s/DDadR1nOyYl-dPi5zwLLSQ

(6) 12月24日，据Scam Sniffer监测，一名受害者因假冒Zoom恶意软件损失了100万美元，与us04-zoom[.]us威胁行为者有关。目前私钥盗窃恶意软件案件上升，应严格验证来源，并在安装前进行安全扫描。此前，X平台用户Lsp（@lsp8940）发帖表示，“钱包被盗损失100万枚Usd0++，黑客伪装了一个推特，通过我的推特互动信息，伪装成我的朋友，然后对方说要对项目发展和我一起聊天开个会，发了zoom链接给我，我电脑本身有zoom，但是之前用zoom的时候老有问题，需要重新安装，所以网页提示需要重新安装的时候，我重新安装了，醒来发现已经被盗了。”

(7) 12月29日，FEG 项目遭攻击，损失约 100 万美元，据分析，此次事件的根本原因似乎是与底层 Wormhole 跨链桥集成时出现的可组合性问题，该桥用于跨链消息和代币的传输。