零時科技每月安全事件看點開始了!根據一些區塊鏈安全風險監測平台統計顯示,2024年11月,各類安全事件損失金額較10月上漲。 11月發生較典型安全事件超30起,因駭客攻擊、釣魚詐騙和Rug Pull造成的總損失金額達2.03億美元,較10月增長約38% ,有2520萬美元得到返還。
駭客攻擊方面
典型安全事件10起
(1) 11月11日,MetaScout 探測到在Ethereum 上的穩定幣協議Raft 遭受了一次閃電貸攻擊,結果導致6.7 百萬枚穩定幣$R被鑄造,協議損失了360 萬美元。根本原因是在鑄造份額代幣時發生的精度計算問題,駭客利用這個問題來獲取額外的份額代幣。
(2) 11月12日,基於區塊鏈的借貸平台Delta Prime 在兩個月內遭受了第二次攻擊。根據最新估計,近500 萬美元的加密資產已被轉移。此前不久,Delta Prime 於9 月中旬遭受了一次約600 萬美元的攻擊,當時該協議的一名管理員失去了對其私鑰的控制權,導致該協議的損失超過1000 萬美元。
(3) 11月14日,vETH 計畫遭受攻擊。根據攻擊行為推測,本事件的原因是由於vETH 專案方近期部署的關聯合約0x62f2...a1b5 存在價格操控漏洞,導致vETH 合約進行了異常價格的借貸行為。目前累計損失約45 萬美元。
(4) 11月15日,Aptos 生態DeFi 專案Thala 因最新的V1 流動性池合約遭安全漏洞攻擊,導致價值2,550 萬美元的資產被盜。目前Thala 已暫停所有相關合約並凍結了Thala 代幣資產(900 萬美元MOD 和250 萬美元THL),在其他機構的協助下已與攻擊者協議透過30 萬美元賞金恢復全部用戶資產。
(5) 11月18日,零時科技專案團隊監控到BNB Smart Chain 上的一起攻擊事件,被攻擊的專案為BTB 。本次漏洞的成因是專案方在完成兌換BTB 到BUSD 時,使用了過時的價格預言機,導致攻擊者可以輕易操縱BTB 的價格,先進行大筆買入BTB ,拉高BTB 的價格後再賣出,最後完成套利。本次攻擊共造成約5000 USD 的損失。
詳細攻擊分析可點此連結: https://mp.weixin.qq.com/s/fAAL7MzU5hU995ouCPz2yw
(6) 11月19日,Polter Finance 遭受1,200 萬美元閃貸駭客攻擊,目前正在調查與Binance 錢包相關的被盜資金,並提出與攻擊者談判。 11月17日,Polter Finance 在發現漏洞後暫停了平台運營,並在X 上通知了投資者。協議調查了被盜資金,並追蹤到加密貨幣交易所Binance 上的錢包。
(7) 11月19日,鏈上交易終端DEXX就先前安全事件發布更新:「 DEXX 已正式提起訴訟,並且慢霧團隊正在積極協助執法部門進行後續調查。同時,DEXX 正在積極討論補償計劃。此前消息,根據慢霧統計,DEXX 事件已確定超過900 名受害者,總損失估計為2,100 萬美元。
(8) 11月20日,根據慢霧安全團隊監測,BSC 上的BSCGem (BSCGem) 疑似遭攻擊,已導致約1.73 萬美元的損失。
(9) 11月25日,零時科技安全團隊監控到BNB Smart Chain 上的一起攻擊事件,被攻擊的項目為DCF 。本次漏洞的成因是專案方在實作DCF 的transfer 函數時,編寫了錯誤的邏輯。導致攻擊者透過transfer 給swap pair 後,銷毀pair 中的DCF ,因此可以輕易操縱DCF 的價格,最後完成套利。本次攻擊共造成約440,000 USD 的損失。
詳細攻擊分析可點此連結:
https://mp.weixin.qq.com/s/NkMjMEmtoffwkH_ZzfMxig
(10) 11月29日,根據鏈上安全監控機構BitJungle 監測,曾盜取DeFi 部落客「挖礦小企鵝」私鑰的駭客地址在沉默一年零十個月後出現異動。駭客已將400 萬枚DAI 轉換為ETH,其中900 枚ETH 已進入混幣器,剩餘ETH 仍留存於駭客地址。據悉,「挖礦小企鵝」於2023年1月14日遭遇私鑰被盜事件,當時被竊資產價值約790 萬美元。
Rug Pull / 釣魚詐騙
典型安全事件4起
(1) 11月15日,0x916d 開頭地址遭遇網路釣魚,導致損失211 stETH(654,042 美元)。
(2) 11月16日,價值341,103 美元$FET受害者簽署惡意「permit2」網路釣魚簽名後,令牌在1 小時前被盜。受害者為0xcc5開頭地址。
(3) 11月22日,推特用戶@r_cky0 透露,當使用ChatGPT 生成程式碼開發一個區塊鏈自動交易機器人時,GPT 推薦的程式碼中隱藏了後門,將私鑰發送至釣魚網站,導致其損失約2500 美元。
(4) 11月30日,0x0140 開頭地址在簽署「許可證」網路釣魚簽名後損失了4.25 WBTC(410,096 美元)。
總結
本月因釣魚詐騙事件造成損失佔總損失的64.8% ,共約1.31億美元。
零時科技安全團隊建議專案方隨時保持警惕,提醒廣大用戶要小心釣魚攻擊。建議使用者在參與專案前充分了解專案的背景、團隊,謹慎選擇投資項目。此外也需做好內部安全訓練和權限管理,在專案上線前尋找專業的安全公司進行審計並做好專案背景調查。