【安全月報】| 11月區塊鏈安全事件有所上漲,因駭客攻擊等損失金額達2.03億美元

零時科技每月安全事件看點開始了!根據一些區塊鏈安全風險監測平台統計顯示,2024年11月,各類安全事件損失金額較10月上漲。 11月發生較典型安全事件超30起,因駭客攻擊、釣魚詐騙和Rug Pull造成的總損失金額達2.03億美元,較10月增長約38% ,有2520萬美元得到返還。

駭客攻擊方面

典型安全事件10

(1) 11月11日,MetaScout 探測到在Ethereum 上的穩定幣協議Raft 遭受了一次閃電貸攻擊,結果導致6.7 百萬枚穩定幣$R被鑄造,協議損失了360 萬美元。根本原因是在鑄造份額代幣時發生的精度計算問題,駭客利用這個問題來獲取額外的份額代幣。

(2) 11月12日,基於區塊鏈的借貸平台Delta Prime 在兩個月內遭受了第二次攻擊。根據最新估計,近500 萬美元的加密資產已被轉移。此前不久,Delta Prime 於9 月中旬遭受了一次約600 萬美元的攻擊,當時該協議的一名管理員失去了對其私鑰的控制權,導致該協議的損失超過1000 萬美元。

【安全月報】| 11月區塊鏈安全事件有所上漲,因駭客攻擊等損失金額達2.03億美元

(3) 11月14日,vETH 計畫遭受攻擊。根據攻擊行為推測,本事件的原因是由於vETH 專案方近期部署的關聯合約0x62f2...a1b5 存在價格操控漏洞,導致vETH 合約進行了異常價格的借貸行為。目前累計損失約45 萬美元。

【安全月報】| 11月區塊鏈安全事件有所上漲,因駭客攻擊等損失金額達2.03億美元

【安全月報】| 11月區塊鏈安全事件有所上漲,因駭客攻擊等損失金額達2.03億美元

(4) 11月15日,Aptos 生態DeFi 專案Thala 因最新的V1 流動性池合約遭安全漏洞攻擊,導致價值2,550 萬美元的資產被盜。目前Thala 已暫停所有相關合約並凍結了Thala 代幣資產(900 萬美元MOD 和250 萬美元THL),在其他機構的協助下已與攻擊者協議透過30 萬美元賞金恢復全部用戶資產。

【安全月報】| 11月區塊鏈安全事件有所上漲,因駭客攻擊等損失金額達2.03億美元

(5) 11月18日,零時科技專案團隊監控到BNB Smart Chain 上的一起攻擊事件,被攻擊的專案為BTB 。本次漏洞的成因是專案方在完成兌換BTB 到BUSD 時,使用了過時的價格預言機,導致攻擊者可以輕易操縱BTB 的價格,先進行大筆買入BTB ,拉高BTB 的價格後再賣出,最後完成套利。本次攻擊共造成約5000 USD 的損失。

詳細攻擊分析可點此連結: https://mp.weixin.qq.com/s/fAAL7MzU5hU995ouCPz2yw

(6) 11月19日,Polter Finance 遭受1,200 萬美元閃貸駭客攻擊,目前正在調查與Binance 錢包相關的被盜資金,並提出與攻擊者談判。 11月17日,Polter Finance 在發現漏洞後暫停了平台運營,並在X 上通知了投資者。協議調查了被盜資金,並追蹤到加密貨幣交易所Binance 上的錢包。

(7) 11月19日,鏈上交易終端DEXX就先前安全事件發布更新:「 DEXX 已正式提起訴訟,並且慢霧團隊正在積極協助執法部門進行後續調查。同時,DEXX 正在積極討論補償計劃。此前消息,根據慢霧統計,DEXX 事件已確定超過900 名受害者,總損失估計為2,100 萬美元。

【安全月報】| 11月區塊鏈安全事件有所上漲,因駭客攻擊等損失金額達2.03億美元

(8) 11月20日,根據慢霧安全團隊監測,BSC 上的BSCGem (BSCGem) 疑似遭攻擊,已導致約1.73 萬美元的損失。

【安全月報】| 11月區塊鏈安全事件有所上漲,因駭客攻擊等損失金額達2.03億美元

(9) 11月25日,零時科技安全團隊監控到BNB Smart Chain 上的一起攻擊事件,被攻擊的項目為DCF 。本次漏洞的成因是專案方在實作DCF 的transfer 函數時,編寫了錯誤的邏輯。導致攻擊者透過transfer 給swap pair 後,銷毀pair 中的DCF ,因此可以輕易操縱DCF 的價格,最後完成套利。本次攻擊共造成約440,000 USD 的損失。

詳細攻擊分析可點此連結:

https://mp.weixin.qq.com/s/NkMjMEmtoffwkH_ZzfMxig

(10) 11月29日,根據鏈上安全監控機構BitJungle 監測,曾盜取DeFi 部落客「挖礦小企鵝」私鑰的駭客地址在沉默一年零十個月後出現異動。駭客已將400 萬枚DAI 轉換為ETH,其中900 枚ETH 已進入混幣器,剩餘ETH 仍留存於駭客地址。據悉,「挖礦小企鵝」於2023年1月14日遭遇私鑰被盜事件,當時被竊資產價值約790 萬美元。

Rug Pull / 釣魚詐騙

典型安全事件4

(1) 11月15日,0x916d 開頭地址遭遇網路釣魚,導致損失211 stETH(654,042 美元)。

(2) 11月16日,價值341,103 美元$FET受害者簽署惡意「permit2」網路釣魚簽名後,令牌在1 小時前被盜。受害者為0xcc5開頭地址。

(3) 11月22日,推特用戶@r_cky0 透露,當使用ChatGPT 生成程式碼開發一個區塊鏈自動交易機器人時,GPT 推薦的程式碼中隱藏了後門,將私鑰發送至釣魚網站,導致其損失約2500 美元。

(4) 11月30日,0x0140 開頭地址在簽署「許可證」網路釣魚簽名後損失了4.25 WBTC(410,096 美元)。

總結

本月因釣魚詐騙事件造成損失佔總損失的64.8% ,共約1.31美元。

零時科技安全團隊建議專案方隨時保持警惕,提醒廣大用戶要小心釣魚攻擊。建議使用者在參與專案前充分了解專案的背景、團隊,謹慎選擇投資項目。此外也需做好內部安全訓練和權限管理,在專案上線前尋找專業的安全公司進行審計並做好專案背景調查。