零時科技每月安全事件看點開始了!根據一些區塊鏈安全風險監測平台統計顯示,2025年2月因漏洞、駭客和詐騙造成的損失約為17.82億美元,發生20次加密貨幣駭客攻擊,造成約15.1億美元的損失,有5,245 萬美元被凍結或返還。根據Web3 反詐騙平台Scam Sniffer 統計,本月有7,442 名釣魚事件受害者,損失規模達532 萬美元。
駭客攻擊方面
典型安全事件7起
(1) 2月5日,根據零時科技安全團隊監測,Mode Chain 上針對Ionic Money 的一系列攻擊。本次漏洞成因主要是因為IonicMoney 專案方在創建借貸池時沒有驗證資產對應的合約是否是官方部署的,導致借貸池的undelying asset 為fake token 。本次攻擊共損失約8.5 MUSD 。
(2) 2月12日,去中心化金融(DeFi)協議zkLend遭遇重大安全漏洞,導致約3,300枚ETH(約850萬美元)被竊。攻擊者利用zkLend智能合約中的漏洞,未經授權從其流動性池中提取用戶資金,並迅速將資金集中到一個由攻擊者控制的錢包中。事件發生後,zkLend團隊迅速採取行動,透過其Ethereum ZEND代幣部署者帳號發佈公告,並透過其官方X帳號確認了該聲明的真實性。
(3) 2月12日,據零時科技安全團隊監測,Four.meme 計畫遭受攻擊。 four.meme 是一個Binance Academy 孵化的一個類似pump.fun 的memecoin launchpad 。本次漏洞的成因是在Four.meme 在內盤的bonding curve process 為100%,向DEX進行遷移時。使用createAndInitializePoolIfNecessary 建立PancakeSwap 交易對。沒有考慮到交易對已經提前創建的情況,因為錯誤的使用了攻擊者提前創建並初始化完成的交易對,利用攻擊者設定的錯誤的價格添加了流動性。導致遷移後該memecoin 的價格暴增,隨後攻擊者利用手中的memecoin 將池子中的WBNB 掏空完成攻擊。本次攻擊共損失約15, 000 USD 。
(4) 2月18日,Abstract 發現The Portal 內的Cardex 應用發生安全事件,約9,000 個錢包受到影響,總計損失約40 萬美元的ETH。 Cardex 前端程式碼中的金鑰洩露,導致會話簽署錢包遭到入侵。由於該會話簽署錢包被所有會話共享,因此所有在Cardex 上建立會話的使用者都受到了影響。
(5) 2月21日,零時科技安全團隊監測到⼀筆涉及Bybit 交易所的重⼤安全事件。當晚02:16 UTC ,我們監測到Bybit Cold Wallet 發起⼀筆⼤額轉賬,轉出401,346 ETH 、8,000 mETH、90,375 stETH 和15,000 cmETH 價值約1.5 BillionUSD 。在本次攻擊事件中, Bybit 交易所共損失15億美元。根據目前已公開的訊息,Bybit 被盜事件的資金追蹤與凍結工作仍在持續進行中。截至3月3日,在多方協調努力下,Bybit 已成功凍結約4,365 萬美元的被盜資金。
(6) 2月24日,Certik Alert 監測到來自Ethereum 未經驗證合約的可疑資金流出,價值約4,950 萬美元,駭客將其轉換為DAI 後兌換成17,696 枚ETH,DeFi 社區YAM 指出,疑似是Infini Earn Funds 被盜。根據慢霧餘弦監測,Infini 駭客很懂技術,懂智能合約操作,才可能以一把私鑰盜走其Vault 及相關策略裡的資金,盜了兩次:11,455,666 USDC 和38,060,996 USDC。被竊原因是,私鑰洩露,權限過大導致。
(7) 2月27日,CyversAlerts人工智慧系統偵測到與suji_yan 相關的可疑交易。一個可疑地址收到了近4M 的數位資產,包括:113 ETH、923 WETH、301 ezETH、 156 weETH、90 pufET、48.4K MASK、 50K USDT、15 swETH。被盜資產立即被換成ETH 並分佈在六個不同的地址。
Rug Pull / 釣魚詐騙
典型安全事件4起
(1) 2月6日,0x2993 開頭地址在簽署了多個網路釣魚簽名後損失了價值156,183 美元的mooConvexETH+、FLUID 和aEthWETH。
(2) 2月18日,0x1cab 開頭地址在簽署網路釣魚交易後損失了價值308,500 美元的TEL。
(3) 2月18日,0x356e 開頭地址在簽署多筆網路釣魚交易後損失了價值629,812 美元的Aave WETH 和2 個Doodles。
(4) 2月27日,0xadfc 開頭地址在簽署網路釣魚交易後損失了價值158,300 美元的PENDLE-LPT。
總結
2月因加密貨幣駭客攻擊造成的損失高達15.1億美元。成為加密貨幣史上損失最慘重的月份,光是Bybit 事件就損失14.3 億美元。此外,5,245 萬美元的資金得以成功凍結或追回。面對頻繁發生的攻擊事件,業界多方迅速回應,積極投入遏制損失的行動中,全力對抗惡意行徑。同時,業界整體的防禦體係正逐步加固,協作機制也愈發成熟且有效率。最後零時科技安全團隊建議專案方隨時保持警惕,提醒廣大用戶要小心釣魚攻擊。建議使用者在參與專案前充分了解專案的背景、團隊,謹慎選擇投資專案。此外也需做好內部安全訓練和權限管理,在專案上線前尋找專業的安全公司進行審計並做好專案背景調查。
