【安全月報】| 12月份因漏洞、駭客攻擊等損失為2,860萬美元，為全年駭客攻擊最少月份

零时科技｜2025-01-03 10:30

12月發生較典型安全事件超23起，因駭客攻擊、釣魚詐騙和Rug Pull造成的總損失金額達2,860萬美元

零時科技每月安全事件看點開始了！根據一些區塊鏈安全風險監測平台統計顯示，2024年12月，各類安全事件損失金額較11月大幅下降。 12月發生較典型安全事件超23起，因駭客攻擊、釣魚詐騙和Rug Pull造成的總損失金額達2,860萬美元，較11月下降約55%。

駭客攻擊方面

典型安全事件7起

(1) 12月1日，安全機構fuzzland 聯創@shoucccc 發推文表示，去中心化交易平台Clipper 因API 漏洞（如私鑰洩漏）而遭到駭客攻擊。目前損失超過50 萬美元，650 萬美元面臨風險，並建議用戶立即提領。而第二天，去中心化交易所（DEX）Clipper 澄清稱，其提款功能中存在漏洞，導致其協議最近遭到駭客攻擊，損失金額達45 萬美元，而非「第三方」所說的私鑰洩漏。

【安全月報】| 12月份因漏洞、駭客攻擊等損失為2,860萬美元，為全年駭客攻擊最少月份

(2) 12月3日，根據慢霧安全團隊監測，RunWay (BYC) 疑似在BSC 上遭攻擊，損失約10 萬美元。

【安全月報】| 12月份因漏洞、駭客攻擊等損失為2,860萬美元，為全年駭客攻擊最少月份

(3) 12月4日，安全公司Fuzzland聯合創始人Chaofan Shou在X平台表示：「Vestra DAO剛剛遭到駭客攻擊，目前仍在繼續。已損失48萬美元，未來可能還會損失更多。建議立即撤回質押並撤回流動性。

【安全月報】| 12月份因漏洞、駭客攻擊等損失為2,860萬美元，為全年駭客攻擊最少月份

(4) 12月10日，零時科技專案團隊監控到一起針對Base 上的專案CloberDEX 的鏈上攻擊事件，本次漏洞成因主要是因為CloberDEX 專案方合約在取得銷毀LP Token 的程式碼中沒有進行重入檢測和防護，且更新狀態變數在合約呼叫之後，最終導致攻擊者利用該重入漏洞掏空專案方的WETH 。

詳細攻擊分析可點此連結：

https://mp.weixin.qq.com/s/ff0YJBuZiaVBIIUZlarXRQ

(5) 12月15日，零時科技專案團隊監控到一起針對BnbSmartChain 上的專案DCFToken 的鏈上攻擊事件，被攻擊的專案為DCFToken ，攻擊者透過此攻擊獲利約為8800 USD 。這次漏洞成因主要是因為DCFToken 專案方合約在取得DCFToken 的價格時，透過單一來源PancakeSwapV2 來計算，導致價格被攻擊者操縱，最後利用價差套利。

詳細攻擊分析可點此連結：

https://mp.weixin.qq.com/s/DDadR1nOyYl-dPi5zwLLSQ

(6) 12月24日，根據Scam Sniffer監測，一名受害者因假冒Zoom惡意軟體損失了100萬美元，與us04-zoom[.]us威脅行為者有關。目前私鑰盜竊惡意軟體案件上升，應嚴格驗證來源，並在安裝前進行安全掃描。先前，X平台用戶Lsp（@lsp8940）發文表示，「錢包被盜損失100萬枚Usd0++，駭客偽裝了一個推特，透過我的推特互動訊息，偽裝成我的朋友，然後對方說要對項目發展和我一起聊天開個會，發了zoom連結給我，我電腦本身有zoom，但是之前用zoom的時候老有問題，需要重新安裝，所以網頁提示需要重新安裝的時候，我重新安裝了，醒來發現已經被盜了。

(7) 12月29日，FEG 專案遭攻擊，損失約100 萬美元，據分析，此事件的根本原因似乎是與底層Wormhole 跨鏈橋整合時出現的可組合性問題，該橋用於跨鏈消息和代幣的傳輸。