零時科技每月安全事件看點開始了!根據一些區塊鏈安全風險監測平台統計顯示,2025年1月因漏洞、駭客和詐騙造成的損失約9,800萬美元,發生28次加密貨幣駭客攻擊,其中約800萬美元歸因於網路釣魚。但相較於2024年1月的1.33億美元損失,下降44.6% 。較24年12月份的2,358萬美元損失下降了56% 。
駭客攻擊方面
典型安全事件7起
(1) 1月8日,Orange Finance(Arbitrum 上的DeFi 協定)的用戶被竊取了超過80 萬美元。攻擊者能夠存取該協議的管理金鑰,並利用這些金鑰對該協議的合約執行惡意升級,從而竊取所有對該協議擁有有效代幣批准的用戶的錢包。
(2) 1月8日,Moby 發生了一起私鑰外洩事件,影響了某些協議中的部分LP 資產。他們表示這不是與協議智能合約相關的安全問題,而是駭客試圖透過使用被盜的代理私鑰簡單地升級現有智能合約來竊取資金。最後,tonykebot 利用UUPS 實施中缺乏保護的情況,實施了一次成功的白帽救援行動,將此前攻擊鏈上期權協議Moby 黑客獲取的147 萬枚USDC 返還給了項目所有者。
(3) 1月13日,據零時科技安全團隊監測,EVM 鏈上的UniLend 遭攻擊,損失約19.7 萬美元本次漏洞的成因是Unilend 在進行redeem 時,在計算抵押物的數量時沒有減去redeem 應該轉出的數量,導致錯誤的計算後,在計算抵押物的數量時沒有減去redeem 應該轉出的數量,導致錯誤的計算後,本最終導致攻擊者掏空了專案方的stETH 代幣。
詳細攻擊分析可點此連結:
(4) 1月15日,零時科技專案團隊監測到多起針對Ethereum 鏈上項目Sorra 攻擊事件,攻擊共造成41, 000 USD 的損失。這次漏洞的成因是Sorra 專案方在使用者withdraw 時,沒有判斷使用者是否已經提取過了reward ,導致使用者可以透過大量的操作重複提取reward 。攻擊者利用上述漏洞發動多次交易,將Sorra 專案中的SOR Token 全部提取。
詳細攻擊分析可點此連結:
(5) 1月21日,Forta 偵測到了TheIdolsNFT 上價值32.4 萬美元的漏洞。
(6) 1月23日,總部位於新加坡的Phemex 加密貨幣交易所的熱錢包被攻擊,導致約7 千萬美元的損失。
(7) 1月24日,根據慢霧安全團隊監測,由於ODOS 缺乏輸入驗證,該漏洞已在多個鏈上被利用,損失約10 萬美元。 ODOS 推文表示攻擊利用了其經過審計的executor 合約中的漏洞,竊取了儲存在合約中的收入,但未影響任何用戶資金。
Rug Pull / 釣魚詐騙
典型安全事件10起
(1) 1月2日,一名$VIRTUAL 持有者持有約39 倍($196,396)的代幣,因「增加限額」網路釣魚交易而丟失了所有代幣。
(2) 1月3日,一名$RLB 持有者因「Uniswap Permit2」網路釣魚簽名而失去了價值約100 萬美元的所有代幣。
(3) 1月6日,0x5167 開頭地址因簽署「增加津貼」網路釣魚交易後損失了價值155,256 美元的EIGEN。
(4) 1月7日,0x8536 開頭地址在簽署「Uniswap Permit2」網路釣魚交易後損失了價值103,020 美元的代幣。
(5) 1月8日,0x3402 開頭地址在簽署多個網路釣魚簽名後損失了價值474,422 美元的$OLAS、$SEKOIA、$VIRTUAL 和$FJO。
(6) 1月14日,0x00c0 開頭地址在簽署網路釣魚交易後損失了價值263,255 美元的$VIRTUAL。
(7) 1月17日,0x80dc 開頭地址在簽署了「許可證」網路釣魚簽名後損失了價值426,106 美元的USUALUSDC+。
(8) 1月20日,0x1e70 開頭地址在簽署「允許」網路釣魚簽名後損失了價值135,068 美元的WETH。
(9) 1月22日,0x3149 開頭地址在簽署「轉帳」網路釣魚交易後損失了價值553,045 美元的$PAXG。
(10) 1月29日,0xeb2 開頭地址在簽署「increaseApproval」網路釣魚交易後損失了價值384,645 美元的$LINK。
總結
1月份加密貨幣釣魚詐騙從9,220 名受害者那裡竊取了1,025 萬美元,較12月份的2,358 萬美元損失下降了56% 。然而,不法分子正在不斷進化並採用更複雜的攻擊手段。
零時科技安全團隊建議專案方隨時保持警惕,提醒廣大用戶要小心釣魚攻擊。建議使用者在參與專案前充分了解專案的背景、團隊,謹慎選擇投資專案。此外也需做好內部安全訓練和權限管理,在專案上線前尋找專業的安全公司進行審計並做好專案背景調查。
