撰文:零时科技
零时科技每月安全事件看点开始了!据一些区块链安全风险监测平台统计显示,2024 年 9 月,各类安全事件损失金额较 8 月有所下降。9 月发生较典型安全事件超 28 起,因黑客攻击、钓鱼诈骗和 Rug Pull 造成的总损失金额达 1.2 亿美元,较 8 月下降约 61.8%,有 490 万美元得到返还。此外,据 Web3 反诈骗平台 Scam Sniffer 统计,本月有 10,525 名钓鱼事件受害者,损失规模达 4,643 万美元。
黑客攻击方面
典型安全事件 9 起
(1) 9 月 4 日,建立在代币化收益平台 Pendle 上的 DeFi 协议 Penpie 遭到黑客攻击,黑客从该协议中窃取了约 2700 万美元的加密资产,包括各种类型的质押 ETH 、Ethena sUSDE 和包装 USDC 稳定币。
(2) 9 月 11 日,印尼加密货币交易平 indodax 遭攻击。它的钱包在不同网络上进行了 150 多笔可疑交易,总损失达 2200 万美元。该可疑地址正在用各种代币兑换 ETH。根据慢雾安全团队的分析,可以排除热钱包被攻破的可能性,有可能是提现系统被黑。
(3) 9 月 16 日,DeFi 项目 DeltaPrime 官方于 X 平台确认发生安全事件,其表示 DeltaPrime Blue(Arbitrum)遭到攻击,损失 598 万美元,原因为私钥被盗。攻击手法:私钥泄露。
(4) 9 月 20 日,新加坡加密货币平台 BingX 在周五报告了一起网络攻击事件。威胁行为者盗取了价值超过 4400 万美元的加密货币。公司表示,他们在 2024 年 9 月 20 日凌晨 4:00 左右检测到异常的网络活动,这可能表明有人针对他们的热钱包进行了黑客攻击。BingX 立即响应了这一事件,将资产转移到冷钱包,并暂时暂停了提款。虽然有少量资产损失,但确切金额仍在计算中。最终,在慢雾安全团队的帮助下,约 100 万美元的被盗资金已被冻结。
(5) 9 月 21 日,吴说获悉,安全机构 fuzzland 联创 @shoucccc 发推表示,抵押贷款协议 Shezmu 遭遇黑客攻击,约 490 万美元的 ShezUSD 被盗。攻击者利用一个允许任何人铸造的抵押品漏洞,借出大量 ShezUSD。由于流动性不足,这些 ShezUSD 仅兑换成约 70 万美元。
(6) 9 月 24 日,据区块链安全平台 TenArmor 报道,去中心化金融(DeFi)协议 Bankroll Network 于 9 月 22 日遭到黑客攻击,损失金额达 23 万美元。攻击者利用合约漏洞,通过多个 Binance Coin(BNB)的转账操作,从 BankrollNetworkStack 合约中转移了大量资金。
(7) 9 月 26 日,Onyx 协议遭遇安全事故,损失超过 380 万美元。攻击者利用了 Compound V2 代码中的已知精度问题,此外,NFTLiquidation 合约未能正确验证(不可信)用户输入,导致攻击者利用该漏洞夸大了自我清算奖励的数额,从而进一步加剧了损失。攻击手法:合约漏洞
(8) 9 月 26 日,据 ZachXBT 透露,Coinbase Ventures 支持的加密项目 Truflation 遭遇黑客攻击,损失约 500 万美元,资金被盗自其「多重签名资金库和个人钱包」。 慢雾安全团队及时跟进被盗资金的转移动向,攻击者当天已将 415 ETH 转移到 0xb1cf7880351e6d16313c03a6686b4c8a5ba6372a,目前,该地址上已沉淀了 523 ETH,暂未转出。
(9) 9 月 27 日,多链流动性再质押协议 Bedrock 在社交媒体发布公告,团队已经意识到涉及 uniBTC 的安全漏洞,被盗的总估计损失约为 200 万美元。零时科技团队分析攻击者利用失真的价格来通过借贷进行获利,最终导致攻击者用借贷来的 WETH 掏空了项目方的 uniBTC 代币。
总结
从上述多个事件分析来看,9 月份发生攻击原因合约漏洞的安全事件为 9 起,导致损失达到 4,100 万美元,占总被黑损失(1.24 亿美元)的 33.06%;本月账号被黑事件有 8 起,相比上月(18 起)有显著减少。
零时科技安全团队建议项目方始终保持警惕,提醒广大用户谨防钓鱼攻击,谨慎投资。建议项目方在进行全面的安全审计的同时也尽量建立一个全面的应急计划,以便事情突发时可有效应对。此外也需做好内部安全培训和权限管理,在项目上线前寻找专业的安全公司进行审计并做好项目背景调查。