Web3 安全事件每月盘点。

作者:慢雾安全团队

概览

据慢雾区块链被黑档案库 (https://hacked.slowmist.io) 统计,2024 年 3 月,共发生安全事件 33 起,总损失约 1.39 亿美元,原因涉及合约漏洞、内部作恶、闪电贷攻击、私钥泄露和账号被盗等。

主要事件

WOOFi

2024 年 3 月 5 日,DEX WOOFi 在 Arbitrum 上控制 WOOFi 交易定价的 sPMM 算法遭利用。这次利用是由一系列闪电贷组成的,攻击者利用低流动性操纵 WOO 的价格,然后以更低的价格偿还闪电贷。攻击者在极短的时间内重复攻击 3 次,偿还闪电贷后获利约 875 万美元。

(https://twitter.com/_WOOFi/status/1765150687166415129)

Unizen

2024 年 3 月 9 日,DeFi 交易平台 Unizen 在一次攻击中损失了约 210 万美元的 USDT,攻击利用了项目智能合约的外部调用漏洞。3 月 12 日,Unizen 的 CTO Martin Granström 发推表示已从四名黑客那里追回了价值 18.5 万美元的被盗资金。

(https://twitter.com/SlowMist_Team/status/1766311510362734824)
(https://twitter.com/MartinGranstrom/status/1767279080380973084)

Mozaic

2024 年 3 月 15 日,DeFi 项目 Mozaic 遭攻击,攻击者从该项目中窃取了约 200 万美元。据 Mozaic 称,这次盗窃是由一名开发人员实施的,该开发人员成功获取了核心团队成员持有的私钥。Mozaic  还表示,约 90% 的被盗资金已在 MEXC 上冻结。

 (https://twitter.com/Mozaic_Fi/status/1768754080271196178)

Remilia

2024 年 3 月 17 日,Milady 的母公司 Remilia 的热钱包及其多签金库被盗,多个 Remilia 官方钱包的资产被转移并出售。Milady 创始人 Charlotte Fang 发推表示自己被黑客攻击。尽管该项目的财务部门采用了多重签名模式,但私钥存储在一个密码管理器中,Fang 称该密码管理器已被攻破。攻击者窃取了大约 490 个以太币(约 180 万美元)、5.8 万美元的 USDC、130 多个 Milady NFTs、320 个 Remilio NFTs 和数百个在 NFTX 平台上发行的衍生代币。根据最低价格,这些资产的价值超 600 万美元。

(https://twitter.com/CharlotteFang77/status/1769128702561198519)

Dolomite

2024 年 3 月 20 日,Arbitrum 生态中的去中心化交易协议 Dolomite 在以太坊主网上的旧合约因存在漏洞被攻击,大约 187 名受害者遭受了资产损失,具体损失为 1,245,271 USDC、94,423 DAI 和 165.9 WETH(总计约 180 万美元)。截至 3 月 24 日,在慢雾安全团队与其他伙伴的协助下,Dolomite 已恢复了 90% 的被盗资金。同时,Dolomite 团队对慢雾安全团队表达了致谢。

(https://twitter.com/Dolomite_io/status/1773845966707454026)

Super Sushi Samurai

2024 年 3 月 22 日,基于 Blast Layer 2 的新型区块链游戏 Super Sushi Samurai 因代币合约存在漏洞被攻击,损失约 460 万美元。盗窃后不久,攻击者联系了该项目,声称自己是白帽。随后,Super Sushi Samurai 确认资金已经归还,其中的 5% 作为赏金。

(https://twitter.com/SSS_HQ/status/1771054306520867242)

Curio Ecosystem

2024 年 3 月 24 日,RWA 基础设施 Curio Ecosystem 遭遇攻击,损失约 1600 万美元,涉及其生态系统内基于 MakerDAO 的智能合约。攻击原因疑为权限访问逻辑漏洞,攻击者利用该漏洞,铸造了额外的 10 亿枚 CGT。

(https://twitter.com/curio_invest/status/1771635979192774674)

Munchables

2024 年 3 月 27 日,Blast 生态项目 Munchables 遭攻击,损失约 6250 万美元。同日,Blast 创始人 Pacman 发推表示:“Blast 核心贡献者已通过多重签名获得 9700 万美元的资金。感谢前 Munchables 开发者选择最终退还所有资金,且不需要任何赎金。”

(https://twitter.com/PacmanBlur/status/1772871466935013701)

Prisma Finance

2024 年 3 月 28 日,去中心化借贷协议 Prisma Finance 遭攻击,总损失约 3257.7 枚 ETH(约 1160 万美元)。攻击原因在于 MigrateTroveZap 合约的 onFlashloan 函数缺乏输入验证,使得攻击者能够伪造迁移数据,从而实现未经授权的抵押品转移,导致合法的 Prisma Finance 用户受损。

(https://twitter.com/PrismaFi/status/1773316945430852058)

同日,被标记为 Prisma Finance 攻击者之一的 0x2d4 开头地址向项目方发消息称 “本次行动是一次白帽救援,我可以联系谁来退款?” 然而双方随后的沟通似乎不太顺利。

(https://etherscan.io/idm?addresses=0x2d413803a6ec3cb1ed1a93bf90608f63b157507a,0xd8531a94100f15af7521a7b6e724ac4959e0a025&type=1)

Solana

近期,Solana 生态正在应对一系列钱包被盗问题。尽管尚未确定确切的原因,但一些盗窃与类似 Solareum 的交易机器人有关。据安全研究员 Plum 消息,Solareum Telegram 交易机器人漏洞导致了约 100 万美元的 SOL 损失。

(https://twitter.com/Plumferno/status/1774549022813872164)

总结

本月 33 起安全事件中,有 4 个项目 (Munchables, Super Sushi Samurai, Dolomite 和 Unizen) 共计追回约 6846 万美元的被盗资金;

本月 3 起内部作恶事件导致的损失达 6540 万美元,占本月总被盗金额的 46.9%,慢雾安全团队建议项目方仔细审查内部安全措施,并加强对敏感信息和资产的访问控制;

本月 8 起合约漏洞利用事件导致约 3689 万美元的损失,慢雾安全团队建议项目方始终保持警惕并定期进行安全审计,跟踪和解决新的安全威胁和漏洞,最大程度地保护项目和资产安全;

最后,本文收录的事件为本月主要安全事件,个人用户被盗事件未纳入统计。更多区块链安全事件可在慢雾区块链被黑档案库 (https://hacked.slowmist.io/) 查看,点击阅读原文可直接跳转。

免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。