Web3 安全事件每月盤點。

作者:慢霧安全團隊

概覽

2024 年 8 月,Web3 安全事件總損失約 3.16 億美元。其中,據慢霧區塊鏈被黑檔案庫 (https://hacked.slowmist.io) 統計,被黑事件共發生 28 起,導致損失約 2.53 億美元,有 1358 萬美元得到返還,事件原因涉及合約漏洞、帳號被駭和前端攻擊等。此外,根據 Web3 反詐騙平台 Scam Sniffer 統計,本月有 9145 名釣魚事件受害者,總損失達 6,293 萬美元。

圖片
(https://dune.com/scam-sniffer/august-scam-sniffer-2024-phishing-report)

主要事件

Convergence Finance

2024 年 8 月 1 日,Convergence Finance 被攻擊,攻擊者鑄造並出售了 5,800 萬個 CVG 代幣,約 21 萬美元(相當於專門用於質押發放的全部代幣份額)。此外,來自 Convex 的約 2000 萬美元未領取的獎勵也被盜。根據 Convergence Finance 發布的事故分析報告,此次事件的根本原因是獎勵分配合約的`claimMultipleStaking` 函數缺乏對用戶輸入的驗證。

圖片
(https://medium.com/@cvg_wireshark/post-mortem-08-01-2024-e80a49d108a0)

Ronin

2024 年 8 月 6 日,遊戲區塊鏈 Ronin 遭攻擊,Ronin Bridge 專案出現異常提取跨鏈資產的行為。根據慢霧安全團隊分析,此攻擊是由於權重被修改為意外值,資金無需經過任何多重簽章閾值檢查即可提取。攻擊者從橋中提取了約 4000 枚 ETH 和 200 萬枚 USDC,價值約 1200 萬美元。截至 8 月 7 日,白帽歸還了價值 1,200 萬美元的資產,並獲得 50 萬美元的漏洞賞金。

圖片
(https://x.com/slowmist_team/status/1820783952145355247?s=46&t=DLwbX9Nw4QECiyZQ0av-fg)

Nexera

2024 年 8 月 7 日,一名外部攻擊者獲得了管理 Nexera Fundrs 平台智能合約的憑證。利用這些憑證,攻擊者從以太坊上的 Fundrs 質押合約中轉移了 NXRA 代幣,導致約 183 萬美元的損失。在被盜的 4,724 萬 NXRA 代幣中,攻擊者只售出了 1,475 萬代幣(約 44.9 萬美元)。 Nexera 成功從攻擊者的錢包中移除了剩餘的 3,250 萬 NXRA 餘額,防止了進一步的損失。

Vow

2024 年 8 月 13 日,Vow 因合約漏洞遭攻擊,損失約 120 萬美元。根據 VOW 訊息,當時團隊正在測試 v$ 合約的 USD 匯率設定功能,以便為新的借貸池和預言機功能鑄造 v$。攻擊者利用了短暫的時間窗口和匯率變動,購買並發送了大量 VOW 代幣到合約中,導致生成了近 20 億 v$,並將其賣回 Uniswap 池中,從而獲利。

圖片
(https://x.com/Vowcurrency/status/1823407231658025300)

User

2024 年 8 月 19 日,根據鏈上偵探 ZachXBT 消息,一筆涉及 4064 BTC(約 2.38 億美元)的可疑轉帳可能來自一名潛在的受害者。隨後資金很快就轉移到 ThorChain、eXch、Kucoin、ChangeNow、Railgun 和 Avalanche Bridge。截至 8 月 27 日,已有 20.5 萬美元被收回。

圖片
(https://x.com/zachxbt/status/1825499490956231021)

User

2024 年 8 月 21 日,根據 Scam Sniffer 監測,一名受害者在簽署了針對其 DeFi Saver Proxy 的網路釣魚交易後,損失了價值 5,543 萬美元的 DAI。根據 MistTrack 分析,這筆資金被發送到多個地址,隨後大部分被兌換成 ETH。

圖片
(https://x.com/MistTrack_io/status/1826273448626356697)

Aave

2024 年 8 月 28 日,DeFi 借貸平台 Aave 的一個外圍合約遭攻擊,攻擊者利用了一個任意呼叫錯誤,導致約 5.6 萬美元的損失。受影響的外圍合約 ParaSwapRepayAdapter 並不屬於 Aave 核心協議,該合約用於允許用戶利用現有的抵押品償還貸款,透過去中心化交易所 ParaSwap 進行資產交換。雖然該合約本身並沒設計為持有用戶資金,但由於交易中的正滑點,合約中會逐漸累積一些剩餘的代幣。 Aave 的相關人員強調,這次攻擊並沒有對用戶資金造成威脅,也沒有影響核心 Aave 協議的安全。

圖片
 (https://x.com/bgdlabs/status/1828736554262470792)

總結

圖片

本月帳號安全問題成為創投區,帳號被駭事件數佔總被駭事件數的 64.3%。值得注意的是,駭客的攻擊對像不僅是區塊鏈知名項目和成員,還包括明星及傳統行業的知名品牌,如足球明星 Kylian Mbappe,麥當勞等。駭客盜取知名帳號後,常發布含有釣魚連結的動態或推廣某代幣,慢霧安全團隊提醒廣大用戶要謹慎釣魚攻擊,多方確認訊息的真實性,謹慎投資。本月的帳號被駭事件多發生在 Discord 上,此前我們在慢霧:揭露瀏覽器惡意書籤如何盜取你的 Discord Token  中講解過 Discord Token 機制,點擊鏈接可跳轉閱讀。

最後,本文收錄的事件為本月主要安全事件,更多區塊鏈安全事件可在慢霧區塊鏈被黑檔案庫 (https://hacked.slowmist.io/) 查看,點擊閱讀原文可直接跳轉。

免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。

欢迎加入 Web3Caff 官方社群X(Twitter)账号微信读者群微信公众号Telegram订阅群Telegram交流群