Web3 安全事件每月盤點。

作者:慢霧安全團隊,慢霧科技

概覽

據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io)統計,2024 年 2 月,共發生安全事件 28 起,總損失約 4.04 億美元,原因涉及合約漏洞、DDoS 攻擊、閃電貸攻擊、私鑰洩露和帳號被盜等。

主要事件

Phantom

2024 年 2 月 2 日,加密錢包 Phantom 表示遭 DDoS 攻擊,有人試圖過載其系統,一些服務可能會暫時中斷,用戶資產安全。 隨後,Phantom 在推特發文表示,所有服務已恢復正常並再次順利運行。

 (https://twitter.com/phantom/status/1753100432145318116)

Starlay Finance

2024 年 2 月 8 日,Polkadot 生態的借貸協定 Starlay Finance 遭攻擊,損失約 210 萬美元。 2 月 9 日,Starlay Finance 發推稱初步分析表明,此次攻擊是由於流動性指數計算錯誤被利用,導致未經授權的提款。

(https://twitter.com/starlay_fi/status/1755856271184654360)

PlayDapp

2024 年 2 月 10 日,區塊鏈遊戲平臺 PlayDapp 遭攻擊,駭客的位址被添加為鑄幣者,鑄造 2 億枚 PLA 代幣(約 3650 萬美元)。 事件發生后不久,PlayDapp 通過鏈上交易給駭客發送消息,要求歸還被盜資金並提供 100 萬美元白帽獎勵,但最終談判失敗。 2 月 12 日,PlayDapp 遭二次攻擊,駭客又鑄造了 15.9 億枚 PLA 代幣(約 2.539 億美元)並開始通過加密貨幣交易平台轉移。 據統計,駭客攻擊導致約 2.9 億美元的損失。

(https://twitter.com/playdapp_io/status/1756060784692736038)

Duelbits

2024 年 2 月 14 日,加密博彩平臺 Duelbits 的熱錢包遭攻擊,損失約 460 萬美元,被盜原因疑為私鑰洩露。

(https://twitter.com/Duelbits/status/1758159495807541459)

FixedFloat

2024 年 2 月 17 日,根據鏈上數據,加密貨幣交易平臺 FixedFloat 遭攻擊,損失約 2610 萬美元的比特幣和乙太坊。 FixedFloat 針對此次攻擊事件澄清:這次駭客攻擊是由於安全結構中的漏洞引起的外部攻擊,並不是由員工所實施,使用者資金並未受到「外部攻擊」的影響。 2 月 18 日,FixedFloat 在推特表示:「確認確實存在駭客攻擊和資金被盜的情況,我們尚未準備好就此事發表公開評論,因為我們正在努力消除所有潛在的漏洞、提高安全性並進行調查。 FixedFloat 的服務將很快會恢復,稍後將提供有關此事件的詳細資訊。 ”

(https://twitter.com/FixedFloat/status/1759216185185288653?s=20)

Blueberry Protocol

2024 年 2 月 22 日,DeFi 借貸協定 Blueberry Protocol 遭攻擊,損失約 457.7 ETH(約 135 萬美元),該攻擊被一位白帽駭客 c0ffeebabe.eth 攔截,366 ETH 被返還給了 Blueberry Protocol。 據 Blueberry Protocol 的事件分析報告顯示,此次攻擊是由於預言機部署錯誤導致。

(https://medium.com/@blueberryprotocol/2-22-24-exploit-post-mortem-6f6be7c1dcc3)

BitForex

2024 年 2 月 23 日,總部位於香港的 BitForex 加密貨幣交易平臺疑跑路,其在多個區塊鏈上發生約 5650 萬美元的可疑資金外流后關閉了平臺的訪問許可權。 鏈上偵探 ZachXBT 最先注意到了該交易所的提款異動,他指出,該交易平臺已停止處理提款,並且沒有回復客戶。 該公司於 2023 年中因無證經營在日本面臨監管審查,並被指控誇大交易量。 其首席執行官於一月份辭職,承諾將由新團隊接任。

(https://twitter.com/zachxbt/status/1762028433574650347)

Jihoz

2024 年 2 月 23 日,Axie Infinity 聯合創始人 Jihoz 在推特發文表示:個人的兩個位址已洩露。 此次攻擊的範圍僅為其個人帳戶,與 Ronin 鏈的驗證或運營無關。 此外,洩露的密鑰與 Sky Mavis 的運營無關。 他想向大家保證,已對所有連鎖相關活動都採取了嚴格的安全措施。 據統計,此次攻擊導致約 1000 萬美元的損失。

(https://twitter.com/Jihoz_Axie/status/1760845078757511562)

Seneca

2024 年 2 月 28 日,全鏈 CDP 協定 Seneca 因合約漏洞遭駭客攻擊。 駭客利用構造的 calldata 參數,調用 transferfrom,將授權到該專案合約的代幣轉移到自己的位址上,最後兌換為 ETH。 Seneca 被駭客盜走超 1900 枚 ETH,價值約 650 萬美元。 2 月 29 日,Seneca 駭客將 1537 枚 ETH(約 530 萬美元)返還到 Seneca 部署者位址。

 (https://twitter.com/SlowMist_Team/status/1762865505042645010)

Shido Network

2024 年 2 月 29 日,Ethereum 鏈上去中心化的跨鏈協定 Shido Network 疑跑路。 SHIDO 代幣質押合約的擁有者首先升級了質押合約,然後提取了大量的 SHIDO,最後以 692 枚 ETH(約 210 萬美元)的價格拋售了大量的 SHIDO。

總結

在本月 28 起主要安全事件中,有 2 個專案(Blueberry Protocol 和 Seneca)共計追回約 638 萬美元的被盜資金; 本月 3 起私鑰洩露事件的損失約達 3.04 億,約佔本月安全事件總損失的 75%,慢霧安全團隊建議使用者和專案方加強對私鑰的保護措施,例如使用硬體錢包、離線存儲等方式,提高私鑰的安全性; 本月 4 起合約漏洞利用事件導致約 725 萬美元的損失,慢霧安全團隊建議專案方始終保持警惕並定期進行安全審計,跟蹤和解決新的安全威脅和漏洞,最大程度地保護專案和資產安全。 最後,本文收錄的事件為本月主要安全事件,個人使用者被盜事件未納入統計。 更多區塊鏈安全事件可在慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io/)查看,點擊閱讀原文可直接跳轉。

免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。