11 月 Web3 安全事件盤點:總損失約 8,624 萬美元
概覽
2024年11月,Web3安全事件總損失約8,624萬美元。其中,據慢霧Blockchain被黑檔案庫(https://hacked.slowmist.io)統計,共發生21起被黑事件,導致損失約7,686萬美元,有2,550萬美元得到返還,事件原因涉及合約漏洞、賬號被黑和價格操縱等。此外,據Web3反詐騙平臺ScamSniffer統計,本月有9,208名釣魚事件受害者,損失規模達938萬美元。
2024年11月4日,據鏈上偵探ZachXBT監測,加密博彩平臺MetaWin疑似遭攻擊,在Ethereum和Solana鏈上被盜取400多萬美元。據MetaWinCEOSkel表示,攻擊者是通過平臺的frictionlesswithdrawal系統入侵了MetaWin的熱錢包。
Thala
2024年11月15日,基于Aptos的DeFi項目Thala遭攻擊,導致2,550萬美元被盜,攻擊者利用了其智能合約中的漏洞。項目方暫停了相關智能合約并凍結了部分Tokens,最終成功凍結約1,150萬美元的資產。在與執法部門和多個Blockchain安全團隊合作后,項目方成功協商追回了資產,并允許攻擊者保留30萬美元作為賞金。
PolterFinance
2024年11月17日,基于Fantom的DeFi項目PolterFinance遭攻擊,損失約1,200萬美元。攻擊者通過閃電貸耗盡了BOO的Tokens儲備,人為抬高了BOO的計算價格。這使其能夠借出遠超抵押品實際價值的Tokens,從而獲得了巨額利潤。該平臺的創始人表示,他們已向新加坡當局提交了報告,并嘗試通過鏈上消息與攻擊者聯系以協商歸還資金,但尚未收到回應。
此外,慢霧安全團隊注意到,本月發生了針對Crypto行業的AI投毒真實攻擊案例。這一現象表明,供應鏈攻擊的目標范圍正進一步擴大。一些開發者在追求效率的同時,可能過于依賴AI生成的代碼,而忽視了對代碼安全性的審查。因此,慢霧安全團隊提醒開發者和項目方,在使用AI生成代碼時,切勿盲目信任輸出結果。所有代碼在投入實際使用前,都應經過嚴格的安全審計與測試,以防范安全隱患,保護項目及用戶的資產安全。與此同時,項目方還應加強供應鏈整體的安全管理,對第三方工具和服務進行全面評估,并持續關注相關領域的安全動態,以及時應對新型威脅。