2 月 Web3 安全事件盤點:總損失共計 4.04 億美元
2 月共發生安全事件 28 起,總損失約 4.04 億美元,原因涉及合約漏洞、DDoS 攻擊、閃電貸攻擊、私鑰洩露和帳號被盜等。撰文:慢霧安全團隊
概覽
據慢霧區塊鏈被黑檔案庫 (https://hacked.slowmist.io) 統計,2024 年 2 月,共發生安全事件 28 起,總損失約 4.04 億美元,原因涉及合約漏洞、DDoS 攻擊、閃電貸攻擊、私鑰洩露和帳號被盜等。
主要事件
Phantom
2024 年 2 月 2 日,加密錢包 Phantom 表示遭 DDoS 攻擊,有人試圖過載其系統,一些服務可能會暫時中斷,使用者資產安全。隨後,Phantom 在推特發文表示,所有服務已恢復正常並再次順利運行。
(https://twitter.com/phantom/status/1753100432145318116)
Starlay Finance
2024 年 2 月 8 日,Polkadot 生態的借貸協議 Starlay Finance 遭攻擊,損失約 210 萬美元。2 月 9 日,Starlay Finance 發推稱初步分析表明,此次攻擊是由於流動性指數計算錯誤被利用,導致未經授權的提款。
(https://twitter.com/starlay_fi/status/1755856271184654360)
PlayDapp
2024 年 2 月 10 日,區塊鏈遊戲平台 PlayDapp 遭攻擊,黑客的地址被添加為鑄幣者,鑄造 2 億枚 PLA 代幣(約 3650 萬美元)。事件發生後不久,PlayDapp 通過鏈上交易給黑客發送消息,要求歸還被盜資金並提供 100 萬美元白帽獎勵,但最終談判失敗。2 月 12 日,PlayDapp 遭二次攻擊,黑客又鑄造了 15.9 億枚 PLA 代幣(約 2.539 億美元)並開始通過加密貨幣交易平台轉移。據統計,黑客攻擊導致約 2.9 億美元的損失。
(https://twitter.com/playdapp_io/status/1756060784692736038)
Duelbits
2024 年 2 月 14 日,加密博彩平台 Duelbits 的熱錢包遭攻擊,損失約 460 萬美元,被盜原因疑為私鑰洩露。
(https://twitter.com/Duelbits/status/1758159495807541459)
FixedFloat
2024 年 2 月 17 日,根據鏈上數據,加密貨幣交易平台 FixedFloat 遭攻擊,損失約 2610 萬美元的比特幣和以太坊。FixedFloat 對此次攻擊事件澄清:這次黑客攻擊是由於安全結構中的漏洞引起的外部攻擊,並不是由員工所實施,使用者資金並未受到「外部攻擊」的影響。2 月 18 日,FixedFloat 在推特表示:「確認確實存在黑客攻擊和資金被盜的情況,我們尚未準備好就此事發表公開評論,因為我們正在努力消除所有潛在的漏洞、提高安全性並進行調查。FixedFloat 的服務將很快會恢復,稍後將提供有關此事件的詳細信息。」
(https://twitter.com/FixedFloat/status/1759216185185288653?s=20)
Blueberry Protocol
2024 年 2 月 22 日,DeFi 借貸協議 Blueberry Protocol 遭攻擊,損失約 457.7 ETH (約 135 萬美元),該攻擊被一位白帽黑客 c0ffeebabe.eth 攔截,366 ETH 被返還給了 Blueberry Protocol。據 Blueberry Protocol 的事件分析報告顯示,此次攻擊是由於預言機部署錯誤導致。
(https://medium.com/@blueberryprotocol/2-22-24-exploit-post-mortem-6f6be7c1dcc3)
BitForex
2024 年 2 月 23 日,總部位於香港的 BitForex 加密貨幣交易平台疑跑路,其在多個區塊鏈上發生約 5650 萬美元的可疑資金外流後關閉了平台的訪問權限。鏈上偵探 ZachXBT 最先注意到了該交易所的提款異動,他指出,該交易平台已停止處理提款,並且沒有回覆客戶。該公司於 2023 年中因無證經營在日本面臨監管審查,並被指控誇大交易量。其首席執行官於一月份辭職,承諾將由新團隊接任。
(https://twitter.com/zachxbt/status/1762028433574650347)
Jihoz
2024 年 2 月 23 日,Axie Infinity 聯合創始人 Jihoz 在推特發文表示:個人的兩個地址已洩露。此次攻擊的範圍僅為其個人帳戶,與 Ronin 鏈的驗證或運營無關。此外,洩露的密鑰與 Sky Mavis 的運營無關。他想向大家保證,已對所有連鎖相關活動都採取了嚴格的安全措施。據統計,此次攻擊導致約 1000 萬美元的損失。
(https://twitter.com/Jihoz_Axie/status/1760845078757511562)
Seneca
2024 年 2 月 28 日,全鏈 CDP 協議 Seneca 因合約漏洞遭黑客攻擊。黑客利用構造的 calldata 參數,調用 transferfrom,將授權到該項目合約的代幣轉移到自己的地址上,最後兌換為 ETH。Seneca 被黑客盜走超 1900 枚 ETH,價值約 650 萬美元。2 月 29 日,Seneca 黑客將 1537 枚 ETH(約 530 萬美元)返還到 Seneca 部署者地址。
(https://twitter.com/SlowMist_Team/status/1762865505042645010)
Shido Network
2024 年 2 月 29 日,Ethereum 鏈上去中心化的跨鏈協議 Shido Network 疑跑路。SHIDO 代幣質押合約的所有者首先升級了質押合約,然後提取了大量的 SHIDO,最後以 692 枚 ETH(約 210 萬美元)的價格拋售了大量的 SHIDO。
總結
在本月 28 起主要安全事件中,有 2 個項目(Blueberry Protocol 和 Seneca)共計追回約 638 萬美元的被盜資金;本月 3 起私鑰洩露事件的損失約達 3.04 億,約占本月安全事件總損失的 75%,慢霧安全團隊建議使用者和項目方加強對私鑰的保護措施,例如使用硬體錢包、離線存儲等方式,提高私鑰的安全性;本月 4 起合約漏洞利用事件導致約 725 萬美元的損失,慢霧安全團隊建議項目方始終保持警惕並定期進行安全審計,跟蹤和解決新的安全威脅和漏洞,最大程度地保護項目和資產安全。最後,本文收錄的事件為本月主要安全事件,個人使用者被盜事件未納入統計。
