概覽

2024 年 11 月，Web3 安全事件總損失約 8,624 萬(wàn)美元。其中，據(jù)慢霧區(qū)塊鏈被黑檔案庫(kù)(https://hacked.slowmist.io) 統(tǒng)計(jì)，共發(fā)生 21 起被黑事件，導(dǎo)致?lián)p失約 7,686 萬(wàn)美元，有 2,550 萬(wàn)美元得到返還，事件原因涉及合約漏洞、賬號(hào)被黑和價(jià)格操縱等。此外，據(jù) Web3 反詐騙平臺(tái) Scam Sniffer 統(tǒng)計(jì)，本月有 9,208 名釣魚(yú)事件受害者，損失規(guī)模達(dá) 938 萬(wàn)美元。

(https://dune.com/scam-sniffer/november-scam-sniffer-2024-phishing-report)

安全大事件

MetaWin

2024 年 11 月 4 日，據(jù)鏈上偵探 ZachXBT 監(jiān)測(cè)，加密博彩平臺(tái) MetaWin 疑似遭攻擊，在 Ethereum 和 Solana 鏈上被盜取 400 多萬(wàn)美元。據(jù) MetaWin CEO Skel 表示，攻擊者是通過(guò)平臺(tái)的 frictionless withdrawal 系統(tǒng)入侵了 MetaWin 的熱錢包。

DeltaPrime

2024 年 11 月 11 日，DeFi 協(xié)議 DeltaPrime 在 Avalanche 和 Arbitrum 上被攻擊，DeltaPrime 初步估計(jì)損失為 475 萬(wàn)美元。此次攻擊的根本原因在于獎(jiǎng)勵(lì)領(lǐng)取功能缺乏輸入驗(yàn)證。

(https://x.com/DeltaPrimeDefi/status/1855899502944903195)

Thala

2024 年 11 月 15 日，基于 Aptos 的 DeFi 項(xiàng)目 Thala 遭攻擊，導(dǎo)致 2,550 萬(wàn)美元被盜，攻擊者利用了其智能合約中的漏洞。項(xiàng)目方暫停了相關(guān)智能合約并凍結(jié)了部分代幣，最終成功凍結(jié)約 1,150 萬(wàn)美元的資產(chǎn)。在與執(zhí)法部門和多個(gè)區(qū)塊鏈安全團(tuán)隊(duì)合作后，項(xiàng)目方成功協(xié)商追回了資產(chǎn)，并允許攻擊者保留 30 萬(wàn)美元作為賞金。

(https://x.com/thalalabs/status/1857703541089120541?s=46&t=bcMyidYO0QkS5ajIW9CBdg)

DEXX

2024 年 11 月 16 日，鏈上交易終端 DEXX 的多名用戶資金被盜。據(jù)慢霧安全團(tuán)隊(duì)統(tǒng)計(jì)，此次事件的損失規(guī)模已達(dá) 2,100 萬(wàn)美元。目前，慢霧安全團(tuán)隊(duì)在協(xié)助 DEXX 官方及合作伙伴持續(xù)進(jìn)行分析。11 月 28 日，慢霧安全團(tuán)隊(duì)公布已收集到的 Solana 鏈上 8,612 個(gè) DEXX 攻擊者地址，EVM 鏈上的攻擊者地址也將在清洗統(tǒng)計(jì)完成后公開(kāi)。

(https://x.com/MistTrack_io/status/1862134946090881368)

Polter Finance

2024 年 11 月 17 日，基于 Fantom 的 DeFi 項(xiàng)目 Polter Finance 遭攻擊，損失約 1,200 萬(wàn)美元。攻擊者通過(guò)閃電貸耗盡了 BOO 的代幣儲(chǔ)備，人為抬高了 BOO 的計(jì)算價(jià)格。這使其能夠借出遠(yuǎn)超抵押品實(shí)際價(jià)值的代幣，從而獲得了巨額利潤(rùn)。該平臺(tái)的創(chuàng)始人表示，他們已向新加坡當(dāng)局提交了報(bào)告，并嘗試通過(guò)鏈上消息與攻擊者聯(lián)系以協(xié)商歸還資金，但尚未收到回應(yīng)。

(https://x.com/polterfinance/status/1857971122043551898)

特征分析及安全建議

本月安全事件數(shù)和損失規(guī)模相較上月有明顯下降，這一變化在一定程度上反映了行業(yè)對(duì)安全防護(hù)措施的持續(xù)改進(jìn)。值得注意的是，無(wú)論從攻擊原因分布還是導(dǎo)致的損失規(guī)模來(lái)看，合約漏洞都為占比最高的一項(xiàng)。本月發(fā)生的 7 起合約漏洞利用事件造成了約 3,000 萬(wàn)美元的損失，占總損失的 39%，慢霧安全團(tuán)隊(duì)建議項(xiàng)目方始終保持警惕并定期進(jìn)行全面的安全審計(jì)，跟蹤和解決新的安全威脅和漏洞，保護(hù)項(xiàng)目和資產(chǎn)安全。

此外，慢霧安全團(tuán)隊(duì)注意到，本月發(fā)生了針對(duì) Crypto 行業(yè)的 AI 投毒真實(shí)攻擊案例。這一現(xiàn)象表明，供應(yīng)鏈攻擊的目標(biāo)范圍正進(jìn)一步擴(kuò)大。一些開(kāi)發(fā)者在追求效率的同時(shí)，可能過(guò)于依賴 AI 生成的代碼，而忽視了對(duì)代碼安全性的審查。因此，慢霧安全團(tuán)隊(duì)提醒開(kāi)發(fā)者和項(xiàng)目方，在使用 AI 生成代碼時(shí)，切勿盲目信任輸出結(jié)果。所有代碼在投入實(shí)際使用前，都應(yīng)經(jīng)過(guò)嚴(yán)格的安全審計(jì)與測(cè)試，以防范安全隱患，保護(hù)項(xiàng)目及用戶的資產(chǎn)安全。與此同時(shí)，項(xiàng)目方還應(yīng)加強(qiáng)供應(yīng)鏈整體的安全管理，對(duì)第三方工具和服務(wù)進(jìn)行全面評(píng)估，并持續(xù)關(guān)注相關(guān)領(lǐng)域的安全動(dòng)態(tài)，以及時(shí)應(yīng)對(duì)新型威脅。