8 月 Web3 安全事件盘点:总损失约 3.16 亿美元
被黑事件共发生 28 起,导致损失约 2.53 亿美元,有 1358 万美元得到返还,事件原因涉及合约漏洞、账号被黑和前端攻击等。
撰文:慢雾科技
概览
2024 年 8 月,Web3 安全事件总损失约 3.16 亿美元。其中,据慢雾区块链被黑档案库 (https://hacked.slowmist.io) 统计,被黑事件共发生 28 起,导致损失约 2.53 亿美元,有 1358 万美元得到返还,事件原因涉及合约漏洞、账号被黑和前端攻击等。此外,据 Web3 反诈骗平台 Scam Sniffer 统计,本月有 9145 名钓鱼事件受害者,总损失达 6293 万美元。
(https://dune.com/scam-sniffer/august-scam-sniffer-2024-phishing-report)
主要事件
Convergence Finance
2024 年 8 月 1 日,Convergence Finance 被攻击,攻击者铸造并出售了 5800 万个 CVG 代币,约 21 万美元(相当于专门用于质押发放的全部代币份额)。此外,来自 Convex 的约 2 千美元未领取的奖励也被盗。根据 Convergence Finance 发布的事故分析报告,此次事件的根本原因是奖励分配合约的 `claimMultipleStaking` 函数缺乏对用户输入的验证。
(https://medium.com/@cvg_wireshark/post-mortem-08-01-2024-e80a49d108a0)
Ronin
2024 年 8 月 6 日,游戏区块链 Ronin 遭攻击,Ronin Bridge 项目出现异常提取跨链资产的行为。据慢雾安全团队分析,此次攻击是由于权重被修改为意外值,资金无需经过任何多重签名阈值检查即可提取。攻击者从桥中提取了约 4000 枚 ETH 和 200 万枚 USDC,价值约 1200 万美元。截至 8 月 7 日,白帽归还了价值 1200 万美元的资产,并获得 50 万美元的漏洞赏金。
(https://x.com/slowmist_team/status/1820783952145355247?s=46t=DLwbX9Nw4QECiyZQ0av-fg)
Nexera
2024 年 8 月 7 日,一名外部攻击者获得了管理 Nexera Fundrs 平台智能合约的凭证。利用这些凭证,攻击者从以太坊上的 Fundrs 质押合约中转移了 NXRA 代币,导致约 183 万美元的损失。在被盗的 4724 万 NXRA 代币中,攻击者只售出了 1475 万代币(约合 44.9 万美元)。Nexera 成功从攻击者的钱包中移除了剩余的 3250 万 NXRA 余额,防止了进一步的损失。
Vow
2024 年 8 月 13 日,Vow 因合约漏洞遭攻击,损失约 120 万美元。据 VOW 消息,当时团队正在测试 v$ 合约的 USD 汇率设置功能,以便为新的借贷池和预言机功能铸造 v$。攻击者利用了短暂的时间窗口和汇率变动,购买并发送了大量 VOW 代币到合约中,导致生成了近 20 亿 v$,并将其卖回 Uniswap 池中,从而获利。
(https://x.com/Vowcurrency/status/1823407231658025300)
User
2024 年 8 月 19 日,据链上侦探 ZachXBT 消息,一笔涉及 4064 BTC(约合 2.38 亿美元)的可疑转账可能来自一名潜在的受害者。随后资金很快被转移到 ThorChain、eXch、Kucoin、ChangeNow、Railgun 和 Avalanche Bridge。截至 8 月 27 日,已有 20.5 万美元被收回。
(https://x.com/zachxbt/status/1825499490956231021)
User
2024 年 8 月 21 日,据 Scam Sniffer 监测,一名受害者在签署了针对其 DeFi Saver Proxy 的网络钓鱼交易后,损失了价值 5543 万美元的 DAI。据 MistTrack 分析,这笔资金被发送到多个地址,随后大部分被兑换成 ETH。
(https://x.com/MistTrack_io/status/1826273448626356697)
Aave
2024 年 8 月 28 日,DeFi 借贷平台 Aave 的一个外围合约遭攻击,攻击者利用了一个任意调用错误,导致约 5.6 万美元的损失。受影响的外围合约 ParaSwapRepayAdapter 并不属于 Aave 核心协议,该合约用于允许用户利用现有的抵押品偿还贷款,通过去中心化交易所 ParaSwap 进行资产交换。虽然该合约本身并没设计为持有用户资金,但由于交易中的正滑点,合约中会逐渐累积一些剩余的代币。Aave 的相关人员强调,此次攻击没有对用户资金造成威胁,也没有影响核心 Aave 协议的安全。
(https://x.com/bgdlabs/status/1828736554262470792)
总结
本月账号安全问题成为风险重灾区,账号被黑事件数占总被黑事件数的 64.3%。值得注意的是,黑客的攻击对象不单是区块链知名项目和成员,还包括明星及传统行业的知名品牌,如足球明星 Kylian Mbappe,麦当劳等。黑客盗取知名账号后,常发布含有钓鱼链接的动态或推广某代币,慢雾安全团队提醒广大用户谨防钓鱼攻击,多方确认消息的真实性,谨慎投资。本月的账号被黑事件多发生在 Discord 上,此前我们在慢雾:揭露浏览器恶意书签如何盗取你的 Discord Token 中讲解过 Discord Token 机制,点击链接可跳转阅读。
最后,本文收录的事件为本月主要安全事件,更多区块链安全事件可在慢雾区块链被黑档案库 (https://hacked.slowmist.io/) 查看,点击阅读原文可直接跳转。
免责声明:文章中的所有内容仅代表作者的观点,与本平台无关。用户不应以本文作为投资决策的参考。
你也可能喜欢
超越投机:支持加密货币的政治气候催生比特币历史性反弹
唐纳德·特朗普再次大选成功、共和党在国会取胜后,比特币的2024年新高再次从75,000美元攀升至89,000美元。支持加密货币的情绪席卷美国政坛,全球最大的加密货币——比特币正以前所未有之势吸引着散户和机构投资者的兴趣。许多人都在密切关注下一届美国政府将如何塑造数字经济。 比特币新高的政治催化剂 随着特朗普再次当选的可能性增加,比特币最新一轮涨势也拉开序幕,并在选举日(2024年11月5日)登上75,000美元。之后,比特币继续攀升,在11月10日突破80,000美元,先是创下82,000美元的历史新高,随后又在11月11日依次达到84,000美元、85,000美元、88,000美元,甚至
Fartcoin(FARTCOIN)将上线 Bitget,参与瓜分 150,000 FARTCOIN!
我们非常高兴地宣布,Fartcoin(FARTCOIN)将在创新区、Meme 区 和人工智能区上架。详情如下: 充值开放时间:已开放 交易开放时间:2024年11月13日17:00(UTC+8) 提现开放时间:2024年11月14日18:00(UTC+8) 现货交易链接:FARTCOIN/USDT 活动:CandyBomb——充值领取 FARTCOIN 空投 活动时间:2024年11月13日17:00至2024年11月20日17:00(UTC+8) 活动详情: FARTCOIN 空投总量 150,000 FARTCOIN FARTCOIN 净充值额 150,000 FARTCOIN Cand
【 BTC 理财专场】充值送价值1000 USDT 加息券,附送 BTC 理财指南
行情持续火热, Bitget 推出 BTC 理财专场,助力 BTC 持有用户获得最大持币收益。 活动时间:11月13日 15:00 - 11月23日 15:00(UTC+8) 点击报名 一、充值领加息券 活动期间,新、老用户充值 BTC ,根据净充值数量,领 BTC 理财宝大额加息券! 净充值BTC数量 领加息券 加息券价值估算 限制张数 1枚 1 BTC - 3% - 15日 100 USDT 100 3枚 3 BTC - 3% - 15日 300 USDT 50 5枚 5 BTC - 3% - 15日 500 USDT 20 10枚 10 BTC - 3% - 15日 1,000 USD
241113: 加密货币反弹推动比特币升至 90,000 美元,因为市场预期支持加密货币的政策
比特币短暂创下 90,100 美元的纪录,反映了唐纳德·特朗普赢得大选以来加密货币的持续反弹,这激发了投资者对支持加密货币的美国政府的乐观情绪。根据 CoinGlass 的数据,此次反弹引发了超过 9 亿美元的杠杆加密货币头寸清算。比特币的价格迅速回落约 5% 至 85,000 美元中段,然后反弹至峰值附近。与此同时,Ripple 的 XRP、XLM 和 HBAR 表现优于 CoinDesk 20 指数,涨幅为 15-18%。 市场数据显示,在 90,000 美元附近存在相当大的阻力,不断增加的卖单和期权活动表明可能在 90,000-100,000 美元范围内达到上限。尽管如此,比特币在过去
加密货币价格
更多
