1 月 Web3 安全事件盘点：总损失约 1.6 亿美元

撰文：慢雾安全团队

概览

据 慢雾区块链被黑档案库统计，2024 年 1 月，共发生安全事件 56 起，总损失约 1.6 亿美元，原因涉及合约漏洞、DDoS 攻击、闪电贷攻击、价格操纵和账号被盗等。

主要事件

Radiant Capital

2024 年 1 月 3 日，多链借贷协议 Radiant Capital 遭攻击，损失 1900 枚 ETH（约合 450 万美元）。据分析，黑客是利用借贷市场（从 Compound / Aave 衍生而来）中一个新市场被激活的时间窗口。该漏洞还依赖于当前 Compound / Aave 代码库中已知的 rounding 问题。

1 月 4 日，Radiant Capital 表示，此次攻击导致该协议在 WETH 市场产生约占协议 TVL 1.3% 的坏账。1 月 5 日，Radiant Capital 发起 RFP-27 提案，旨在通过 Radiant DAO 的战略和时间表就 Arbitrum 借贷市场的资本重组和 WETH 市场超额债务偿还达成共识。

(https://twitter.com/RDNTCapital/status/1742638364933714112)

Gamma

2024 年 1 月 4 日，流动性管理协议 Gamma 遭攻击，损失约 618 万美元。Gamma 表示，Gamma 的金库有 4 个主要的存款保护来源以防止闪电贷，其中一点为「设置价格变动阈值，当价格变动超过一定金额时将不允许存款」。主要问题是该价格变化阈值的设置太高，导致某些 LST 和稳定币金库的价格变化范围为 -50% / +100%，这使得攻击者能够操纵价格直至价格变化阈值，并铸造大量的 LP 代币。

(https://medium.com/gamma-strategies/post-mortem-remediation-plan-9a62f10d90f3)

Narwhal

2024 年 1 月 5 日，流动性挖矿项目 Narwhal 的协议遭攻击，损失约 150 万美元，所有 NRW 代币已被兑换为 USDT，并通过 Stargate 桥接至 ETH。大部分被盗资金已被转移至 Tornado Cash。

(https://twitter.com/Narwhal_fyi/status/1744042646954488145)

Coinspaid

2024 年 1 月 6 日，加密支付服务提供商 Coinspaid 发生多笔未经授权的交易，黑客盗取价值约 750 万美元的加密资产，包括 480 万枚 USDT、500 枚 ETH、9700 万枚 CPD、10.6 万枚 USDC、2.4 万枚 BSC-USD 和 268.5 枚 BNB。

Socket

2024 年 1 月 16 日，互操作性协议 Socket 发推称，协议遭遇了一次安全事件。攻击者利用 Socket 聚合器系统下新添加的一个模块的漏洞，该模块负责代表用户进行代币交换。该模块中的漏洞允许攻击者从那些已经无限批准代币给 Socket Gateway 合约的用户那里窃取资金。这次攻击是通过在以太坊上进行的两笔恶意交易实施的。总被盗金额约为 330 万美元。1 月 23 日，在慢雾安全团队与其他伙伴的协助下，Socket 成功追回 1032 ETH，价值约 220 万美元，同时，Socket 团队对慢雾安全团队表达了致谢。

(https://twitter.com/SocketDotTech/status/1749734794320363802)

Manta Pacific

2024 年 1 月 18 日，据 Manta Network 推文称，Manta Pacific 链在大约 UTC 9 AM 遭遇 RPC 攻击。Manta Network 联创 Kenny Li @superanonymousk 在推特上更新了关于 Manta Network 遭受攻击的情况，他提到，Manta Network 在 UTC 9:30 AM，即他们的 TGE 活动开始时，遭受了一次精心策划的 DDoS 攻击。RPC 节点遭遇了超过 1.35 亿次请求，表明这是一次非常激烈和有计划的攻击。

(https://twitter.com/superanonymousk/status/1747968680686993800)

HTX

2024 年 1 月 19 日，HTX 在社交媒体发文提醒用户其应用程序当前遭遇中断，技术团队正在努力解决问题。Tron 创始人孙宇晨发推表示，Htx.com 和 HTX_DAO 遭受了 DDoS 攻击。

(https://twitter.com/justinsuntron/status/1748319971837710471)

Concentric Finance

2024 年 1 月 22 日，基于 Camelot V3 协议构建的 DeFi 协议 Concentric Finance 遭攻击，损失约 170 万美元。Concentric Finance 官方在社交媒体上发文表示，持有其合约部署者钱包的一名团队成员遭到有针对性的社会工程攻击，攻击者利用漏洞升级金库，铸造新的 LP 代币，然后耗尽平台资产。

(https://mirror.xyz/concentrictreasury.eth/duXXwBErblGw4CjbsA2JPoRAJqVNsDtiUsK4R6_vhD0)

GMEE

2024 年 1 月 23 日，链游平台 GMEE 发推表示，Polygon 上 GMEE 代币合约在几个小时前遭到未经授权的 GitLab 访问，导致 6 亿枚 GMEE 代币被盗，损失约 700 万美元。随后攻击者将代币兑换为以太坊和 MATIC。在接下来的几个小时内，攻击者通过各种 DEX 兑换盗走的代币，影响了各个交易所的 GMEE 代币价格。

(https://twitter.com/GAMEEToken/status/1749652962849464727)

Nebula Revelation

2024 年 1 月 25 日，太空主题开放世界 Web3 游戏 Nebula Revelation 的质押合约遭重入攻击。1 月 28 日，Nebula Revelation 公布赔偿方案，团队承诺全面赔偿且决定按照被盗币前的价格向用户赔付，以确保公正性。

(https://twitter.com/NBLGAME/status/1751580737768456594）

Somesing

2024 年 1 月 27 日，韩国 Web3 社交音乐服务 Somesing 发布公告称，该平台上周六遭受了一次漏洞攻击，损失 7.3 亿枚原生代币 SSX，约合 1158 万美元。Somesing 表示：「已经确认，此次黑客事件与 Somesing 团队的任何成员都没有关系，考虑到攻击方法，可能是由专门攻击虚拟资产的黑客实施的。」该平台已向国家警察厅报告对黑客事件进行调查，并表示将通知国际刑警组织。

Goledo Finance

2024 年 1 月 28 日，Conflux 生态借贷协议 Goledo Finance 遭攻击，损失 790 万枚 CFX，约合 170 万美元。Goledo 团队已完成对借贷池中大笔借贷的初步调查，确认该攻击与闪电贷有关。

(https://twitter.com/GoledoFinance/status/1751442740200517984)

Abracadabra Money

2024 年 1 月 31 日，DeFi 协议 Abracadabra Money (MIM_Spell) 遭攻击，损失约 650 万美元。随后 Abracadabra.Money (MIM_Spell) 在推特更新进展，表示其技术团队已找到漏洞原因，该漏洞针对特定 Cauldrons V3 和 V4，允许未经授权的 MIM 借用，目前已将这些 cauldrons 的借贷限额设置为零来缓解问题。团队表示 DAO 金库将为受影响的 650 万美元提供全额抵押，以确保安全运营。

(https://twitter.com/MIM_Spell/status/1752723973891059807)

Ripple

2024 年 1 月 31 日，据链上侦探 ZachXBT 披露，Ripple 遭黑客攻击，被窃取 2.13 亿枚 XRP，约合 1.125 亿美元。Ripple 联合创始人 Chris Larsen 发推称：「昨天，我的一些个人 XRP 账户（不是 @Ripple ）– 我们很快就发现了问题并通知交易所冻结受影响的地址。执法部门已经介入。」

(https://twitter.com/chrislarsensf/status/1752702297971532258?s=20)

总结

本月发生了 5 起 DDoS 攻击事件，项目方可部署网络监测工具，定期分析流量，及时识别异常流量和潜在攻击。本月 Rug Pull 事件达 17 起，约占本月安全事件数的 30%，导致损失约 526 万美元，用户在参与项目之前应充分了解项目的背景、团队，谨慎选择投资项目；本月 3 起闪电贷攻击事件导致了约 635 万美元的损失，慢雾安全团队建议项目方始终保持警惕并定期进行安全审计，跟踪和解决新的安全威胁和漏洞，最大程度地保护项目和资产安全。