3 月 Web3 安全事件盘点：总损失约 1.39 亿美元

撰文：慢雾安全团队

概览

据慢雾区块链被黑档案库统计，2024 年 3 月，共发生安全事件 33 起，总损失约 1.39 亿美元，原因涉及合约漏洞、内部作恶、闪电贷攻击、私钥泄露和账号被盗等。

主要事件

WOOFi

2024 年 3 月 5 日，DEX WOOFi 在 Arbitrum 上控制 WOOFi 交易定价的 sPMM 算法遭利用。这次利用是由一系列闪电贷组成的，攻击者利用低流动性操纵 WOO 的价格，然后以更低的价格偿还闪电贷。攻击者在极短的时间内重复攻击 3 次，偿还闪电贷后获利约 875 万美元。

(https://twitter.com/_WOOFi/status/1765150687166415129)

Unizen

2024 年 3 月 9 日，DeFi 交易平台 Unizen 在一次攻击中损失了约 210 万美元的 USDT，攻击利用了项目智能合约的外部调用漏洞。3 月 12 日，Unizen 的 CTO Martin Granström 发推表示已从四名黑客那里追回了价值 18.5 万美元的被盗资金。

(https://twitter.com/SlowMist_Team/status/1766311510362734824)

(https://twitter.com/MartinGranstrom/status/1767279080380973084)

Mozaic

2024 年 3 月 15 日，DeFi 项目 Mozaic 遭攻击，攻击者从该项目中窃取了约 200 万美元。据 Mozaic 称，这次盗窃是由一名开发人员实施的，该开发人员成功获取了核心团队成员持有的私钥。Mozaic 还表示，约 90% 的被盗资金已在 MEXC 上冻结。

(https://twitter.com/Mozaic_Fi/status/1768754080271196178)

Remilia

2024 年 3 月 17 日，Milady 的母公司 Remilia 的热钱包及其多签金库被盗，多个 Remilia 官方钱包的资产被转移并出售。Milady 创始人 Charlotte Fang 发推表示自己被黑客攻击。尽管该项目的财务部门采用了多重签名模式，但私钥存储在一个密码管理器中，Fang 称该密码管理器已被攻破。攻击者窃取了大约 490 个以太币（约 180 万美元）、5.8 万美元的 USDC、130 多个 Milady NFTs、320 个 Remilio NFTs 和数百个在 NFTX 平台上发行的衍生代币。根据最低价格，这些资产的价值超 600 万美元。

(https://twitter.com/CharlotteFang77/status/1769128702561198519)

Dolomite

2024 年 3 月 20 日，Arbitrum 生态中的去中心化交易协议 Dolomite 在以太坊主网上的旧合约因存在漏洞被攻击，大约 187 名受害者遭受了资产损失，具体损失为 1,245,271 USDC、94,423 DAI 和 165.9 WETH（总计约 180 万美元）。截至 3 月 24 日，在慢雾安全团队与其他伙伴的协助下，Dolomite 已恢复了 90% 的被盗资金。同时，Dolomite 团队对慢雾安全团队表达了致谢。

(https://twitter.com/Dolomite_io/status/1773845966707454026)

Super Sushi Samurai

2024 年 3 月 22 日，基于 Blast Layer 2 的新型区块链游戏 Super Sushi Samurai 因代币合约存在漏洞被攻击，损失约 460 万美元。盗窃后不久，攻击者联系了该项目，声称自己是白帽。随后，Super Sushi Samurai 确认资金已经归还，其中的 5% 作为赏金。

(https://twitter.com/SSS_HQ/status/1771054306520867242)

Curio Ecosystem

2024 年 3 月 24 日，RWA 基础设施 Curio Ecosystem 遭遇攻击，损失约 1600 万美元，涉及其生态系统内基于 MakerDAO 的智能合约。攻击原因疑为权限访问逻辑漏洞，攻击者利用该漏洞，铸造了额外的 10 亿枚 CGT。

(https://twitter.com/curio_invest/status/1771635979192774674)

Munchables

2024 年 3 月 27 日，Blast 生态项目 Munchables 遭攻击，损失约 6250 万美元。同日，Blast 创始人 Pacman 发推表示：「Blast 核心贡献者已通过多重签名获得 9700 万美元的资金。感谢前 Munchables 开发者选择最终退还所有资金，且不需要任何赎金。」

(https://twitter.com/PacmanBlur/status/1772871466935013701)

Prisma Finance

2024 年 3 月 28 日，去中心化借贷协议 Prisma Finance 遭攻击，总损失约 3257.7 枚 ETH（约 1160 万美元）。攻击原因在于 MigrateTroveZap 合约的 onFlashloan 函数缺乏输入验证，使得攻击者能够伪造迁移数据，从而实现未经授权的抵押品转移，导致合法的 Prisma Finance 用户受损。

(https://twitter.com/PrismaFi/status/1773316945430852058)

同日，被标记为 Prisma Finance 攻击者之一的 0x2d4 开头地址向项目方发消息称「本次行动是一次白帽救援，我可以联系谁来退款？」然而双方随后的沟通似乎不太顺利。

(https://etherscan.io/idm?addresses=0x2d413803a6ec3cb1ed1a93bf90608f63b157507a,0xd8531a94100f15af7521a7b6e724ac4959e0a025&type=1)

Solana

近期，Solana 生态正在应对一系列钱包被盗问题。尽管尚未确定确切的原因，但一些盗窃与类似 Solareum 的交易机器人有关。据安全研究员 Plum 消息，Solareum Telegram 交易机器人漏洞导致了约 100 万美元的 SOL 损失。

(https://twitter.com/Plumferno/status/1774549022813872164)

总结

本月 33 起安全事件中，有 4 个项目 (Munchables, Super Sushi Samurai, Dolomite 和 Unizen) 共计追回约 6846 万美元的被盗资金；

本月 3 起内部作恶事件导致的损失达 6540 万美元，占本月总被盗金额的 46.9%，慢雾安全团队建议项目方仔细审查内部安全措施，并加强对敏感信息和资产的访问控制；

本月 8 起合约漏洞利用事件导致约 3689 万美元的损失，慢雾安全团队建议项目方始终保持警惕并定期进行安全审计，跟踪和解决新的安全威胁和漏洞，最大程度地保护项目和资产安全；

最后，本文收录的事件为本月主要安全事件，个人用户被盗事件未纳入统计。更多区块链安全事件可在慢雾区块链被黑档案库 (https://hacked.slowmist.io/) 查看，点击阅读原文可直接跳转。