SharkTeam：2024 年第一季度 Web3 安全報告

撰文：SharkTeam

一、 概述

2024 年第一季度因黑客攻擊、Rugpull 詐騙、釣魚攻擊等惡意行為，總計造成 4.62 億美元損失，與 2023 年第一季度（約 3.83 億美元）同比增長約 20.63%。本報告旨在對全球 2024 年第一季度 Web3 行業安全狀況、重大事件、安全趨勢進行整理分析，為讀者提供有益的信息和新思路，為促進 Web3 的安全、健康發展貢獻力量。

二、安全事件分析

根據 SharkTeam 鏈上安全分析平臺 ChainAegis 數據，2024 年第一季度 Web3 領域共發生了 280 起安全事件（如圖 1），損失金額累計超過 4.62 億美元（如圖 2），與去年同期相比，安全事件發生頻率增加約 32.70%，損失金額增長約 20.63%。

Figure 1：Total Count of Security Incidents in 2024Q1

Figure 2：Total Loss of Security Incidents in 2024Q1

2024 年 Q1 黑客攻擊共發生 60 起，同比 2023 年 Q1 增加 140%，損失金額達到 3.85 億美元，佔比為 83%（如圖 3），相對 2023 年 Q1（3.62 億）同比上升 6.35%。

Rug Pull 共發生 127 起，同比 2023 年 Q1(30 起 ) 激增 323.33%，損失金額卻下滑 59.44%，共計 821 萬美元，佔整個 Q1 損失金額的 2%。

釣魚攻擊在 Q1 總共發生 93 起，同比有所增加，損失金額約 6866 萬美元，佔比約 15%。

Figure 3：Amount of Loss by Attack Type in 2024Q1

Figure 4：Amount of Count by Attack Type in 2024Q1

將 Q1 分月來看（如圖 5），1 月的損失最為嚴重，超過 2.50 億美元，遠高於 2 月（7142 萬美元）和 3 月（1.40 億美元）。其中 1 月發生安全事件 88 起，略高於 2 月的 72 起，略低於 3 月的 120 起，可見 1 月單次安全事件的損失金額最高。造成 1 月損失嚴重的攻擊手段是黑客攻擊，總共發生 20 起黑客攻擊，造成 2.17 億美元的損失。與此同時，1 月釣魚攻擊也呈現高發狀態，總共發生 39 起釣魚攻擊，但損失金額相對最低，共計 2915 萬美元。2 月整體安全事件發生頻次和損失金額相對 1 月和 3 月均處於較低水平。

Figure 5：Web3 Security Incidents Overview in 2024Q1

2.1 黑客攻擊

第一季度共發生黑客攻擊 60 起，共計損失金額高達 3.85 億美元。其中，1 月損失最為嚴重為 2.17 億美元。主要原因為 1 月共發生 2 起大額資金損失事件。

（1）2024 年 1 月 1 日，跨鏈橋項目 Orbit Chain 遭遇了網絡攻擊，導致價值約 8150 萬美元的加密貨幣被盜。該事件涉及 5 筆獨立的交易，每筆交易都指向不同的錢包地址。未經授權的資金流動包括 5000 萬美元的穩定幣（其中包括 3000 萬美元的 USDT，1000 萬美元的 DAI 和 1000 萬美元的 USDC），價值約 1000 萬美元的 231 個 wBTC 和價值約 2150 萬美元的 9500 個以太坊。

（2）2024 年 1 月 31 日 Ripple 聯合創始人 Chris Larsen 的四個錢包被攻擊，共計被盜 2.37 億枚 XRP，約合 1.125 億美元。ChainAegis 鏈上分析顯示，被盜資金已通過 MEXC、Gate、Binance、Kraken、OKX、HTX、HitBTC 等進行轉移。這是 2024 年迄今為止最大的加密貨幣盜竊案，也是加密世界迄今為止第 20 大加密貨幣盜竊案，XRP 的價格在事件發生的 24 小時內下跌約 4.4%。

2.2 Rug Pull & Scams

如下圖（圖 6）所示，Rugpull & Scam 事件 1 月發生 29 起，之後逐月增加，3 月發生約 63 起；1 月損失約 451 萬美元，2 月損失約 149 萬美元。根據 ChainAegis 分析，事件發生集中在主流鏈 Ethereum 和 BNB Chain，BNB Chain 項目 Rug Pull 事件發生頻率遠高於 Ethereum。

除此之外，2 月 25 日，Blast 生態的 GameFi 項目 RiskOnBlast 發生 Rugpull。據 ChainAegis 分析顯示，RiskOnBlast 的地址 0x1EeB963133f657Ed3228d04b8CD9a13280EFC558 在 22 日至 24 日間，共募資 420 枚 ETH，價值約 125 萬美元，隨後卻兌換成 DAI，轉移至 ChangeNOW、MEXC、Bybit 等交易所存款地址中套現。

Figure 6：Overview of Rugpull & Scam by Month in 2024Q1

2.3 釣魚攻擊

如下圖（圖 7）所示,釣魚攻擊在 1 月發生頻率最高共 39 起，造成損失金額約 2915 萬美元；2 月發生頻率最低共 21 起，造成損失金額約 1134 萬美元。SharkTeam 提醒大家，牛市中市場活躍，空投機會也多，但大家要提高警惕，避免被 Angel Drainer、Pink Drainer 等活躍的釣魚團伙攻擊，轉賬和授權時一定要仔細檢查交易信息。

Figure 7：Overview of Phishing by Month in 2024Q1

三、典型案例分析

3.1 合約精度計算漏洞

2024 年 1 月 30 日，MIM_SPELL 遭受閃電貸攻擊，因為精度計算漏洞，損失 650 萬美元。被攻擊原因是項目方的智能合約在進行借貸變量計算時精度出現了漏洞，使得關鍵變量 elastic 和 base 值被操縱後比例失衡，導致計算抵押物和借貸數量時出現問題，最終超額借出 MIM 代幣。

被攻擊合約（0x7259e1520）中 borrow 函數和 repay 函數在對 elastic 和 base 兩個變量進行計算時，都採用了向上取整的方式。

攻擊者（0x87F58580）首先通過償還其他用戶借款的方式，將 elastic 變量和 base 變量分別設置為了 0 和 97。

隨後不斷的調用 borrow 函數和 repay 函數並且參數 amount 都為 1，在第一次調用 borrow 函數時，由於 elastic=0，會執行上述 if 邏輯並回到 add 函數中。這樣會導致 elastic = 1，base = 98。

攻擊者（0x87F58580）再調用 borrow 函數並傳入 1，由於 elastic=1,會執行 else 邏輯，計算出的返回值為 98，這樣在回到 add 函數中時，elastic=2，base 變量為 196。

但此時攻擊者（0x87F58580）調用 repay 函數並傳入 1，由於 elastic=2,會執行 else 邏輯，計算出的 elastic 變量本來為 1*2/98 =0，但由於下面存在向上取整的步驟，導致計算出的返回值 1，這樣在回到 sub 函數中時，elastic 變量又變回 1，而 base 變量為 195。

可以看到在經歷一次 borrow-repay 循環後，elastic 變量不變而 base 變量近乎翻倍，利用這一漏洞，黑客頻繁進行 borrow-repay 函數循環，最後再調用一次 repay，最終使得 elastic=0 base = 120080183810681886665215049728。

當 elastic 和 Base 變量之間的比例嚴重失衡後，攻擊者（0x87F58580）添加極少量抵押物後即可借出大量 MIM 代幣，完成攻擊。

3.2 DeGame 被釣魚攻擊事件與 Pink Drainer 詐騙團伙

2024 年 3 月，一名 Web3 用戶在不知情的情況下點擊了被盜號的 DeGame 官推發佈的釣魚鏈接並遭受損失。

事後，該用戶誤以為 DeGame 在此過程中監守自盜所以在推特上公開了這一事件，一眾 KOL 和媒體及相當一部分用戶在不知情的情況下將此事持續擴散，對 DeGame 的品牌形象和平臺口碑造成了很大的影響。

事發後，DeGame 啟動了緊急預案，幫助受害用戶嘗試追回資產，DeGame 釣魚攻擊事件的經過大致如下：

（1）3 月 14 日 4:00 AM 至 9:30 AM 期間，DeGame 官方 X 賬號 ( @degame_l2y ) 日發送 4 條空投推文，推文中空投鏈接為均為仿製 DeGame 官方的釣魚網站。一名用戶反饋，自己點擊該空投鏈接後損失約 57 PufETH；

（2）DeGame 官方推特運營人員在 9:30 AM 之後發現了平臺上的釣魚鏈接並刪除。同時 DeGame 通過官方社媒和社區向全體用戶同步這一消息，併發布了提示公告。

（3）受害用戶在 DeGame 官方推特賬戶異常的時間段內，瀏覽到了釣魚網站鏈接及攻擊者發佈的說明文字，他在不知情的情況下以為該鏈接確實系 DeGame 官方聯合其他項目方舉辦的代幣空投活動，點擊鏈接後按照攻擊者預設的提示進行操作，丟失了資產。

（4）用戶點擊釣魚網站連接錢包後，網站會自動檢測錢包地址中有無資產。若有資產，將直接彈出 Permit Token Approval 交易簽名。與常規的交易簽名所不同的是，該簽名完全不上鍊，完全匿名，很可能被用於非正當途徑。另外用戶也不需要事先授權，就能通過附加一個授權簽名（Permit）與應用合約交互。

（5）在此次被盜事件中，釣魚黑客獲取到了被盜用戶授權給釣魚合約地址 0xd560b5325d6669aab86f6d42e156133c534cde90 的 Permit Token Approval 交易簽名，並在攻擊交易中提交 Permit 調用 Approve 獲取代幣授權後轉移被盜資金。

（6）釣魚工具的提供者為黑客詐騙團伙 Pink Drainer，Pink Drainer 是一款惡意軟件即服務（Malware-as-a-Service，MaaS），能夠讓攻擊者快速建立惡意網站，通過該惡意軟件獲取非法資產。在這筆被盜交易中約有 25% 左右的被盜資金轉移到了 PinkDrainer: Wallet 2，即釣魚團伙 PinkDrainer 的編號 2 錢包地址，系釣魚實施方在使用釣魚團伙 PinkDrainer 的釣魚工具後給 PinkDrainer 的自動分成。

3.3 批量 Rugpull 導致事件數量激增

2024 年 Rugpull 事件數量激增和 RugPull 工廠合約批量創建 Rugpull 代幣有很大關係，SharkTeam 安全研究團隊對這些 Rugpull 事件進行了詳細分析。在分析過程中，我們發現 BNB Chain 上的 Rugpull 工廠合約在過去一個月內已經發起了 70 多次 Rugpull，批量 Rugpull 事件通常具有如下行為特徵：

（1）這些代幣都是由代幣工廠合約進行 createToken 操作創建的。在 createToken 函數中，創建代幣時需要傳入以下參數：代幣名稱、代幣符號、精度、供應量、代幣所有者地址、創建代幣對的工廠合約地址以及 BUSD-T 穩定幣地址。其中，創建代幣對的工廠合約使用了 PancakeSwap 的工廠合約，並且每個代幣都有不同的所有者地址。

（2）代幣所有者利用其它地址對 Rugpull 代幣進行批量買入和賣出操作。在買入和賣出操作下，代幣的流動性明顯增加，價格也會逐步上漲。

（3）通過釣魚等方式宣傳，誘惑大量用戶購買，隨著流動性增加，代幣價格翻倍。

（4）代幣的價格達到一定的數值時，代幣所有者進場 sell 操作進行 Rugpull。

這一系列行為背後有一個分工明確的 Web3 詐騙團伙，構成了一個黑色產業鏈，主要涉及熱點蒐集、自動發幣、自動交易、虛假宣傳、釣魚攻擊、Rugpull 收割等環節。所發的 Rugpull 虛假代幣都與行業熱點事件緊密相關，具有較強的迷惑性和鼓動性。用戶需時刻提高警惕，保持理性，避免損失。

四、總結

2024 第一季度因安全事件造成的總損失達到 4.62 億美元，本季度幣價上漲等因素對總金額的增加有一定的影響，但總體而言，Web3 安全形勢不容樂觀。智能合約邏輯漏洞、Rugpull 黑色產業鏈、釣魚攻擊等是威脅用戶加密資產安全的主要原因，希望 Web3 用戶和項目方能儘快提高安全防範意識，減少損失。