8 月 Web3 安全事件盤點:總損失約 3.16 億美元
TechFlow Selected深潮精選
8 月 Web3 安全事件盤點:總損失約 3.16 億美元
被黑事件共發生 28 起,導致損失約 2.53 億美元,有 1358 萬美元得到返還,事件原因涉及合約漏洞、賬號被黑和前端攻擊等。
專注 Web3 行業深度報導,洞察潮水流動的方向撰文:慢霧科技
概覽
2024 年 8 月,Web3 安全事件總損失約 3.16 億美元。其中,據慢霧區塊鏈被黑檔案庫 (https://hacked.slowmist.io) 統計,被黑事件共發生 28 起,導致損失約 2.53 億美元,有 1358 萬美元得到返還,事件原因涉及合約漏洞、賬號被黑和前端攻擊等。此外,據 Web3 反詐騙平臺 Scam Sniffer 統計,本月有 9145 名釣魚事件受害者,總損失達 6293 萬美元。
(https://dune.com/scam-sniffer/august-scam-sniffer-2024-phishing-report)
主要事件
Convergence Finance
2024 年 8 月 1 日,Convergence Finance 被攻擊,攻擊者鑄造並出售了 5800 萬個 CVG 代幣,約 21 萬美元(相當於專門用於質押發放的全部代幣份額)。此外,來自 Convex 的約 2 千美元未領取的獎勵也被盜。根據 Convergence Finance 發佈的事故分析報告,此次事件的根本原因是獎勵分配合約的 `claimMultipleStaking` 函數缺乏對用戶輸入的驗證。
(https://medium.com/@cvg_wireshark/post-mortem-08-01-2024-e80a49d108a0)
Ronin
2024 年 8 月 6 日,遊戲區塊鏈 Ronin 遭攻擊,Ronin Bridge 項目出現異常提取跨鏈資產的行為。據慢霧安全團隊分析,此次攻擊是由於權重被修改為意外值,資金無需經過任何多重簽名閾值檢查即可提取。攻擊者從橋中提取了約 4000 枚 ETH 和 200 萬枚 USDC,價值約 1200 萬美元。截至 8 月 7 日,白帽歸還了價值 1200 萬美元的資產,並獲得 50 萬美元的漏洞賞金。
(https://x.com/slowmist_team/status/1820783952145355247?s=46&t=DLwbX9Nw4QECiyZQ0av-fg)
Nexera
2024 年 8 月 7 日,一名外部攻擊者獲得了管理 Nexera Fundrs 平臺智能合約的憑證。利用這些憑證,攻擊者從以太坊上的 Fundrs 質押合約中轉移了 NXRA 代幣,導致約 183 萬美元的損失。在被盜的 4724 萬 NXRA 代幣中,攻擊者只售出了 1475 萬代幣(約合 44.9 萬美元)。Nexera 成功從攻擊者的錢包中移除了剩餘的 3250 萬 NXRA 餘額,防止了進一步的損失。
Vow
2024 年 8 月 13 日,Vow 因合約漏洞遭攻擊,損失約 120 萬美元。據 VOW 消息,當時團隊正在測試 v$ 合約的 USD 匯率設置功能,以便為新的借貸池和預言機功能鑄造 v$。攻擊者利用了短暫的時間窗口和匯率變動,購買併發送了大量 VOW 代幣到合約中,導致生成了近 20 億 v$,並將其賣回 Uniswap 池中,從而獲利。
(https://x.com/Vowcurrency/status/1823407231658025300)
User
2024 年 8 月 19 日,據鏈上偵探 ZachXBT 消息,一筆涉及 4064 BTC(約合 2.38 億美元)的可疑轉賬可能來自一名潛在的受害者。隨後資金很快被轉移到 ThorChain、eXch、Kucoin、ChangeNow、Railgun 和 Avalanche Bridge。截至 8 月 27 日,已有 20.5 萬美元被收回。
(https://x.com/zachxbt/status/1825499490956231021)
User
2024 年 8 月 21 日,據 Scam Sniffer 監測,一名受害者在簽署了針對其 DeFi Saver Proxy 的網絡釣魚交易後,損失了價值 5543 萬美元的 DAI。據 MistTrack 分析,這筆資金被髮送到多個地址,隨後大部分被兌換成 ETH。
(https://x.com/MistTrack_io/status/1826273448626356697)
Aave
2024 年 8 月 28 日,DeFi 借貸平臺 Aave 的一個外圍合約遭攻擊,攻擊者利用了一個任意調用錯誤,導致約 5.6 萬美元的損失。受影響的外圍合約 ParaSwapRepayAdapter 並不屬於 Aave 核心協議,該合約用於允許用戶利用現有的抵押品償還貸款,通過去中心化交易所 ParaSwap 進行資產交換。雖然該合約本身並沒設計為持有用戶資金,但由於交易中的正滑點,合約中會逐漸累積一些剩餘的代幣。Aave 的相關人員強調,此次攻擊沒有對用戶資金造成威脅,也沒有影響核心 Aave 協議的安全。
(https://x.com/bgdlabs/status/1828736554262470792)
總結
本月賬號安全問題成為風險重災區,賬號被黑事件數佔總被黑事件數的 64.3%。值得注意的是,黑客的攻擊對象不單是區塊鏈知名項目和成員,還包括明星及傳統行業的知名品牌,如足球明星 Kylian Mbappe,麥當勞等。黑客盜取知名賬號後,常發佈含有釣魚鏈接的動態或推廣某代幣,慢霧安全團隊提醒廣大用戶謹防釣魚攻擊,多方確認消息的真實性,謹慎投資。本月的賬號被黑事件多發生在 Discord 上,此前我們在慢霧:揭露瀏覽器惡意書籤如何盜取你的 Discord Token中講解過 Discord Token 機制,點擊鏈接可跳轉閱讀。
最後,本文收錄的事件為本月主要安全事件,更多區塊鏈安全事件可在慢霧區塊鏈被黑檔案庫 (https://hacked.slowmist.io/) 查看,點擊閱讀原文可直接跳轉。
歡迎加入深潮 TechFlow 官方社群
Telegram 訂閱群:https://t.me/TechFlowDaily
Twitter 官方帳號:https://x.com/TechFlowPost
Twitter 英文帳號:https://x.com/BlockFlow_News
@SlowMist_Team
