2024 年 Web3 區塊鏈安全態勢年報

撰文：Beosin

前言

本研究報告由區塊鏈安全聯盟發起，由聯盟成員 Beosin、Footprint Analytics 共同創作，旨在全面探討 2024 年全球區塊鏈安全態勢發展。通過對全球區塊鏈安全現狀的分析和評估，報告將揭示當前面臨的安全挑戰和威脅，並提供解決方案和最佳實踐。

通過這份報告，讀者將能夠更全面地瞭解 Web3 區塊鏈安全態勢的動態演變。這將有助於讀者評估和應對區塊鏈領域所面臨的安全挑戰。此外，讀者還可以從報告中獲得有關安全措施和行業發展方向的有益建議，以幫助他們在這一新興領域中做出明智的決策和行動。區塊鏈安全和監管是 Web3 時代發展的關鍵問題。通過深入研究和探討，我們可以更好地理解和應對這些挑戰，推動區塊鏈技術的安全性和可持續發展。

1、2024 年 Web3 區塊鏈安全態勢綜述

據安全審計公司 Beosin 旗下 Alert 平臺監測，2024 年 Web3 領域因黑客攻擊、釣魚詐騙和項目方 Rug Pull 造成的總損失達到了 25.13 億美元。其中主要攻擊事件 131 起，總損失金額約 17.92 億美元；項目方 Rug Pull 事件 68 起，總損失約 1.48 億美元；釣魚詐騙總損失金額約 5.74 億美元。

2024 年，黑客攻擊、釣魚詐騙金額較 2023 年均有明顯上升，其中釣魚詐騙相比 2023 年激增 140.66%。項目方 Rug Pull 事件的損失金額顯著下降，下降了約 61.94%。

2024 年被攻擊的項目類型包括 DeFi、CEX、DEX、公鏈、跨鏈橋、錢包、支付平臺、博彩平臺、加密經紀商、基礎設施、密碼管理器、開發工具、MEV 機器人、TG 機器人等多種類型。DeFi 為被攻擊頻次最高的項目類型，75 次針對 DeFi 的攻擊共造成損失約 3.90 億美元。CEX 為總損失金額最高的項目類型，10 次針對 CEX 的攻擊共造成損失約 7.24 億美元。

2024 年發生攻擊事件的公鏈類型更多，出現多起在多條鏈上被盜的安全事件。Ethereum 依舊是損失金額最高的公鏈，66 次 Ethereum 上的攻擊事件造成了約 8.44 億美元的損失，佔到了全年總損失的 33.57 %。

從攻擊手法來看，35 次私鑰洩露事件共造成約 13.06 億美元的損失，佔總損失的 51.96 %，是造成損失最多的攻擊方式。

合約漏洞利用是出現頻次最高的攻擊方式，131 起攻擊事件裡，有 76 次來自於合約漏洞利用，佔比達到了 58.02 %。

全年約 5.31 億美元的被盜資金被追回，佔比約 21.13 %。全年約有 1.09 億美元的被盜資金轉入了混幣器，約佔總被盜資金的 4.34 %，相比 2023 年下降約 66.97 %。

2、2024 Web3 生態十大安全事件

2024 年共發生損失過億的攻擊事件 5 起：DMM Bitcoin（3.04 億美元）、PlayDapp（2.90 億美元）、WazirX（2.35 億美元）、Gala Games（2.16 億美元） 和 Chris Larsen 被盜（1.12 億美元）。前 10 大安全事件總損失金額約為 14.17 億美元，約佔年度攻擊事件總金額的 79.07 %。

No.1 DMM Bitcoin

 

損失金額：3.04 億美元

攻擊方式：私鑰洩露

2024 年 5 月 31 日，日本加密貨幣交易所 DMM Bitcoin 遭到攻擊，價值超 3 億美元的比特幣被盜。黑客把盜取的資金分散到 10 多個地址試圖清洗。

No.2 PlayDapp

損失金額：2.90 億美元

攻擊方式：私鑰洩露

2024 年 2 月 9 日，區塊鏈遊戲平臺 PlayDapp 遭到攻擊，黑客鑄造了 20 億個 PLA 代幣，價值 3650 萬美元。在與 PlayDapp 的談判失敗後，2 月 12 日，黑客又鑄造了 159 億枚 PLA 代幣，價值 2.539 億美元，並向 Gate 交易所發送了部分資金。PlayDapp 項目團隊隨後暫停了 PLA 合約，並將 PLA 代幣遷移至 PDA 代幣。

No.3 WazirX

損失金額：2.35 億美元

攻擊方式：網絡攻擊與釣魚

2024 年 7 月 18 日，印度加密貨幣交易所 WazirX 的一個多籤錢包被盜超過 2.3 億美元。該多籤錢包為 Safe wallet 智能合約錢包。攻擊者誘導多籤簽名者簽署了合約升級交易，攻擊者通過升級後的合約直接轉移了錢包中的資產， 最終將約超過 2.3 億美元的資產全部轉出。

No.4 Gala Games

損失金額：2.16 億美元

攻擊方式：訪問控制漏洞

2024 年 5 月 20 日，Gala Games 某一特權地址被控制，攻擊者通過該地址調用代幣的 mint 函數直接鑄造了 50 億枚 GALA 代幣，價值約 2.16 億美元，並且分批次將增發的代幣兌換為 ETH。隨後，Gala Games 團隊使用黑名單功能阻止黑客，並追回了損失。

No.5 Chris Larsen (Ripple's co-founder)

損失金額：1.12 億美元

攻擊方式：私鑰洩露

2024 年 1 月 31 日，Ripple 的聯合創始人克里斯·拉森（Chris Larsen）表示，他的四個錢包遭到入侵，導致總計損失約 1.12 億美元。幣安團隊成功凍結了價值 420 萬美元的被盜 XRP 代幣。

No.6 Munchables

損失金額：6250 萬美元

攻擊方式：社會工程學攻擊

2024 年 3 月 26 日，基於 Blast 的 Web3 遊戲平臺 Munchables 遭遇攻擊，損失約 6250 萬美元。該項目之所以遭到攻擊，是因為聘用了朝鮮黑客作為開發人員。所有被盜資金最終都被黑客歸還。

No.7 BTCTurk

損失金額：5500 萬美元

攻擊方式：私鑰洩露

2024 年 6 月 22 日，土耳其加密貨幣交易所 BTCTurk 遭到攻擊，損失約 5500 萬美元。幣安協助凍結了超過 530 萬美元的被盜資金。

No.8 Radiant Capital

損失金額：5300 萬美元

攻擊方式：私鑰洩露

2024 年 10 月 17 日，多鏈借貸協議 Radiant Capital 被攻擊，攻擊者非法獲取了 Radiant Capital 多籤錢包中 3 個所有者的權限。由於該多籤錢包採用 3/11 的簽名驗證模式，攻擊者利用這 3 個私鑰進行鏈下簽名，隨後發起鏈上交易，將 Radiant Capital 合約的所有權轉移至攻擊者控制的惡意合約，造成超過 5300 萬美元的損失。

No.9 Hedgey Finance

損失金額：4470 萬美元

攻擊方式：合約漏洞

2024 年 4 月 19 日，Hedgey Finance 被攻擊者發起了多次攻擊。攻擊者利用代幣批准漏洞，盜取了 ClaimCampaigns 合約中的大量代幣，其中 Ethereum 鏈盜取的代幣價值超過 210 萬美元，Arbitrum 鏈盜取的代幣價值約 4260 萬美元。

No.10 BingX

損失金額：4470 萬美元

攻擊方式：私鑰洩露

2024 年 9 月 19 日，BingX 交易所熱錢包遭到黑客攻擊。雖然 BingX 啟動應急預案，包括緊急轉移資產和暫停提現，但據 Beosin 統計，此次熱錢包異常流出資產的總損失高達 4470 萬美元，被盜資產涉及 Ethereum、BNB Chain、Tron、Polygon、Avalanche、Base 等多條區塊鏈。

3、被攻擊項目類型

2024 年被攻擊的項目類型除了 DeFi、CEX、DEX、公鏈、跨鏈橋、錢包等常見類型外，還出現在支付平臺、博彩平臺、加密經紀商、基礎設施、密碼管理器、開發工具、MEV 機器人、TG 機器人等多種項目類型上。

2024 年 DeFi 項目攻擊事件 75 次，是被攻擊次數最多（約 50.70%）的項目類型。DeFi 攻擊總損失金額約 3.90 億美元，約佔所有損失金額的 15.50 %，是損失金額第 4 多的項目類型。

損失金額排在第 1 位的是 CEX（中心化交易所），10 次攻擊共造成約 7.24 億美元的損失，是損失金額最多的項目類型。綜合看來，交易所類型在 2024 年安全事件頻發，交易所安全依然是 Web3 生態最大的挑戰。

損失金額第 2 多的為個人錢包，總損失約 4.45 億美元。12 次針對加密巨鯨的攻擊以及大量針對普通用戶的釣魚攻擊和社會工程學攻擊，讓個人錢包的總損失金額相比 2023 年激增 464.72%，成為繼交易所安全之後的第二大挑戰。

4、各鏈損失金額情況

和 2023 年相比，2024 年發生攻擊事件的公鏈類型也更加廣泛。按損失金額排名前五的分別是 Ethereum、Bitcoin、Arbitrum、Ripple、Blast：

按攻擊事件次數排名前六的分別是 Ethereum、BNB Chain、Arbitrum、Others、Base、Solana：

和 2023 年相同的是，Ethereum 依舊是損失金額最高的公鏈。66 次 Ethereum 上的攻擊事件造成了約 8.44 億美元的損失，佔到了全年總損失的 33.59%。

注：該總損失數據未包括鏈上釣魚損失與部分 CEX 熱錢包損失

Bitcoin 網絡損失排在第 2 位，單次安全事件損失達到了 2.38 億美元。第三位的是 Arbitrum，總損失約為 1.14 億美元。

5、攻擊手法分析

2024 年的攻擊方式非常多樣化，除常見的合約漏洞攻擊外，還有多種攻擊方式，包括：供應鏈攻擊、第三方服務商攻擊、中間人攻擊、DNS 攻擊、前端攻擊等。

2024 年，35 次私鑰洩露事件共造成 13.06 億美元的損失，佔總損失的 51.96 %，是造成損失最多的攻擊方式。造成較大損失的私鑰洩露事件有：DMM Bitcoin（3.04 億美元）、PlayDapp（2.90 億美元）、Ripple 聯合創始人克里斯·拉森（1.12 億美元）、BTCTurk（5500 萬美元）、Radiant Capital（5300 萬美元）、BingX（4470 萬美元）、DEXX（2100 萬美元）。

合約漏洞利用是出現頻次最高的攻擊方式，131 起攻擊事件裡，有 76 次來自於合約漏洞利用，佔比達到了 58.02 %。合約漏洞造成的總損失約為 3.21 億美元，排在損失金額的第 3 位。

按照漏洞細分，出現頻次最高、造成損失最多的為業務邏輯漏洞，合約漏洞事件里約有 53.95% 的損失金額來自業務邏輯漏洞，共造成損失約 1.58 億美元。

6、反洗錢典型事件分析

 

6.1 Polter Finance 安全事件

 

事件概要

2024 年 11 月 17 日，據 Beosin Alert 監控預警發現 FTM 鏈上借貸協議 Polter Finance 遭受攻擊，攻擊者通過閃電貸操縱項目合約中代幣價格進行獲利。

漏洞與資金分析

本次事件被攻擊的 LendingPool 合約 (0xd47ae558623638f676c1e38dad71b53054f54273) 使用 0x6808b5ce79d44e89883c5393b487c4296abb69fe 作為預言機，該預言機使用的是近期部署的喂價合約（0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe）。這個喂價合約使用可被攻擊者用於閃電貸的 uniswapV2_pair（0xEc71）合約中的代幣儲備來計算價格，因此該合約存在價格操縱攻擊漏洞。

攻擊者利用閃電貸虛假推高 $BOO 代幣價值，借出其它加密資產。隨後，被盜資金被攻擊者轉換成 FTM 代幣，然後跨鏈到 ETH 鏈，將所有資金都存放在 ETH 鏈上。以下是 ARB 鏈和 ETH 鏈上的資金流動過程示意圖：

11 月 20 日，攻擊者持續向 Tornado Cash 轉移了超過 2625 枚 ETH，如下圖所示：

6.2 BitForex 安全事件

事件概要

2024 年 2 月 23 日，知名鏈上偵探 ZachXBT 通過其分析工具披露，BitForex 的熱錢包出現了約 5650 萬美元的資金流出，並且在這一過程中，平臺暫停了提款服務。

資金分析

Beosin 安全團隊通過 Trace 對 BitForex 事件進行了深入追蹤分析：

Ethereum

Bitforex 交易所在 2024 年 2 月 24 日 6:11 (UTC+8) 開始陸續將 40,771 USDT、258,700 USDC、148.01 ETH 和 471,405 TRB 轉入 Ethereum 跑路地址（0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f）。

隨後在北京時間 8 月 9 日跑路地址將除了 TRB 以外的代幣（包括 147.9 ETH、40,771 USDT 和 258,700 USDC）全部轉回 Bitforex 交易所賬戶（0xcce7300829f49b8f2e4aee6123b12da64662a8b8）。

接著在北京時間 11 月 9 日至 11 月 10 日跑路地址通過 7 筆交易將 355,000 TRB 轉入四個不同的 OKX 交易所用戶地址：

0x274c481bf400c2abfd2b5e648a0056ef34970b0a

0x45798ca76a589647acc21040c50562dcc33cf6bf

0x712d2fd67fe65510c5fad49d5a9181514d94183d

0xe8ec263ad9ee6947bf773837a2c86dff3a737bba

隨後跑路地址地址將剩餘全部 116,414.93 TRB 轉入一箇中轉地址（0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e）後由該地址分兩筆將全部 TRB 轉入了兩個不同的幣安交易所用戶：

0x431c916ef45e660dae7cd7184e3226a72fa50c0c

0xe7b1fb77baaa3bba9326af2af3cd5857256519df

BNB Chain

2 月 24 日 Bitforex 交易所提幣 166 ETH、46,905 USDT 和 57,810 USDC 至 BNB Chain 地址（0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f）至今沉澱。

Polygon

北京時間 2 月 24 日 Bitforex 交易所提幣 99,000 MATIC、20,300 USDT 和 1,700 USDC 至 POL 鏈地址：0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f。

其中 99000 MATIC 於 8 月 9 日轉入地址 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 至今沉澱，其餘 USDT 和 USDC 代幣至今沉澱。

TRON

2 月 24 日 Bitforex 交易所提幣 44,000 TRX 和 657,698 USDT 至 TRON 鏈地址 TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o。8 月 9 日將上述代幣全部轉移回 Bitforex 交易所用戶地址：TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo。

Bitcoin

2 月 24 日開始陸續有 16 個 Bitforex 地址將共計 5.7BTC 轉入 BTC 鏈地址 3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2。該地址於 8 月 9 日將 5.7BTC 全部轉回 Bitforex 交易所地址：11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz。

綜上，Bitforex 交易所在 2 月 24 日將 40,771 USDT、258,700 USDC、148.01 ETH 和 471,405 TRB 轉入 ETH 鏈；將 44,000 TRX 和 657,698 USDT 轉入 TRON 鏈；將 5.7 BTC 轉入 BTC 鏈；將 166 ETH、46,905 USDT 和 57,810 USDC 轉入 BNB Chain；將 99,000 MATIC、20,300 USDT 和 1,700 USDC 轉入 Polygon 鏈。並於 8 月 9 日將 BTC 鏈全部代幣、TRON 鏈全部代幣、ETH 鏈除 TRB 代幣轉移回 Bitforex 交易所，於 11 月 9 日、10 日將全部 471,405 TRB 轉入 4 個 OKX 賬戶和 2 個 Binance 賬戶。至此 ETH 鏈、TRON 鏈和 BTC 鏈所有代幣已全部轉移，BSC 上有 166 ETH、46,905 USDT 和 57,810 USDC 沉澱，POL 上有 99,000 MATIC、20,300 USDT 和 1,700 USDC 沉澱。

附充值 TRB 交易所地址：

7、被盜資產的資金流向分析

2024 年全年被盜的資金中，約有 13.12 億美元還保留在黑客地址（包括通過跨鏈轉出和分散到多個地址的情況），佔總被盜資金的 52.20 %。與去年相比，今年黑客更傾向於用多次跨鏈進行洗錢，並將被盜資金分散到很多地址上，而非直接使用混幣器。地址增加、洗錢路徑變複雜，這無疑為項目方和監管機構增加了調查難度。

約 5.31 億美元的被盜資金被追回，佔比約 21.13 %。而在 2023 年，追回的資金約為 2.95 億美元。

全年約有 1.09 億美元的被盜資金轉入了混幣器，約佔總被盜資金的 4.34 %。自 2022 年 8 月美國 OFAC 制裁 Tornado Cash 以來，被盜資金轉入 Tornado Cash 的金額大幅降低。

8、項目審計情況分析

131 起攻擊事件裡，有 42 起事件的項目方沒有經過審計，78 起事件的項目方經過了審計，11 起事件的項目方審計情況無法確認。

42 個沒有經過審計的項目中，合約漏洞事件佔了 30 起（約 71.43 %）。這表明，沒有經過審計的項目更容易存在潛在的安全風險。相比之下，78 個經過審計的項目中，合約漏洞事件佔了 49 起（約 62.82 %）。這顯示出審計在一定程度上能夠提高項目的安全性。

然而，由於 Web3 市場缺乏完善的規範標準，導致審計質量參差不齊，最終呈現的結果遠未達到預期。為了有效保障資產安全，建議項目在上線之前務必尋找專業的安全公司進行審計。

9、Rug Pull 分析

2024 年，Beosin Alert 平臺共監測到 Web3 生態主要 Rug Pull 事件 68 起，總涉及金額約為 1.48 億美元，較 2023 年的 3.88 億美元有大幅下降。

從金額上看，68 起 Rug Pull 事件中，涉及金額在百萬美元以上的共 9 個項目，分別為 Essence Finance（2000 萬美元），Shido Global（240 萬美元），ETHTrustFund（220 萬美元），Nexera（180 萬美元），Grand Base（170 萬美元），SAGA Token（160 萬美元），OrdiZK（140 萬美元），MangoFarmSOL（129 萬美元）和 RiskOnBlast（125 萬美元），損失金額共 3364 萬美元，佔所有 Rug Pull 事件損失金額的 22.73%。

Ethereum 和 BNB Chain 上的 Rug Pull 項目佔到了總數量的 82.35 %，分別為 24 起和 32 起，Scroll 上發生了 1 起超過 2000 萬美元的 Rug Pull。其它公鏈發生過小數量的 Rug Pull 事件，包括：Polygon、BASE、Solana 等。

10、2024 Web3 區塊鏈安全態勢總結

2024 年，鏈上黑客攻擊活動、項目方 Rug Pull 事件次數均較 2023 年有了明顯下降，但損失金額仍在增加，並且釣魚攻擊更加猖獗。損失最高的攻擊手法依然為私鑰洩露。造成這一轉變的主要原因包括：

在去年猖獗的黑客活動之後，今年整個 Web3 生態更加註重安全性，從項目方到安全公司都在各個方面做出了努力，如實時鏈上監控、更加註重安全審計、從過往合約漏洞利用事件中積極汲取經驗，導致黑客通過合約漏洞盜取資金比去年變得困難。然而，項目方還需在私鑰保管與項目運營安全方面加強安全意識。

隨著加密市場與傳統市場的融合，黑客不再侷限於攻擊 DeFi、跨鏈橋、交易所等類型，而是轉向攻擊支付平臺、博彩平臺、加密經紀商、基礎設施、密碼管理器、開發工具、MEV 機器人、TG 機器人等多種目標。

2024-2025 年，加密市場進入牛市，鏈上資金活躍，在一定程度上將吸引更多的黑客攻擊。此外，各地區針對加密資產的監管政策在逐漸完善，以打擊各類使用加密資產進行的犯罪活動。在這樣的趨勢下，預計 2025 年黑客攻擊活動將持續處於高位，全球執法機構和監管部門依然面臨嚴峻的挑戰。