11 月 Web3 安全事件盤點：總損失約 8,624 萬美元

作者：慢霧安全團隊

概覽

2024 年 11 月，Web3 安全事件總損失約 8,624 萬美元。其中，據慢霧區塊鏈被黑檔案庫 (https://hacked.slowmist.io) 統計，共發生 21 起被黑事件，導致損失約 7,686 萬美元，有 2,550 萬美元得到返還，事件原因涉及合約漏洞、帳號被黑和價格操縱等。此外，據 Web3 反詐騙平台 Scam Sniffer 統計，本月有 9,208 名釣魚事件受害者，損失規模達 938 萬美元。

(https://dune.com/scam-sniffer/november-scam-sniffer-2024-phishing-report)

安全大事件

MetaWin

2024 年 11 月 4 日，據鏈上偵探 ZachXBT 監測，加密博彩平台 MetaWin 疑似遭攻擊，在 Ethereum 和 Solana 鏈上被盜取 400 多萬美元。據 MetaWin CEO Skel 表示，攻擊者是通過平台的 frictionless withdrawal 系統入侵了 MetaWin 的熱錢包。

DeltaPrime

2024 年 11 月 11 日，DeFi 協議 DeltaPrime 在 Avalanche 和 Arbitrum 上被攻擊，DeltaPrime 初步估計損失為 475 萬美元。此次攻擊的根本原因在於獎勵領取功能缺乏輸入驗證。

(https://x.com/DeltaPrimeDefi/status/1855899502944903195)

Thala

2024 年 11 月 15 日，基於 Aptos 的 DeFi 項目 Thala 遭攻擊，導致 2,550 萬美元被盜，攻擊者利用了其智能合約中的漏洞。項目方暫停了相關智能合約並凍結了部分代幣，最終成功凍結約 1,150 萬美元的資產。在與執法部門和多個區塊鏈安全團隊合作後，項目方成功協商追回了資產，並允許攻擊者保留 30 萬美元作為賞金。

(https://x.com/thalalabs/status/1857703541089120541?s=46\t=bcMyidYO0QkS5ajIW9CBdg)

DEXX

2024 年 11 月 16 日，鏈上交易終端 DEXX 的多名用戶資金被盜。據慢霧安全團隊統計，此次事件的損失規模已達 2,100 萬美元。目前，慢霧安全團隊在協助 DEXX 官方及合作夥伴持續進行分析。11 月 28 日，慢霧安全團隊公布已收集到的 Solana 鏈上 8,612 個 DEXX 攻擊者地址，EVM 鏈上的攻擊者地址也將在清洗統計完成後公開。

(https://x.com/MistTrack_io/status/1862134946090881368)

Polter Finance

2024 年 11 月 17 日，基於 Fantom 的 DeFi 項目 Polter Finance 遭攻擊，損失約 1,200 萬美元。攻擊者通過閃電貸耗盡了 BOO 的代幣儲備，人為抬高了 BOO 的計算價格。這使其能夠借出遠超抵押品實際價值的代幣，從而獲得了巨額利潤。該平台的創始人表示，他們已向新加坡當局提交了報告，並嘗試通過鏈上消息與攻擊者聯繫以協商歸還資金，但尚未收到回應。

(https://x.com/polterfinance/status/1857971122043551898)

特徵分析及安全建議

本月安全事件數和損失規模相較上月有明顯下降，這一變化在一定程度上反映了行業對安全防護措施的持續改進。值得注意的是，無論從攻擊原因分佈還是導致的損失規模來看，合約漏洞都為占比最高的一項。本月發生的 7 起合約漏洞利用事件造成了約 3,000 萬美元的損失，占總損失的 39%，慢霧安全團隊建議項目方始終保持警惕並定期進行全面的安全審計，跟蹤和解決新的安全威脅和漏洞，保護項目和資產安全。

此外，慢霧安全團隊注意到，本月發生了針對 Crypto 行業的 AI 投毒真實攻擊案例。這一現象表明，供應鏈攻擊的目標範圍正進一步擴大。一些開發者在追求效率的同時，可能過於依賴 AI 生成的代碼，而忽視了對代碼安全性的審查。因此，慢霧安全團隊提醒開發者和項目方，在使用 AI 生成代碼時，切勿盲目信任輸出結果。所有代碼在投入實際使用前，都應經過嚴格的安全審計與測試，以防範安全隱患，保護項目及用戶的資產安全。與此同時，項目方還應加強供應鏈整體的安全管理，對第三方工具和服務進行全面評估，並持續關注相關領域的安全動態，以及時應對新型威脅。