每月动态 | Web3 安全事件总损失约 2.79 亿美元
概览
据慢雾区块链被黑档案库(https://hacked.slowmist.io) 统计,2024 年 7 月,共发生安全事件 37 起,总损失约 2.79 亿美元,其中有 876 万美元得到返还。本月安全事件的原因涉及合约漏洞、账号被黑、跑路和域名劫持等。
主要事件
Bittensor
2024 年 7 月 2 日,去中心化 AI 项目 Bittensor 遭攻击,一些 Bittensor 钱包用户被盗,攻击者盗走约 3.2 万个 TAO,按市值计算约为 800 万美元。链上侦探 ZachXBT 认为此次攻击可能是由于私钥泄露导致的,但 Bittensor 后来称受影响的用户实际上是因为一个恶意的 Bittensor 软件包被上传到 Python 的 PyPi 软件包管理器而受到攻击。
Authy
2024 年 7 月 5 日,慢雾首席信息安全官 23pds 发推表示,2FA 服务 Authy 遭攻击,导致 3300 万用户的电话号码被盗。官方开发者 Twilio 已确认该漏洞,有大量 Web3 用户使用这款 2FA 软件,请注意资产安全。
(https://x.com/im23pds/status/1809047195750183257)
Doja Cat
2024 年 7 月 8 日,饶舌歌手 Doja Cat 的 X 账号被盗,攻击者使用她的账号发布推广 memecoin 的推文。Doja Cat 随后在她的 Instagram 上发帖表示,她的 X 账号被盗。
Compound
2024 年 7 月 11 日,Compound DAO 安全顾问 Michael Lewellen 发推表示,Compound Finance 官网被攻击,当前正在托管一个钓鱼网站。
(https://x.com/LewellenMichael/status/1811303839888261530)
LI.FI
2024 年 7 月 16 日,据慢雾安全团队监测,跨链桥聚合协议 LI.FI 发生可疑交易,导致用户损失超过 1000 万美元。7 月 18 日,LI.FI 发布安全事件报告表示,该漏洞源于验证交易时出现的问题,该问题跟协议与多个去中心化交易所和其他 DeFi 协议使用的共享 LibSwap 代码库的交互方式有关,原因是在监督部署过程中出现个人人为错误。估计有 153 个钱包受到影响,损失价值约 1160 万美元的 USDC、USDT 和 DAI 稳定币。
(https://x.com/SlowMist_Team/status/1813195343057866972)
WazirX
2024 年 7 月 18 日,印度加密货币交易所 WazirX 在 X 上发布网络攻击的初步调查结果,称其一个多重签名钱包出现了安全漏洞,导致损失超过 2.3 亿美元(约占客户资金的 45%)。
(https://x.com/WazirXIndia/status/1813843289940058446)
Rho Markets
2024 年 7 月 19 日,借贷协议 Rho Markets 由于预言机配置错误被某 MEV Bot 套利 2203 ETH,约 760 万美元。同日,据链上侦探 ZachBXT 监测,该 MEV Bot 所有者于链上喊话 Rho Markets 团队,表示该事件是他们的 MEV 机器人通过 Rho Markets 价格预言机的配置错误获利,并愿意全数返还。
(https://scrollscan.com/tx/0xd9c2e4f0364b13ada759f2dd56b65f5025e70cce4373e7c57ac31bf5226023e0)
Casper Network
2024 年 7 月 26 日,Casper Network 遭攻击,随后 Casper Network 发推表示,为了尽量减少此安全漏洞的影响,已与验证者合作暂停网络,直到此安全漏洞得到修补。根据 7 月 31 日 Casper Network 发布的安全事件初步报告,此事件中有 13 个钱包受到影响,非法交易总额约为 670 万美元。Casper Network 发现攻击者利用了一个允许合约安装者绕过对 uref 的访问权限检查的漏洞,从而使他们能够授予合约对基于 uref 的资源的访问权。
(https://x.com/Casper_Network/status/1817145818631098388)
Terra
2024 年 7 月 31 日,Terra 链遭攻击,攻击者利用与第三方模块 IBC hooks 相关的已知漏洞在 Terra 链上铸造了数种代币,导致的损失已达 528 万美元。Terra 团队已采取紧急措施防止进一步损失,并协调验证者应用补丁以修复漏洞。据 Sommelier Finance 联合创始人 Zaki Manian 称,尽管该漏洞在 4 月已在 Cosmos 生态系统中修复,但 Terra 在 6 月的升级中未包含此补丁,导致漏洞再次暴露并被利用。
(https://x.com/terra_money/status/1818498438759411964)
同日,去中心化交易协议 Astroport 于 X 发布安全事件更新:攻击者在 Neutron 上的 ASTRO 已被扣押在 Astroport Treasury 中;攻击者的 Terra 地址已被列入黑名单,无法进行任何交易;IBC Hook 漏洞已被修复;官方将继续与 Terra 团队密切合作,寻求解决方案。
总结
本月数据安全问题又回到我们的视线,7 月 1 日,据 Protos 报道,加密友好银行 Evolve Bank & Trust 近日承认,在一个月前发现有约 33 TB 用户数据被盗。这类安全事件可能导致身份盗用、账户被黑、资金损失等后果,慢雾安全团队提醒广大用户谨防钓鱼攻击,定期更新密码,并避免在多个平台使用相同的密码。
随着 memecoin 的热潮,项目方/名人账号被黑事件频发,攻击者利用项目方/名人的影响力,盗取 X 账号后发布含有钓鱼链接的推文或推广某代币,请广大用户注意识别,谨慎投资,我们在慢雾:X 账号安全排查加固指南中讲解了如何提高 X 账号安全性,点击链接可跳转阅读。
近期发生了多起域名劫持事件,项目方可采取以下措施来防范域名劫持,确保网站和用户的安全:
-
选择可靠的域名注册商,降低域名劫持的风险;
-
定期检查和监控域名的状态、DNS 设置和其他相关配置;
-
确保相关人员了解域名劫持的风险及防范措施,掌握识别常见的钓鱼手段和社会工程攻击的能力,防止泄露敏感信息;
-
制定应急响应计划,以便在域名被劫持时能够快速反应,控制影响范围。
最后,本文收录的事件为本月主要安全事件,更多区块链安全事件可在慢雾区块链被黑档案库(https://hacked.slowmist.io/) 查看,点击阅读原文可直接跳转。
比推快讯
更多 >>- Coinbase旗下Stand With Crypto成立600 万美元的NFT法律辩护基金,a16z支持
- BTC突破60000美元
- 数据:Aptos 单月活跃地址数量和用户交易量均创下历史新高
- 以太坊基金会研究员Danny Ryan在为基金会做出贡献七年后宣布退出
- 美股收盘:标普500指数、纳指创去年11月以来最大单周涨幅
- 加密交易平台Bit2Me获得阿根廷虚拟资产服务提供商许可
- Galaxy Research:美 SEC 似乎将放宽 SAB-121 条款,为银行的数字资产托管服务提供豁免标准
- FTX 创始人SBF 正式对其欺诈罪名提出上诉,要求进行重新审判
- 彭博社:自 2022 年以来美 SEC 主席曾多次遭遇“死亡威胁”
- 加密友好议员Ritchie Torres呼吁 CFTC 接受 Kalshi 裁决并关注不受监管的选举市场
- 摩根大通:仍预计美联储本月降息50个基点
- Polymarket 平台关于“美国 2024 年总统大选获胜者”的累计押注已达近 10 亿美元
- Nillion 与 NEAR 协议集成,为开发人员增强隐私工具
- Seamless Protocol:资金安全,协议未受影响
- 拉丁美洲加密货币交易所 Ripio 与 Visa 合作推出 DeFi 信用卡
- 数据:加密行业在 2024 年美国选举周期中已捐赠超 1.9 亿美元的政治捐款
- 美股延续涨势,道指涨幅扩大至1%
- 以太坊站上2400美元,日内涨1.62%
- 比特币站上59000美元,日内涨1.49%
- 美SEC :当提及“加密资产证券”时,并不意味着代币一定是证券
- 社交媒体平台“X”有望避免被纳入欧盟数字市场法案的“行为准则”清单
- SEC更新对币安的诉讼文件,将AXS、FIL、ATOM列为证券
- 裕信银行:如果美联储选择降息25个基点,美元可能小幅受益
- 今日美国现货比特币ETF净流入704枚BTC,现货以太坊ETF净流出708枚ETH
- 知情人士:Tiger Global Management计划参与OpenAI新一轮融资
- 分析师:美联储下周降息幅度又回到了50-50的概率
- 灰度向Coinbase Prime地址转移8532枚ETH
- 币安:加密用户需防范 Clipper 恶意软件,警惕钱包地址被攻击者替换
- 美国9月一年期通胀率预期初值 2.7%,预期2.70%,前值2.80%。
- 美国9月密歇根大学消费者信心指数初值 69,预期68.5,前值67.9。
- 美联储传声筒:鲍威尔面临首次降息幅度为25基点还是50基点的艰难选择
- 灰度向 Coinbase Prime 地址转移约 196 枚 BTC
- CertiK:九月初以来发生 33 起安全事件,共造成约 5500 万美元损失
- Vitalik:与 AI 和加密应用相比,元宇宙的潜在应用领域尚未被发现
- Wormhole 将 World ID 集成到 Solana
- Ronin 推出通用账户和无密钥钱包 Ronin Waypoint
- 美国国债收益率下跌,押注美联储降息50个基点再度抬头
- 德国中央合作银行:美国经济数据不支持美联储大幅降息
- Tether 任命前 PayPal 高管 Jesse Spiro 担任政府事务主管
- MicroStrategy 以约11.1亿美元现金买入 18,300 枚比特币
- 黑山最高法院预计将于本月对Do Kwon作出判决
- 分析:美联储9月降息25个基点或已被市场消化,降息50个基点或成市场推力
- 英国高等法院裁定稳定币 USDT 可视为财产
- 纽约联储银行行长:以 25 个基点幅度开始降息没有意义
- 币安完成 Polygon(MATIC)代币升级为 Polygon(POL)
- 北京警方打掉一个以投资虚拟藏品为名的传销团伙,涉案金额 280 余万美元
- Vitalik 将于 9 月 18 日在 TOKEN2049 OKX 会场发表主旨演讲
- 特朗普推广加密项目 World Liberty Financial 团队成员曾销售减肥药和致富课程
- ARK Invest 报告:截至 8 月底,美国现货比特币 ETF 投资者成本已高于比特币价格
- 英国高等法院裁定 Tether(USDT)是财产
比推专栏
更多 >>观点
项目
比推热门文章
- 【比推每日新闻精选】MicroStrategy 斥资约11.1亿美元增持 18,300 枚比特币;美SEC :当提及“加密资产证券”时,并不意味着代币一定是证券;FTX 创始人SBF 正式对其欺诈罪名提出上诉,要求进行重新审判
- Coinbase旗下Stand With Crypto成立600 万美元的NFT法律辩护基金,a16z支持
- 【比推每日市场动态】50基点降息预期点燃市场,多头强势反击
- BTC突破60000美元
- 数据:Aptos 单月活跃地址数量和用户交易量均创下历史新高
- 以太坊基金会研究员Danny Ryan在为基金会做出贡献七年后宣布退出
- 美股收盘:标普500指数、纳指创去年11月以来最大单周涨幅
- 加密交易平台Bit2Me获得阿根廷虚拟资产服务提供商许可
- Galaxy Research:美 SEC 似乎将放宽 SAB-121 条款,为银行的数字资产托管服务提供豁免标准
- FTX 创始人SBF 正式对其欺诈罪名提出上诉,要求进行重新审判