每月動態 | Web3 安全事件總損失約 1.24 億美元

概覽

據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io) 統計，2024 年 5 月，共發生安全事件 31 起，總損失約 1.24 億美元，原因涉及合約漏洞、地址污染攻擊、跑路和賬號被盜等。

主要事件

Whale

2024 年 5 月 3 日，一名巨鯨遭遇了相同首尾號地址釣魚攻擊，被釣走 1155 枚 WBTC，價值約 7000 萬美元，詳情見花小錢釣大魚｜揭祕 1155 WBTC 釣魚事件。5 月 10 日，據慢霧安全團隊監測，黑客返還了受害者的資金。

https://x.com/SlowMist_Team/status/1788847044632920238

Sonne Finance

2024 年 5 月 14 日，基於 Compound 的 Optimism 原生借貸協議 Sonne Finance 遭閃電貸攻擊，損失超 2000 萬美元。事件發生後，Seal 貢獻者通過向市場添加價值約 100 美元的 VELO，挽救了約 650 萬美元。此次攻擊利用了新加入市場的漏洞，在市場創建後的兩天內，攻擊者利用多籤錢包和時間鎖功能執行關鍵交易，成功操縱了市場的抵押因子(c-factors)。

https://x.com/tonyke_bot/status/1790547461611860182

pump.fun

2024 年 5 月 16 日，基於 Solana 的 meme 幣生成器 pump.fun 遭攻擊，損失 12300 SOL（價值約 190 萬美元），攻擊者隨後開始將資金空投到一些隨機的錢包中。pump.fun 在推特發文表示，此次攻擊是因爲某位前員工利用其在公司的特權非法獲取了提款權限，並藉助借貸協議實施了閃電貸攻擊。

https://x.com/pumpdotfun/status/1791235050643636303

Gala Games

2024 年 5 月 20 日，Web3 遊戲平臺 Gala Games 遭攻擊，損失約 2180 萬美元。攻擊者鑄造了 50 億枚 GALA 代幣，價值超過 2 億美元，之後迅速拋售 5.92 億枚 GALA，獲得 5952 枚 ETH。5 月 22 日，根據鏈上記錄和 Gala Games 在 Discord 的聲明，黑客返還了 5913.2 枚 ETH。

https://x.com/Benefactor0101/status/1792698768166715776 總結

本月 31 起安全事件中，有 14 起是合約漏洞利用事件所致，佔總事件數的 42%，慢霧安全團隊建議項目方始終保持警惕並定期進行安全審計，跟蹤和解決新的安全威脅和漏洞，最大程度地保護項目和資產安全；

本月造成損失最多的是 1 起相同首尾號地址釣魚事件，其次是 2 起私鑰泄露安全事件，導致約 2600 萬美元的損失，慢霧安全團隊建議項目方做好內部安全培訓和權限管理，提高員工的安全意識和避免內部作惡的情況；

本月有 4 起安全事件共計收回約 9258 萬美元，其中 3 起事件幾乎收回全部資金。適當的事件響應機制可以幫助減輕損失並提高資金收回的機率，因此，慢霧安全團隊建議項目方除了要做好預防措施，也要建立健全的應急計劃。

最後，更多區塊鏈安全事件可在慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io/) 查看。