概覽

2024年11月，Web3安全事件總損失約8,624萬美元。其中，據(jù)慢霧Blockchain被黑檔案庫(https://hacked.slowmist.io)統(tǒng)計(jì)，共發(fā)生21起被黑事件，導(dǎo)致?lián)p失約7,686萬美元，有2,550萬美元得到返還，事件原因涉及合約漏洞、賬號被黑和價(jià)格操縱等。此外，據(jù)Web3反詐騙平臺ScamSniffer統(tǒng)計(jì)，本月有9,208名釣魚事件受害者，損失規(guī)模達(dá)938萬美元。

MetaWin

2024年11月4日，據(jù)鏈上偵探ZachXBT監(jiān)測，加密博彩平臺MetaWin疑似遭攻擊，在Ethereum和Solana鏈上被盜取400多萬美元。據(jù)MetaWinCEOSkel表示，攻擊者是通過平臺的frictionlesswithdrawal系統(tǒng)入侵了MetaWin的熱錢包。

Thala

2024年11月15日，基于Aptos的DeFi項(xiàng)目Thala遭攻擊，導(dǎo)致2,550萬美元被盜，攻擊者利用了其智能合約中的漏洞。項(xiàng)目方暫停了相關(guān)智能合約并凍結(jié)了部分Tokens，最終成功凍結(jié)約1,150萬美元的資產(chǎn)。在與執(zhí)法部門和多個(gè)Blockchain安全團(tuán)隊(duì)合作后，項(xiàng)目方成功協(xié)商追回了資產(chǎn)，并允許攻擊者保留30萬美元作為賞金。

PolterFinance

2024年11月17日，基于Fantom的DeFi項(xiàng)目PolterFinance遭攻擊，損失約1,200萬美元。攻擊者通過閃電貸耗盡了BOO的Tokens儲備，人為抬高了BOO的計(jì)算價(jià)格。這使其能夠借出遠(yuǎn)超抵押品實(shí)際價(jià)值的Tokens，從而獲得了巨額利潤。該平臺的創(chuàng)始人表示，他們已向新加坡當(dāng)局提交了報(bào)告，并嘗試通過鏈上消息與攻擊者聯(lián)系以協(xié)商歸還資金，但尚未收到回應(yīng)。

此外，慢霧安全團(tuán)隊(duì)注意到，本月發(fā)生了針對Crypto行業(yè)的AI投毒真實(shí)攻擊案例。這一現(xiàn)象表明，供應(yīng)鏈攻擊的目標(biāo)范圍正進(jìn)一步擴(kuò)大。一些開發(fā)者在追求效率的同時(shí)，可能過于依賴AI生成的代碼，而忽視了對代碼安全性的審查。因此，慢霧安全團(tuán)隊(duì)提醒開發(fā)者和項(xiàng)目方，在使用AI生成代碼時(shí)，切勿盲目信任輸出結(jié)果。所有代碼在投入實(shí)際使用前，都應(yīng)經(jīng)過嚴(yán)格的安全審計(jì)與測試，以防范安全隱患，保護(hù)項(xiàng)目及用戶的資產(chǎn)安全。與此同時(shí)，項(xiàng)目方還應(yīng)加強(qiáng)供應(yīng)鏈整體的安全管理，對第三方工具和服務(wù)進(jìn)行全面評估，并持續(xù)關(guān)注相關(guān)領(lǐng)域的安全動態(tài)，以及時(shí)應(yīng)對新型威脅。