2 月 Web3 安全事件盘点：总损失共计 4.04 亿美元

撰文：慢雾安全团队

概览

据慢雾区块链被黑档案库 (https://hacked.slowmist.io) 统计，2024 年 2 月，共发生安全事件 28 起，总损失约 4.04 亿美元，原因涉及合约漏洞、DDoS 攻击、闪电贷攻击、私钥泄露和账号被盗等。

主要事件

Phantom

2024 年 2 月 2 日，加密钱包 Phantom 表示遭 DDoS 攻击，有人试图过载其系统，一些服务可能会暂时中断，用户资产安全。随后，Phantom 在推特发文表示，所有服务已恢复正常并再次顺利运行。

(https://twitter.com/phantom/status/1753100432145318116)

Starlay Finance

2024 年 2 月 8 日，Polkadot 生态的借贷协议 Starlay Finance 遭攻击，损失约 210 万美元。2 月 9 日，Starlay Finance 发推称初步分析表明，此次攻击是由于流动性指数计算错误被利用，导致未经授权的提款。

(https://twitter.com/starlay_fi/status/1755856271184654360)

PlayDapp

2024 年 2 月 10 日，区块链游戏平台 PlayDapp 遭攻击，黑客的地址被添加为铸币者，铸造 2 亿枚 PLA 代币（约 3650 万美元）。事件发生后不久，PlayDapp 通过链上交易给黑客发送消息，要求归还被盗资金并提供 100 万美元白帽奖励，但最终谈判失败。2 月 12 日，PlayDapp 遭二次攻击，黑客又铸造了 15.9 亿枚 PLA 代币（约 2.539 亿美元）并开始通过加密货币交易平台转移。据统计，黑客攻击导致约 2.9 亿美元的损失。

(https://twitter.com/playdapp_io/status/1756060784692736038)

Duelbits

2024 年 2 月 14 日，加密博彩平台 Duelbits 的热钱包遭攻击，损失约 460 万美元，被盗原因疑为私钥泄露。

(https://twitter.com/Duelbits/status/1758159495807541459)

FixedFloat

2024 年 2 月 17 日，根据链上数据，加密货币交易平台 FixedFloat 遭攻击，损失约 2610 万美元的比特币和以太坊。FixedFloat 针对此次攻击事件澄清：这次黑客攻击是由于安全结构中的漏洞引起的外部攻击，并不是由员工所实施，用户资金并未受到「外部攻击」的影响。2 月 18 日，FixedFloat 在推特表示：「确认确实存在黑客攻击和资金被盗的情况，我们尚未准备好就此事发表公开评论，因为我们正在努力消除所有潜在的漏洞、提高安全性并进行调查。FixedFloat 的服务将很快会恢复，稍后将提供有关此事件的详细信息。」

(https://twitter.com/FixedFloat/status/1759216185185288653?s=20)

Blueberry Protocol

2024 年 2 月 22 日，DeFi 借贷协议 Blueberry Protocol 遭攻击，损失约 457.7 ETH （约 135 万美元），该攻击被一位白帽黑客 c0ffeebabe.eth 拦截，366 ETH 被返还给了 Blueberry Protocol。据 Blueberry Protocol 的事件分析报告显示，此次攻击是由于预言机部署错误导致。

(https://medium.com/@blueberryprotocol/2-22-24-exploit-post-mortem-6f6be7c1dcc3)

BitForex

2024 年 2 月 23 日，总部位于香港的 BitForex 加密货币交易平台疑跑路，其在多个区块链上发生约 5650 万美元的可疑资金外流后关闭了平台的访问权限。链上侦探 ZachXBT 最先注意到了该交易所的提款异动，他指出，该交易平台已停止处理提款，并且没有回复客户。该公司于 2023 年中因无证经营在日本面临监管审查，并被指控夸大交易量。其首席执行官于一月份辞职，承诺将由新团队接任。

(https://twitter.com/zachxbt/status/1762028433574650347)

Jihoz

2024 年 2 月 23 日，Axie Infinity 联合创始人 Jihoz 在推特发文表示：个人的两个地址已泄露。此次攻击的范围仅为其个人账户，与 Ronin 链的验证或运营无关。此外，泄露的密钥与 Sky Mavis 的运营无关。他想向大家保证，已对所有连锁相关活动都采取了严格的安全措施。据统计，此次攻击导致约 1000 万美元的损失。

(https://twitter.com/Jihoz_Axie/status/1760845078757511562)

Seneca

2024 年 2 月 28 日，全链 CDP 协议 Seneca 因合约漏洞遭黑客攻击。黑客利用构造的 calldata 参数，调用 transferfrom，将授权到该项目合约的代币转移到自己的地址上，最后兑换为 ETH。Seneca 被黑客盗走超 1900 枚 ETH，价值约 650 万美元。2 月 29 日，Seneca 黑客将 1537 枚 ETH（约 530 万美元）返还到 Seneca 部署者地址。

(https://twitter.com/SlowMist_Team/status/1762865505042645010)

Shido Network

2024 年 2 月 29 日，Ethereum 链上去中心化的跨链协议 Shido Network 疑跑路。SHIDO 代币质押合约的所有者首先升级了质押合约，然后提取了大量的 SHIDO，最后以 692 枚 ETH（约 210 万美元）的价格抛售了大量的 SHIDO。

总结

在本月 28 起主要安全事件中，有 2 个项目（Blueberry Protocol 和 Seneca）共计追回约 638 万美元的被盗资金；本月 3 起私钥泄露事件的损失约达 3.04 亿，约占本月安全事件总损失的 75%，慢雾安全团队建议用户和项目方加强对私钥的保护措施，例如使用硬件钱包、离线存储等方式，提高私钥的安全性；本月 4 起合约漏洞利用事件导致约 725 万美元的损失，慢雾安全团队建议项目方始终保持警惕并定期进行安全审计，跟踪和解决新的安全威胁和漏洞，最大程度地保护项目和资产安全。最后，本文收录的事件为本月主要安全事件，个人用户被盗事件未纳入统计。