2 月 Web3 安全事件盤點：總損失共計 4.04 億美元

**撰文：慢霧安全團隊** ### 概覽 據慢霧區塊鏈被黑檔案庫 (https://hacked.slowmist.io) 統計，2024 年 2 月，共發生安全事件 28 起，總損失約 4.04 億美元，原因涉及合約漏洞、DDoS 攻擊、閃電貸攻擊、私鑰洩露和帳號被盜等。 ### 主要事件 **Phantom** 2024 年 2 月 2 日，加密錢包 Phantom 表示遭 DDoS 攻擊，有人試圖過載其系統，一些服務可能會暫時中斷，使用者資產安全。隨後，Phantom 在推特發文表示，所有服務已恢復正常並再次順利運行。  (https://twitter.com/phantom/status/1753100432145318116) **Starlay Finance** 2024 年 2 月 8 日，Polkadot 生態的借貸協議 Starlay Finance 遭攻擊，損失約 210 萬美元。2 月 9 日，Starlay Finance 發推稱初步分析表明，此次攻擊是由於流動性指數計算錯誤被利用，導致未經授權的提款。  *(https://twitter.com/starlay_fi/status/1755856271184654360)* **PlayDapp** 2024 年 2 月 10 日，區塊鏈遊戲平台 PlayDapp 遭攻擊，黑客的地址被添加為鑄幣者，鑄造 2 億枚 PLA 代幣（約 3650 萬美元）。事件發生後不久，PlayDapp 通過鏈上交易給黑客發送消息，要求歸還被盜資金並提供 100 萬美元白帽獎勵，但最終談判失敗。2 月 12 日，PlayDapp 遭二次攻擊，黑客又鑄造了 15.9 億枚 PLA 代幣（約 2.539 億美元）並開始通過加密貨幣交易平台轉移。據統計，黑客攻擊導致約 2.9 億美元的損失。  *(https://twitter.com/playdapp_io/status/1756060784692736038)* **Duelbits** 2024 年 2 月 14 日，加密博彩平台 Duelbits 的熱錢包遭攻擊，損失約 460 萬美元，被盜原因疑為私鑰洩露。  *(https://twitter.com/Duelbits/status/1758159495807541459)* **FixedFloat** 2024 年 2 月 17 日，根據鏈上數據，加密貨幣交易平台 FixedFloat 遭攻擊，損失約 2610 萬美元的比特幣和以太坊。FixedFloat 對此次攻擊事件澄清：這次黑客攻擊是由於安全結構中的漏洞引起的外部攻擊，並不是由員工所實施，使用者資金並未受到「外部攻擊」的影響。2 月 18 日，FixedFloat 在推特表示：「確認確實存在黑客攻擊和資金被盜的情況，我們尚未準備好就此事發表公開評論，因為我們正在努力消除所有潛在的漏洞、提高安全性並進行調查。FixedFloat 的服務將很快會恢復，稍後將提供有關此事件的詳細信息。」  *(https://twitter.com/FixedFloat/status/1759216185185288653?s=20)* **Blueberry Protocol** 2024 年 2 月 22 日，DeFi 借貸協議 Blueberry Protocol 遭攻擊，損失約 457.7 ETH （約 135 萬美元），該攻擊被一位白帽黑客 c0ffeebabe.eth 攔截，366 ETH 被返還給了 Blueberry Protocol。據 Blueberry Protocol 的事件分析報告顯示，此次攻擊是由於預言機部署錯誤導致。  *(https://medium.com/@blueberryprotocol/2-22-24-exploit-post-mortem-6f6be7c1dcc3)* **BitForex** 2024 年 2 月 23 日，總部位於香港的 BitForex 加密貨幣交易平台疑跑路，其在多個區塊鏈上發生約 5650 萬美元的可疑資金外流後關閉了平台的訪問權限。鏈上偵探 ZachXBT 最先注意到了該交易所的提款異動，他指出，該交易平台已停止處理提款，並且沒有回覆客戶。該公司於 2023 年中因無證經營在日本面臨監管審查，並被指控誇大交易量。其首席執行官於一月份辭職，承諾將由新團隊接任。  *(https://twitter.com/zachxbt/status/1762028433574650347)* **Jihoz** 2024 年 2 月 23 日，Axie Infinity 聯合創始人 Jihoz 在推特發文表示：個人的兩個地址已洩露。此次攻擊的範圍僅為其個人帳戶，與 Ronin 鏈的驗證或運營無關。此外，洩露的密鑰與 Sky Mavis 的運營無關。他想向大家保證，已對所有連鎖相關活動都採取了嚴格的安全措施。據統計，此次攻擊導致約 1000 萬美元的損失。  *(https://twitter.com/Jihoz_Axie/status/1760845078757511562)* **Seneca** 2024 年 2 月 28 日，全鏈 CDP 協議 Seneca 因合約漏洞遭黑客攻擊。黑客利用構造的 calldata 參數，調用 transferfrom，將授權到該項目合約的代幣轉移到自己的地址上，最後兌換為 ETH。Seneca 被黑客盜走超 1900 枚 ETH，價值約 650 萬美元。2 月 29 日，Seneca 黑客將 1537 枚 ETH（約 530 萬美元）返還到 Seneca 部署者地址。  *(https://twitter.com/SlowMist_Team/status/1762865505042645010)* **Shido Network** 2024 年 2 月 29 日，Ethereum 鏈上去中心化的跨鏈協議 Shido Network 疑跑路。SHIDO 代幣質押合約的所有者首先升級了質押合約，然後提取了大量的 SHIDO，最後以 692 枚 ETH（約 210 萬美元）的價格拋售了大量的 SHIDO。 ### 總結 在本月 28 起主要安全事件中，有 2 個項目（Blueberry Protocol 和 Seneca）共計追回約 638 萬美元的被盜資金；本月 3 起私鑰洩露事件的損失約達 3.04 億，約占本月安全事件總損失的 75%，慢霧安全團隊建議使用者和項目方加強對私鑰的保護措施，例如使用硬體錢包、離線存儲等方式，提高私鑰的安全性；本月 4 起合約漏洞利用事件導致約 725 萬美元的損失，慢霧安全團隊建議項目方始終保持警惕並定期進行安全審計，跟蹤和解決新的安全威脅和漏洞，最大程度地保護項目和資產安全。最後，本文收錄的事件為本月主要安全事件，個人使用者被盜事件未納入統計。