加密月报:1月份资金安全损失约9800万美元,同比、环比均大幅下降
加密月报:1月份资金安全损失约9800万美元,同比、环比均大幅下降
2025年1月份加密货币领域的安全形势有所好转,但风险仍然存在。根据区块链安全风险监测平台的数据显示,当月因漏洞、黑客和诈骗造成的损失约为9800万美元,发生28次加密货币黑客攻击,其中约800万美金归因于网络钓鱼。与2024年1月的1.33亿美元损失相比,下降了44.6%;较2024年12月份的2358万美元损失下降了56%。
黑客攻击方面
典型安全事件7起
Orange Finance被盗事件
1月8日,Arbitrum上的DeFi协议Orange Finance发生用户资金被盗事件,损失超过80万美元。攻击者通过获取协议管理密钥,对协议合约进行恶意升级,从而窃取了所有对协议有有效代币批准的用户钱包。Moby私钥泄露事件
1月8日,Moby发生私钥泄露事件,影响了某些协议中的部分LP资产。黑客试图通过使用被盗的代理私钥简单地升级现有智能合约来窃取资金。最终,tonykebot利用UUPS实施中缺乏保护的情况,实施了一次成功的白帽救援行动,将此前攻击链上期权协议Moby黑客获取的147万枚USDC返还给了项目所有者。UniLend漏洞攻击事件
1月13日,EVM链上的UniLend遭受攻击,损失约19.7万美元。本次漏洞的成因是Unilend在进行redeem时,在计算抵押物的数量时没有减去redeem应该转出的数量,导致错误的计算后抵押物的数量要高于攻击者实际拥有的抵押物的数量,本不应该成功的兑换成功完成。最终导致攻击者掏空了项目方的stETH代币。SorraStaking攻击事件
1月15日,监测到多起针对Ethereum链上项目Sorra的攻击事件,攻击共造成41,000美元的损失。本次漏洞的成因是Sorra项目方在用户withdraw时,没有判断用户是否已经提取过了reward,导致用户可以通过大量的操作重复提取reward。攻击者利用上述漏洞发起多次交易,将Sorra项目中的SOR Token全部提取。TheIdolsNFT漏洞检测事件
1月21日,Forta检测到了TheIdolsNFT上价值32.4万美元的漏洞。Phemex交易所热钱包被攻击事件
1月23日,总部位于新加坡的Phemex加密货币交易所的热钱包被攻击,导致约7千万美元的损失。
- ODOS输入验证漏洞事件
1月24日,由于ODOS缺乏输入验证,该漏洞已在多个链上被利用,损失约10万美元。ODOS发推表示此次攻击利用了其经过审计的executor合约中的一个漏洞,窃取了存储在合约中的收入,但未影响任何用户资金。
Rug Pull / 钓鱼诈骗
典型安全事件10起
1月2日,一名$VIRTUAL持有者持有约39倍($196,396)的代币,因“增加限额”网络钓鱼交易而丢失了所有代币。
1月3日,一名$RLB持有者因“Uniswap Permit2”网络钓鱼签名丢失了价值约100万美元的所有代币。
1月6日,0x5167开头地址因签署“增加津贴”网络钓鱼交易后损失了价值155,256美元的EIGEN。
1月7日,0x8536开头地址在签署“Uniswap Permit2”网络钓鱼交易后损失了价值103,020美元的代币。
1月8日,0x3402开头地址在签署多个网络钓鱼签名后损失了价值474,422美元的$OLAS、$SEKOIA、$VIRTUAL和$FJO。
1月14日,0x00c0开头地址在签署网络钓鱼交易后损失了价值263,255美元的$VIRTUAL。
1月17日,0x80dc开头地址在签署了“许可证”网络钓鱼签名后损失了价值426,106美元的USUALUSDC+。
1月20日,0x1e70开头地址在签署“允许”网络钓鱼签名后损失了价值135,068美元的WETH。
1月22日,0x3149开头地址在签署“转账”网络钓鱼交易后损失了价值553,045美元的$PAXG。
1月29日,0xeb2开头地址在签署“increaseApproval”网络钓鱼交易后损失了价值384,645美元的$LINK。
总结
1月份加密货币钓鱼诈骗从9,220名受害者那里窃取了1,025万美元,较12月份的2,358万美元损失下降了56%。然而,不法分子正在不断进化并采用更复杂的攻击手段。
零时科技安全团队建议项目方始终保持警惕,提醒广大用户谨防钓鱼攻击。建议用户在参与项目前充分了解项目的背景、团队,谨慎选择投资项目。此外也需做好内部安全培训和权限管理,在项目上线前寻找专业的安全公司进行审计并做好项目背景调查。
本文原文来自腾讯新闻