MetaEra 联手 CertiK 共同推出 2024 年 12 月安全报告，向行业传递关键的安全信息。

文章作者：0x9999in1，MetaEra

2024 年 12 月，Web 3.0 行业遭遇了一系列安全挑战，包括闪电贷攻击、漏洞利用和退出骗局等事件。与上月相比，累计损失金额大幅降低，但仍然达到了 2864 万美元，为年内损失最少的一个月。

12 月主要安全大事件为 Gempad 和 FEG，两者均为漏洞利用事件，损失金额分别达到 214 万美元和 107 万美元。此外，报告还深入调查并分析了 12 月前十大安全事件、月三大类安全事件中的代表性案例，以及今年每个月三大类安全事件的损失金额，以期强化用户安全意识，达到用户教育、防范攻击的作用，以下为具体数据和分析结果。

12 月闪电贷攻击安全事件 Top5

CloberDex

2024 年 12 月 10 日，CloberDex 流动性保险库遭到黑客攻击，损失 133 ETH（价值约 50 万）。攻击者已将窃取的资金从 Base 转移到以太坊。本次漏洞成因主要是因为 CloberDEX 项目方合约在获取销毁 LP Token 的代码中没有进行重入检测和防护，且更新状态变量在合约调用之后，最终导致攻击者利用该重入漏洞掏空项目方的 WETH。

Clipper DEX

2024 年 12 月 1 日，攻击者利用 Clipper 使用的智能合约中的一个漏洞，操控了单资产存取功能。此操作影响了 Optimism 和 Base 网络的流动性池，导致池内资产不平衡，攻击者得以提取超出其存入金额的资产。此次攻击造成约 450,812 美元的损失。

Moonwell DeFi

2024 年 12 月 25 日，Moonwell DeFi 是一个在 Optimism 网络上运行的去中心化借贷协议，遭遇了闪电贷攻击，损失了 32 万美元。攻击者利用伪装成“mToken”的恶意合约地址，攻击了该协议的 USDC 借贷合约。此举授予了未经授权的代币批准，从而使攻击者能够从 Moonwell 用户那里榨干资金。

BYC

2024 年 12 月 3 日，RunWay (BYC) 疑似在 BSC 上遭攻击，损失约 10 万美元。

ZeroLend

借贷平台 ZeroLend 遭闪电贷攻击，损失约 7.7 万美元。

12 月漏洞利用安全事件 Top5

Gempad

2024 年 12 月 17 日，GemPad 因为平台漏洞被利用，攻击者窃取 210 万美元。据分析，攻击者从 GemPad 的安全锁中耗尽资源，然后将其换成 ETH 和 BNB，并整合了这些资源。据 GemPad 称，只有少数项目受到影响，但该平台现在安全并重新上线。

FEG

2024 年 12 月 29 日，FEG 项目遭攻击，损失约 107 万美元，据分析，此次事件的根本原因似乎是与底层 Wormhole 跨链桥集成时出现的可组合性问题，该桥用于跨链消息和代币的传输。

Vestra DAO

2024 年 12 月 4 日，Vestra DAO 发推称一名黑客利用了锁仓质押合约中的漏洞，操控奖励机制，获取了超出其应得范围的大量奖励。此次事件导致总计 73,720,000 枚 VSTR 被盗。被盗的代币随后逐步在 Uniswap 上出售，导致约 40 万美元的 ETH 流动性损失。

Spectral

2024 年 12 月 1 日，Spectral 发推表示收到了关于 Syntax 上的绑定曲线合约影响部分代币的漏洞警报，该漏洞被用于移除约 25 万美元的流动性。

HarryPotterObamaSonic10Inu 2.0

2024 年 12 月 18 日，以太坊上出现针对 HarryPotterObamaSonic10Inu 2.0 代币流动性池的一系列利用交易。攻击者获利约 24.3 万美元，并将资金存入了 Tornado。

关于 CertiK

CertiK 始终致力于持续追踪 Web 3.0 领域的安全趋势，迄今为止已进行 70 余次白帽行动，报告 4,000 多起安全事件，发现 11.5 万多个代码漏洞，保护了超过 3,600 亿美元的数字资产免受潜在损失；并通过年度和季度安全报告的形式，向行业传递关键的安全信息。

关于 MetaEra

MetaEra 是 Web 3.0 行业领先的资讯平台和品牌与增长专家。在全球各地区利用全方位优势资源，为您的品牌管理和业务增长提供创意型解决方案和定制化服务。