MetaEra 聯手 CertiK 共同推出 2024 年 12 月安全報告，向行業傳遞關鍵的安全信息。

文章作者：0x9999in1，MetaEra

2024 年 12 月，Web 3.0 行業遭遇了一系列安全挑戰，包括閃電貸攻擊、漏洞利用和退出騙局等事件。與上月相比，累計損失金額大幅降低，但仍然達到了 2864 萬美元，為年內損失最少的一個月。

12 月主要安全大事件為 Gempad 和 FEG，兩者均為漏洞利用事件，損失金額分別達到 214 萬美元和 107 萬美元。此外，報告還深入調查並分析了 12 月前十大安全事件、月三大類安全事件中的代表性案例，以及今年每個月三大類安全事件的損失金額，以期強化用戶安全意識，達到用戶教育、防範攻擊的作用，以下為具體數據和分析結果。

12 月閃電貸攻擊安全事件 Top5

CloberDex

2024 年 12 月 10 日，CloberDex 流動性保險庫遭到黑客攻擊，損失 133 ETH（價值約 50 萬）。攻擊者已將竊取的資金從 Base 轉移到以太坊。本次漏洞成因主要是因為 CloberDEX 項目方合約在獲取銷燬 LP Token 的代碼中沒有進行重入檢測和防護，且更新狀態變量在合約調用之後，最終導致攻擊者利用該重入漏洞掏空項目方的 WETH。

Clipper DEX

2024 年 12 月 1 日，攻擊者利用 Clipper 使用的智能合約中的一個漏洞，操控了單資產存取功能。此操作影響了 Optimism 和 Base 網絡的流動性池，導致池內資產不平衡，攻擊者得以提取超出其存入金額的資產。此次攻擊造成約 450,812 美元的損失。

Moonwell DeFi

2024 年 12 月 25 日，Moonwell DeFi 是一個在 Optimism 網絡上運行的去中心化借貸協議，遭遇了閃電貸攻擊，損失了 32 萬美元。攻擊者利用偽裝成“mToken”的惡意合約地址，攻擊了該協議的 USDC 借貸合約。此舉授予了未經授權的代幣批准，從而使攻擊者能夠從 Moonwell 用戶那裡榨乾資金。

BYC

2024 年 12 月 3 日，RunWay (BYC) 疑似在 BSC 上遭攻擊，損失約 10 萬美元。

ZeroLend

借貸平臺 ZeroLend 遭閃電貸攻擊，損失約 7.7 萬美元。

12 月漏洞利用安全事件 Top5

Gempad

2024 年 12 月 17 日，GemPad 因為平臺漏洞被利用，攻擊者竊取 210 萬美元。據分析，攻擊者從 GemPad 的安全鎖中耗盡資源，然後將其換成 ETH 和 BNB，並整合了這些資源。據 GemPad 稱，只有少數項目受到影響，但該平臺現在安全並重新上線。

FEG

2024 年 12 月 29 日，FEG 項目遭攻擊，損失約 107 萬美元，據分析，此次事件的根本原因似乎是與底層 Wormhole 跨鏈橋集成時出現的可組合性問題，該橋用於跨鏈消息和代幣的傳輸。

Vestra DAO

2024 年 12 月 4 日，Vestra DAO 發推稱一名黑客利用了鎖倉質押合約中的漏洞，操控獎勵機制，獲取了超出其應得範圍的大量獎勵。此次事件導致總計 73,720,000 枚 VSTR 被盜。被盜的代幣隨後逐步在 Uniswap 上出售，導致約 40 萬美元的 ETH 流動性損失。

Spectral

2024 年 12 月 1 日，Spectral 發推表示收到了關於 Syntax 上的綁定曲線合約影響部分代幣的漏洞警報，該漏洞被用於移除約 25 萬美元的流動性。

HarryPotterObamaSonic10Inu 2.0

2024 年 12 月 18 日，以太坊上出現針對 HarryPotterObamaSonic10Inu 2.0 代幣流動性池的一系列利用交易。攻擊者獲利約 24.3 萬美元，並將資金存入了 Tornado。

關於 CertiK

CertiK 始終致力於持續追蹤 Web 3.0 領域的安全趨勢，迄今為止已進行 70 餘次白帽行動，報告 4,000 多起安全事件，發現 11.5 萬多個代碼漏洞，保護了超過 3,600 億美元的數字資產免受潛在損失；並通過年度和季度安全報告的形式，向行業傳遞關鍵的安全信息。

關於 MetaEra

MetaEra 是 Web 3.0 行業領先的資訊平臺和品牌與增長專家。在全球各地區利用全方位優勢資源，為您的品牌管理和業務增長提供創意型解決方案和定製化服務。