2024 區塊鏈安全與反洗錢年度報告解讀之安全態勢

2024 年共發生安全事件 410 件，損失高達 20.13 億美元。

作者：慢霧 AML 團隊，慢霧安全團隊

上週，我們發佈了慢霧出品 | 2024 區塊鏈安全與反洗錢年度報告，接下來我們把報告分為四篇文章來解讀，剖析報告中的關鍵內容，幫助讀者更全面深入地理解當前區塊鏈生態系統中的關鍵安全挑戰和機遇。本篇主要聚焦區塊鏈生態安全態勢。

在安全領域，2024 年延續了以往的嚴峻態勢。黑客攻擊事件頻發，尤其是針對中心化平臺的攻擊佔據著主導地位。與此同時，智能合約漏洞和社會工程學攻擊仍是黑客的主要作惡手段，而釣魚攻擊的方式更加隱蔽，手段更加複雜，用戶資產的保護仍面臨重大挑戰。供應鏈安全問題也在 2024 年引發更多關注，多個知名項目遭遇惡意代碼注入攻擊，導致大量用戶資產丟失。

根據慢霧區塊鏈被黑事件檔案庫 (SlowMist Hacked) 統計，2024 年共發生安全事件 410 件，損失高達 20.13 億美元。對比 2023 年（共 464 件，損失約 24.86 億美元），損失同比下降 19.02%。

注：本報告數據基於事件發生時的代幣價格，由於幣價波動和部分未公開事件的損失未納入統計等因素，實際損失應高於統計結果。

典型攻擊事件

DMM Bitcoin

2024 年 5 月 31 日，日本加密貨幣交易所 DMM Bitcoin 表示，其官方錢包中的 4,502.9 BTC 被非法轉移，造成價值約 482 億日元的損失。據悉，DMM Bitcoin 安全事件的損失金額在加密貨幣黑客攻擊史上排名第七，是自 2022 年 12 月以來最大的一次攻擊。同時，此前日本曾發生過兩起重大加密貨幣交易所黑客攻擊事件，即 2014 年的 Mt.Gox 事件和 2018 年的 Coincheck 事件，被盜金額分別為 4.5 億美元和 5.34 億美元。此次 DMM Bitcoin 攻擊事件成為日本第三大此類案件。12 月 23 日，據美國聯邦調查局（FBI）通報，美國聯邦調查局（FBI）、國防部網絡犯罪中心（DC3）以及日本警察廳（NPA）提醒公眾，此次盜竊與 TraderTraitor 威脅活動相關，TraderTraitor 也被跟蹤記錄為 Jade Sleet、UNC4899 和 Slow Pisces。TraderTraitor 活動通常以針對同一公司多名員工的社交工程攻擊為特徵。

據悉，2024 年 3 月底，一名偽裝成 LinkedIn 招聘人員的朝鮮黑客聯繫了 Ginco 公司的員工，Ginco 是一家總部位於日本的企業級加密貨幣錢包軟件公司。黑客向目標員工發送了一個鏈接，指向一個託管在 GitHub 上的惡意 Python 腳本，聲稱這是一個入職測試。目標員工將 Python 代碼複製到自己的 GitHub 頁面上，結果遭到入侵。5 月中旬後，TraderTraitor 黑客利用會話 Cookie 信息冒充被攻擊的員工，成功訪問 Ginco 公司未加密的通信系統。5 月底，黑客可能利用此訪問權限篡改了 DMM Bitcoin 員工的合法交易請求，導致 4,502.9 BTC 被盜。最終，盜取的資金被轉移到 TraderTraitor 控制的錢包中。

PlayDapp

2024 年 2 月 9 日，區塊鏈遊戲平臺 PlayDapp 遭攻擊，黑客入侵了 PlayDapp (PLA) 代幣智能合約。黑客非法獲取了私鑰，從而改變了智能合約的所有權和鑄幣權限，將其轉移到自己的賬戶上。黑客移除了現有管理員的授權，並非法鑄造了 2 億個 PLA 代幣。事發後不久，PlayDapp 通過鏈上交易向黑客發送消息，要求歸還被盜資金並提供 100 萬美元白帽獎勵，但最終談判失敗。2 月 12 日，黑客再次非法鑄造了 15.9 億 PLA 代幣，但由於交易所已採取凍結措施，市場流通已被停止，未能流通。4 月 1 日，據 PlayDapp 披露，2024 年 1 月 16 日，PlayDapp 團隊收到了黑客偽造的郵件，該郵件精心設計，具有與其常收到的來自主要合作交易所的常規信息請求郵件完全相同的標題、發件人郵件地址（包括用戶名和域名）以及內容。分析表明，當執行郵件附件中的惡意代碼時，受害者的電腦安裝了一個篡改的遠程訪問多會話工具，隨後被黑客遠程控制，導致管理員私鑰被盜。

WazirX

2024 年 7 月 18 日，印度加密貨幣交易所 WazirX 的多籤錢包被監測到發生多筆可疑交易。7 月 19 日，據 WazirX 在 X 平臺發佈網絡攻擊的初步調查結果，他們的一個多重簽名錢包遭遇了網絡攻擊，損失超過 2.3 億美元。該錢包共有六個簽署人 —— 五名來自 WazirX 團隊成員和一名來自 Liminal 的成員，負責交易驗證。每筆交易通常需要 WazirX 團隊三名簽署人（這三名簽署人都使用 Ledger 硬件錢包以確保安全）批准後，才會由 Liminal 的簽署人進行最終批准。此次網絡攻擊源於 Liminal 界面上顯示的數據與實際交易內容之間的差異，在攻擊發生時，Liminal 界面顯示的交易信息與實際簽署的內容不符。WazirX 懷疑黑客通過替換載荷，將錢包控制權轉移給了自己。

BtcTurk

2024 年 6 月 22 日，土耳其加密貨幣交易所 BtcTurk 遭攻擊，損失約 9 千萬美元。BtcTurk 在 6 月 22 日的聲明中表示：“此次網絡攻擊影響了我們熱錢包中 10 種加密貨幣餘額的一部分，大部分存儲在冷錢包中的資產仍然安全。” 據 Binance 首席執行官 Richard Teng 透露，Binance 已凍結了其中價值 530 萬美元的被盜資產。

Munchables

2024 年 3 月 27 日，Blast 生態項目 Munchables 遭攻擊，損失約 6,250 萬美元。同日，Blast 創始人 Pacman 發推表示：“Blast 核心貢獻者已通過多重簽名獲得 9,700 萬美元的資金。感謝前 Munchables 開發者選擇最終退還所有資金，且不需要任何贖金。”

Radiant Capital

2024 年 10 月 17 日，Radiant Capital 在 X 發文表示意識到 BNB Chain 和 Arbitrum 上的 Radiant 借貸市場存在問題，Base 和主網市場已暫停交易。據慢霧安全團隊分析，此次事件是 Radiant 黑客非法控制 3 個多籤權限後，升級了惡意合約以竊取資金。10 月 18 日，Radiant 發佈事件分析報告表示，此次事件導致約 5 千萬美元的損失，黑客通過複雜的惡意軟件注入技術，成功入侵了至少三位核心貢獻者的設備，這些被入侵的設備隨後被用來簽署惡意交易。12 月 6 日，Radiant 發佈被攻擊事件的最近進展，Radiant 聘請的安全公司 Mandiant 將此次攻擊歸因於 UNC4736，通常被稱為 AppleJeus 或 Citrine Sleet。Mandiant 高度認為 UNC4736 與朝鮮民主主義人民共和國（DPRK）有關。

BingX

2024 年 9 月 20 日，據加密貨幣交易所 BingX 公告，新加坡時間 9 月 20 日凌晨 4 點左右，BingX 的安全系統檢測到針對一個熱錢包的未經授權的入侵。據慢霧安全團隊統計，此次事件導致的損失約達 4,500 萬美元。根據 MistTrack 的分析，Indodax 黑客和 BingX 黑客之間疑似存在聯繫，這兩起攻擊事件的黑客使用了同一個地址洗錢，且都指向了朝鮮黑客 Lazarus Group。

Hedgey Finance

2024 年 4 月 19 日，Hedgey Finance 遭攻擊，黑客進行了一系列惡意交易，導致其在 Ethereum 和 Arbitrum 兩條鏈上損失總計約 4,470 萬美元。此次事件的根本原因是缺少對用戶參數輸入的驗證操作，使得黑客能夠操縱並獲得未經授權的代幣批准。

Penpie

2024 年 9 月 4 日，去中心化流動性收益項目 Penpie 遭攻擊，黑客獲利約 2,735 萬美元。據慢霧安全團隊分析，此次事件的核心在於 Penpie 在註冊新的 Pendle 市場時，錯誤地假設所有由 Pendle Finance 創建的市場都是合法的。然而，Pendle Finance 的市場創建流程是開放式的，允許任何人創建市場，並且其中的關鍵參數如 SY 合約地址，可以由用戶自定義。利用這一點，黑客創建了一個含有惡意 SY 合約的市場合約，並利用 Penpie 池子在獲取獎勵時需要對外部 SY 合約調用的機制，藉助閃電貸為市場和池子添加了大量的流動性，人為放大了獎勵數額，從而獲利。

FixedFloat

2024 年 2 月 16 日，根據鏈上數據，加密貨幣交易平臺 FixedFloat 遭攻擊，損失約 409 枚 BTC（約 2,117 萬美元）和 1,728 枚 ETH（約 485 萬美元）。FixedFloat 針對此次攻擊事件表示：這次黑客攻擊是由於安全結構中的漏洞引起的外部攻擊，並不是由員工所實施，用戶資金並未受影響。4 月 2 日，FixedFloat 在 X 平臺表示其再次遭受了 2 月 16 日攻擊事件的黑客的攻擊。黑客設法利用了 FixedFloat 使用的第三方服務中的漏洞。這兩次攻擊事件給 FixedFloat 造成總計約 2,900 萬美元損失。

Rug Pull

Rug Pull 是一種騙局，其本質是惡意項目方造勢吸引用戶投資，等到時機成熟便 “拉毯子”，捲款跑路。根據慢霧區塊鏈被黑事件檔案庫 (SlowMist Hacked) 統計，2024 年 Rug Pull 事件達 58 起，導致損失約 1.06 億美元。

隨著 Meme 幣熱潮的到來，許多用戶在投機和 FOMO 情緒驅使下，忽視了潛在風險。一些發幣方甚至無需向用戶描繪願景或提供白皮書，僅憑一個概念或口號，便能炒作出熱度吸引用戶購買代幣，而低廉的作惡成本導致跑路事件層出不窮。以下是惡意項目方的常見操作：

• 虛假宣傳和造勢：通過誇大技術實力或市場潛力，以及虛假合作或名人背書等手段，吸引用戶投資。
• 操控代幣價格：項目方通常會預先持有大量代幣，通過操控市場價格製造繁榮假象，吸引更多資金入場。
• 代幣合約設置漏洞：通過在智能合約中預留後門，項目方可以隨時提取資金或銷燬流動性池。
• 人間蒸發：在跑路前夕，項目方往往會關閉官方網站、社交賬號或解散社群，切斷與投資者的聯繫。

瞭解惡意項目方的操作手法後，我們可以發現，這些騙局往往利用的是用戶的投機心理和對高收益的渴望。要避免成為這類騙局的受害者，關鍵是保持警惕，增強防範和驗證能力，以下方法可以幫助用戶儘可能避免參與到會跑路的項目：

• 審查項目背景：關注團隊成員的真實性和背景，查看其過往項目是否有不良記錄。
• 是否經過審計：查看項目是否經過專業的安全審計。
• 關注社區反饋：加入項目的社交媒體或論壇，觀察社區的活躍度和討論內容，警惕過多的吹捧或不合理承諾。
• 分散投資：不要把所有資金投入一個項目，避免因單一項目造成重大損失。
• 警惕高收益誘惑：天上不會掉餡餅，高收益往往伴隨高風險，對於 “快速翻倍”，“零風險” 等不切實際的承諾需格外謹慎。

完整報告的鏈接如下，也可直接點擊閱讀原文跳轉，歡迎閱讀並分享 🙂

中文：https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(CN).pdf

英文：https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(EN).pdf

免責聲明：作為區塊鏈信息平臺，本站所發佈文章僅代表作者及嘉賓個人觀點，與 Web3Caff 立場無關。文章內的信息僅供參考，均不構成任何投資建議及要約，並請您遵守所在國家或地區的相關法律法規。