概覽
2025 年 5 月,Web3 安全事件總損失約 2.66 億美元。其中,據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io) 統計,共發生 15 起被黑事件,導致損失約 2.57 億美元,有 1.62 億美元得到凍結或返還,事件原因涉及合約漏洞、預言機攻擊和賬號被黑等。此外,據 Web3 反詐騙平臺 Scam Sniffer 統計,本月有 7,164 名釣魚事件受害者,損失規模達 963 萬美元。
安全大事件
Cetus Protocol
2025 年 5 月 22 日,SUI 生態上的流動性提供商 Cetus Protocol 遭攻擊,流動性池深度大幅下降,Cetus 上多個代幣交易對出現下跌,損失約 2.3 億美元。
事件發生後,慢霧安全團隊第一時間介入分析發現,此次事件的核心是攻擊者通過精心構造參數,使溢出發生但又能繞過檢測,最終用極小的 Token 金額即可換取鉅額流動性資產,詳細分析見慢霧:Cetus 被盜 2.3 億美金事件分析。
(攻擊時序圖)
幸運的是,據 Cetus 稱,在 SUI 基金會及其他生態系統成員合作下,目前已成功凍結了在 SUI 上的 1.62 億美元的被盜資金。
(https://x.com/CetusProtocol/status/1925567348586815622)
Cork Protocol
2025 年 5 月 28 日,慢霧(SlowMist) 監測到與 Cork Protocol 相關的潛在可疑活動。據慢霧安全團隊分析,此次攻擊的根本原因在於一方面 Cork 允許用戶通過 CorkConfig 合約創建以任意資產作為贖回資產(RA),使得攻擊者可以將 DS 作為 RA 使用。另一方面任意用戶都可以無需授權的調用 CorkHook 合約的 beforeSwap 函數,並允許用戶傳入自定的 hook 數據進行 CorkCall 操作,使得攻擊者可以操控,將合法市場中的 DS 存入另一個市場中作為 RA 使用,並獲得對應的 DS 和 CT 代幣。
(https://x.com/SlowMist_Team/status/1927705256915333359)
據鏈上反洗錢與追蹤工具 MistTrack 分析,攻擊者地址 0xea6f30e360192bae715599e15e2f765b49e4da98 獲利 3,761.878 wstETH,價值超 1,200 萬美元。截至目前,共有 4,530.5955 ETH 停留在攻擊者地址上,我們將持續對資金進行監控。
BitoPro
據鏈上偵探 ZachXBT 披露,臺灣加密貨幣交易所 BitoPro 疑似在 2025 年 5 月 8 日遭遇攻擊,損失金額約為 1,150 萬美元。BitoPro 在 Tron、Ethereum、Solana、Polygon 等多個鏈上的熱錢包出現異常資金外流,被盜資產通過去中心化交易所被迅速拋售。隨後,這些資金被轉入 Tornado Cash,或通過 Thorchain 跨鏈轉至比特幣網絡,並進一步存入 Wasabi 錢包進行洗錢。
(https://x.com/zachxbt/status/1929417001296146868)
Demex
2025 年 5 月 16 日,Demex 的借貸市場 Nitron 遭攻擊,損失約 95 萬美元。據 Demex 發佈的事故分析報告顯示,此次攻擊的根本原因是攻擊者對已廢棄的 dGLP 金庫進行了一次基於捐贈的預言機操縱攻擊。
(https://blog.dem.exchange/nitron-post-mortem/)
5 月 19 日,Demex 更新事件進展,表示在合作伙伴的支持下,已成功追回了 7.8 萬美元。
Zunami Protocol
2025 年 5 月 15 日,Zunami Protocol 發推表示遭攻擊,zunUSD 和 zunETH 的抵押資產被盜,損失約 50 萬美元。攻擊者已將所盜資金轉入 Tornado Cash。
(https://x.com/ZunamiProtocol/status/1922993510925435267)
5 月 30 日,Zunami Protocol 創始人 @kirill_zunami 發推表示正在調查此次攻擊事件,並同步考慮兩種可能的情況:部署者密鑰被盜,或密鑰持有者存在惡意行為。
(https://x.com/kirill_zunami/status/1928131508117651725)
特徵分析及安全建議
本月區塊鏈安全事件中,合約漏洞仍是造成損失的主要原因。其中,6 起合約漏洞相關事件共計造成約 2.44 億美元的損失,佔本月被黑事件損失的 95%。慢霧安全團隊建議項目方持續保持高度警惕,定期開展全面的安全審計工作,及時發現並修復潛在漏洞,同時關注最新的攻擊手法和安全趨勢,切實保障資產與用戶安全。
本月賬號被黑事件再次引發廣泛關注,共發生 6 起。除 Web3 項目方的官方賬號外,媒體機構及其他高關注度的賬號也成為攻擊目標。例如 5 月 12 日,英國足球俱樂部 @SheffieldUnited 的 X 賬號被黑,攻擊者利用其發佈虛假代幣地址。攻擊者還利用 Cointelegraph 的 X 賬號私信定向發送釣魚鏈接,誘導用戶點擊。關於如何加固 X 平臺賬號安全,可參考慢霧(SlowMist) 此前發佈的慢霧:X 賬號安全排查加固指南。
值得警惕的是,朝鮮黑客組織 Lazarus Group 近期開始將攻擊目標由機構轉向個人投資者。5 月 24 日,該組織通過惡意軟件從一名商家處竊取超 520 萬美元,這一事件或標誌著其攻擊策略的重大轉變。因此,普通用戶同樣應積極提升安全意識,可參考《區塊鏈黑暗森林自救手冊》提升防護能力。(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)
本月,關於 Coinbase 用戶頻繁遭遇社會工程攻擊原因的調查有了新進展。根據 Coinbase 披露的信息,攻擊者利用了內部員工的權限,獲取部分用戶的敏感數據,並據此發起了精準的社工攻擊。這一發現揭示了內外勾結在安全體系中的巨大隱患,也再次提醒各類平臺須加強對內部權限的管理。更多事件細節見黑暗森林裡的“客服”:社工騙局盯上 Coinbase 用戶。
最後,本文收錄的事件為本月主要安全事件,更多區塊鏈安全事件可在慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io/) 查看,點擊閱讀原文可直接跳轉。
