根据 Gate Research 的最新 Web3 行业安全报告指出,12 月份发生了 27 起安全事件,损失约为 411 万美元。事件类型多样化,合约漏洞仍然是主要威胁,占总损失的 72%。报告还对关键安全事件进行了详细分析,包括 FEG 安全漏洞、Clober 合约漏洞、Clipper DEX 合约漏洞、和 HarryPotterObamaSonic10Inu 闪电贷攻击。合约漏洞和帐户黑客攻击被确定为本月的主要安全风险,突显了行业不断加强安全措施的必要性。
摘要
2024 年 12 月,Web3 行业发生了 27 起安全事件,导致损失约 411 万美元,较上月大幅下降。本月的安全事件主要涉及合约漏洞、账户被盗等攻击方法。合约漏洞仍然是主要威胁,占加密行业安全事件总损失的 72%。大部分损失发生在各大公链: BSC、Ethereum、Cardano、和 Base 等。本月的重大事件包括 FEG 安全漏洞 (损失 100 万美元)、Clober 合约漏洞(损失 50 万美元)、Vestra DAO 合约漏洞(损失 50 万美元)和 Moonhacker 帐号被黑(损失 32 万美元)、HarryPotterObamaSonic10Inu 闪电贷攻击 (损失 24.3 万美元)。
安全事件概述根据 Slowmist 的数据,2024 年 12 月记录了 27 起黑客事件,损失总额为 411 万美元。攻击主要涉及合同漏洞、帐户黑客攻击和其他方法。与 11 月份相比,事故数量和总损失均大幅下降,表明行业安全措施和意识有所改善。合同漏洞仍然是攻击的主要原因,九起事件造成了超过 298 万美元的损失,占总数的 72%。加密专案的官方 X 帐户和网站仍然是黑客的主要目标。【1】
本月公链安全事件分布显示,损失主要集中在几个成熟和受欢迎的公链上,特别是。以太坊和 Base,分别是损失 201 万美元和 95 万美元。这突显了尽管公共链的基础安全性仍然坚固,应用层和智能合约中的漏洞仍然对用户资金构成重大风险。
本月有几个区块链项目遭遇重大安全事故,导致重大财务损失。值得注意的事件包括 FEG 安全漏洞造成了 100 万美元损失,Clober 合约漏洞导致了 50 万美元的损失,Vestra DAO 合约漏洞导致 50 万美元的损失,以及 Clipper DEX 合约漏洞导致 45.7 万美元的损失。
十二月的重大安全事件根据官方披露,以下项目在 12 月份遭受的损失超过 322 万美元。这些事件突显了合约漏洞仍然是一个重大威胁。
攻击者利用 Clipper 使用的智能合约中的一个漏洞,操控了单资产存取功能。此操作影响了 Optimism 和 Base 网络的流动性池,导致池内资产不平衡,攻击者得以提取超出其存入金额的资产。此次攻击造成约 457,878 美元的损失。Vestra DAO 发推称一名黑客利用了锁仓质押合约中的漏洞,操控奖励机制,获取了超出其应得范围的大量奖励。此次事件导致总计 73,720,000 枚 VSTR 被盗。被盗的代币随后逐步在 Uniswap 上出售,导致约 50 万美元的 ETH 流动性损失。为了要保护 VSTR 的代币经济模型和项目的稳定性,决定把剩下的 755,631,188 枚 VSTR 永久的从流通量中去除。Clober DEX 在 Base Network 上的流动性保险库遭受攻击,造成 133.7 ETH(约 50.1 万美元)的损失。团队另外提供攻击者被盗资金的 20% 作为安全漏洞奖励,希望剩余资产能够归还,但此次谈判并没有得到共识。HarryPotterObamaSonic10Inu 遭到闪电贷攻击,以太坊上出现针对 HarryPotterObamaSonic10Inu 2.0 代币流动性池的一系列利用交易。攻击者获利约 24.3 万美元,并将资金存入了 Tornado。FEG 项目遭安全漏洞攻击,损失约 100 万美元,据分析 ,此次事件的根本原因似乎是与底层 Wormhole 跨链桥集成时出现的可组合性问题,该桥用于跨链消息和代币的传输。团队已经暂停 FEG 所有在中心化交易所的交易,SmartDeFi 协议也已暂停。
Clipper DEX项目概況: Clipper 是一个去中心化的交易所,旨在为白手起家的加密货币交易者提供最优惠的小额交易价格(< 1 万美元)。这是通过限制流动性和减轻无常损失来实现的。
事件概況:根据 Clipper 发布的分析报告,2024 年 12 月 1 日,攻击者利用 Clipper 使用的智能合约中的一个漏洞,操控了单资产存取功能。此操作影响了 Optimism 和 Base 网络的流动性池,导致池内资产不平衡,攻击者得以提取超出其存入金额的资产。此次攻击造成约 457,878 美元的损失。
在几小时内,AdmiralDAO 启动并执行了紧急响应程序,迅速采取措施保护协议中剩余资金并阻止攻击。经过响应后,没有其他资金受到影响。【2】
事故后建议:
扩展不变量检查:在链上实施验证,确保单资产提现时池的不变量保持一致,就像 Clipper 在最新合约版本中对交易所实施的验证一样。扩展预言机价格验证:将链上价格预言机集成到存款和提现的资产价值验证中,就像 Clipper 在最新合约版本中对交易所执行的验证一样。考虑对存款实施短期锁定:如果新存款的锁定时间超过存款签名的有效期(例如几分钟),此次攻击将不可能发生。
Vestra DAO项目概況:VSTR 是一个由 NFT 社区“CMLE”(Crypto Monster 限量版)开发的提供半去中心化、Web2+Web3 混合服务的代币。同时,它作为去中心化自治组织 (DAO) 项目运营,提供 DeFi 解决方案。
事件概況:
2024 年 12 月 4 日,Vestra DAO 发推称一名黑客利用了锁仓质押合约中的漏洞,操控奖励机制,获取了超出其应得范围的大量奖励。此次事件导致总计 73,720,000 枚 VSTR 被盗。被盗的代币随后逐步在 Uniswap 上出售,导致约 50 万美元的 ETH 流动性损失。
团队迅速的发现了问题,并立即采取行动,将锁仓质押合约列入黑名单,从而禁用了与这些合约的进一步交互。因此,锁仓质押池中的 755,631,188 枚 $VSTR 已从流通中移除,这些合约的资金也无法再被提取。团队在 12 月 6 日公告,为了要保护 VSTR 的代币经济模型和项目的稳定性,决定把剩下的 755,631,188 枚 VSTR 永久的从流通量中去除。【3】
事故后建议:
进行全面的合约安全审计与优化聘请权威第三方安全审计机构对所有智能合约进行全面审查,特别是质押与锁仓合约,重点检查权限管理、边界条件处理以及代码逻辑的安全性。审计后应根据建议优化合约代码,并向社区公开审计报告,增强透明度与用户信任。
部署多层防护机制与实时监控
实施时间锁(Timelock)功能:对关键操作引入时间延迟,确保在发生异常时有足够时间暂停操作或介入。引入实时监控与报警系统:通过链上数据分析,实时检测异常交易行为或合约交互,并在可疑情况出现时立即报警,以减少漏洞造成的损失。
Clober DEX项目概況: Clober 是一种完全链上的订单簿 DEX,可在去中心化智能合约平台上实现链上订单匹配和结算。借助 Clober,市场参与者可以以完全去中心化、无需信任的方式以可管理的成本下达限价和市价订单。
事件概況:2024 年 12 月 10 日,Clober DEX 在 Base Network 上的流动性保险库遭受攻击,造成 133.7 ETH(约 50.1 万美元)的损失。此次攻击的根本原因是 Rebalancer 合约中 _burn() 函数存在的可重入漏洞。
团队另外提供攻击者被盗资金的 20% 作为安全漏洞奖励,前提是剩余资产能够归还。此外,如果攻击者配合,团队保证不会采取任何法律行动。2024 年 12 月 31日,团队发出声明,此次谈判并没有得到共识,攻击者把盗来的资产转移到了 Tornado Cash。团队目前已和执法团队配合,希望能够追朔到攻击者的来源。【4】 \
事故后建议:
增强的智能合约安全性:项目团队必须加强对智能合约的安全审查。所有代码在部署之前都应该经过严格的审计,并进行定期的漏洞扫描,以减少攻击风险。强大的基金管理策略:实施多签钱包和分层资金存储系统,防止单个合约中资产集中过多,减少可能因攻击而造成的损失。与安全组织合作:在事件发生后,与区块链安全团队和执法部门迅速合作,可以有效控制损害并加速资产追回。
HarryPotterObamaSonic10Inu项目概況: HarryPotterObamaSonic10Inu 是加密资产的终极形态。BITCOIN 激励创作新颖有趣的表情包内容。在所有权已放弃且流动性已锁定的情况下,不断壮大的社区已走在前列。基于启发 BITCOIN 创造的传奇表情包,项目方正在打造独一无二的网站,以及专属周边和电子商务平台。目标是创建一个生态系统,让活跃的社区成员能够相互交流和协作。
事件概況:2024 年 12 月 18 日,以太坊上出现针对 HarryPotterObamaSonic10Inu 2.0 代币流动性池的一系列利用交易。攻击者获利约 24.3 万美元,并将资金存入了 Tornado。
代币在接下来的四天内价格经历了较深的下跌,约 -33.42%;市值从 2.45 亿美金下降至 1.68 亿美金。【5】 \
事故后建议:
加强智能合约安全审计与优化聘请第三方专业机构对现有智能合约进行全面安全审计,重点检查资金池逻辑和权限管理,修复漏洞并优化合约代码。增加如时间锁(Timelock)或速率限制(Rate Limit)等机制,防止短时间内的恶意操作。
引入链上价格预言机集成可信的链上预言机,验证存款和提现时的资产价格,确保操作符合实际市场价值,避免因价格操纵导致的资金损失。
提升社区透明度与信心公布事件调查结果及修复计划,确保信息透明化并增强用户对项目的信任。
FEG项目概況: FEG 代币是 FEG 生态系统的一个通缩治理代币,生态系统包括去中心化交易所和被动收入激励机制。其目标是重塑去中心化交易网络的运行模式。该代币已上线以太坊和币安智能链网络。
事件概況:2024 年 12 月 29 日,FEG 项目遭安全漏洞攻击,损失约 100 万美元,据分析 ,此次事件的根本原因似乎是与底层 Wormhole 跨链桥集成时出现的可组合性问题,该桥用于跨链消息和代币的传输。Wormhole Foundation 随后澄清,所有 Wormhole 协议都没有发现问题,此次攻击事件和 Wormhold 无关。
事件发生之后,团队已经暂停 FEG 所有在中心化交易所的交易,并正在进行全面的调查。SmartDeFi 合约代码并没有被攻击,但为了安全起见,SmartDeFi 协议也已暂停,但所有在协议上的项目目前为止都是安全的。【6】
事故后建议:
进行全面的安全审计:邀请第三方专业机构对智能合约和平台的代码进行全面安全审计,重点检查权限管理、逻辑漏洞和代码漏洞。根据审计结果及时修复问题,并公开审计报告,以增强用户的信任。建立漏洞披露与奖励计划:推出持续的安全漏洞赏金计划(Bug Bounty Program),鼓励安全研究人员和白帽黑客发现并报告潜在漏洞。在未来,及时修复这些漏洞以降低可能的安全风险。加强资产保护与用户补偿机制:开发多层次的资产保护机制,如实时监控异常交易、引入时间锁(Timelock)功能,以及多签名钱包。对于受影响用户,建立公平透明的补偿计划,以恢复用户信心,并将用户资金损失降到最低。
小结2024 年 12 月,多家 DeFi 项目遭遇安全漏洞攻击,总计损失数百万美元的资产。这些事件包括 Clober DEX 的流动性保险库攻击、FEG 与 Wormhole 集成导致的跨链漏洞利用、Vestra DAO 的锁仓质押漏洞、Clipper DEX 单资产存取功能的被操控,以及 HarryPotterObamaSonic10Inu 的闪电贷攻击。这些事件暴露了智能合约安全性、跨链协议可组合性以及资金池管理的关键风险。行业内亟需加强智能合约审计、引入实时监控和多层防护机制,增强平台的安全性和用户信任。Gate.io 提醒用户关注安全动态,选择可靠平台并加强个人资产保护。参考资料:
Slowmist,https://hacked.slowmist.io/zh/statisticsClipper,https://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/X,https://x.com/Vestra_DAO/status/1864677381459390781X,https://x.com/CloberDEX/status/1874039225001377816Gate.io,https://www.gate.io/zh-tw/post/status/8242569X,https://x.com/FEGtoken/status/1873265905867866294
Gate 研究院Gate 研究院是一个全面的区块链和加密货币研究平台,为读者提供深度内容,包括技术分析、热点洞察、市场回顾、行业研究、趋势预测和宏观经济政策分析。
点击链接立即前往
免责声明加密货币市场投资涉及高风险,建议用户在做出任何投资决定之前进行独立研究并充分了解所购买资产和产品的性质。 Gate.io 不对此类投资决策造成的任何损失或损害承担责任。