{"author":{"address":"0xbD0b3505cc45d97DdB3e7FAa75ED0Fc41c61A354","user":"https://learnblockchain.cn/people/52"},"content":{"body":"![登链封面(月报).jpg](https://img.learnblockchain.cn/attachments/2025/02/iqNFZgmb67a45f30adc38.jpg)\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n零时科技每月安全事件看点开始了！据一些区块链安全风险监测平台统计显示，2025年1月因漏洞、黑客和诈骗造成的损失约为**9800万**美元，发生**28次**加密货币黑客攻击，其中约**800万**美元归因于网络钓鱼。但相比2024年1月的1.33亿美元损失，下降**44.6%**。较24年12月份的2,358万美元损失下降了**56%**。\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n# **黑客攻击方面**\r\n\r\n\r\n**典型安全事件 7 起**\r\n\r\n\r\n(1)  1月8日，Orange Finance（Arbitrum 上的 DeFi 协议）的用户被盗取了超过 80 万美元。攻击者能够访问该协议的管理密钥，并利用这些密钥对该协议的合约执行恶意升级，从而窃取所有对该协议拥有有效代币批准的用户的钱包。\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n![1.5.png](https://img.learnblockchain.cn/attachments/2025/02/RI9hBGmF67a45f8e7dd8a.png)\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n(2)  1月8日，Moby 发生了一起私钥泄露事件，影响了某些协议中的部分 LP 资产。他们表示这不是与协议智能合约相关的安全问题，而是黑客试图通过使用被盗的代理私钥简单地升级现有智能合约来窃取资金。最后，tonykebot 利用 UUPS 实施中缺乏保护的情况，实施了一次成功的白帽救援行动，将此前攻击链上期权协议 Moby 黑客获取的 147 万枚 USDC 返还给了项目所有者。\r\n\r\n\r\n\r\n(3)  1月13日，据零时科技安全团队监测，EVM 链上的 UniLend 遭攻击，损失约 19.7 万美元本次漏洞的成因是 Unilend 在进行 redeem 时，在计算抵押物的数量时没有减去 redeem 应该转出的数量，导致错误的计算后抵押物的数量要高于攻击者实际拥有的抵押物的数量，本不应该成功的兑换成功完成。最终导致攻击者掏空了项目方的 stETH 代币。\r\n\r\n详细攻击分析可点此链接：\r\n\r\n[零时科技 || Unilend 攻击事件分析](https://mp.weixin.qq.com/s?\\__biz=MzU1OTc2MzE2Mg==\\\u0026mid=2247489294\\\u0026idx=1\\\u0026sn=324b23790ed7c101929545f08a23986b\\\u0026token=1721487428\\\u0026lang=zh_CN\\\u0026scene=21#wechat_redirect)\r\n\r\n\r\n\r\n(4)  1月15日，零时科技项目团队监测到多起针对 Ethereum 链上项目 Sorra 攻击事件，攻击共造成 41, 000 USD 的损失。本次漏洞的成因是 Sorra 项目方在用户 withdraw 时，没有判断用户是否已经提取过了 reward ，导致用户可以通过大量的操作重复提取 reward 。攻击者利用上述漏洞发起多次交易，将 Sorra 项目中的 SOR Token 全部提取。\r\n\r\n详细攻击分析可点此链接：\r\n\r\n[零时科技 || SorraStaking 攻击事件分析](https://mp.weixin.qq.com/s?\\__biz=MzU1OTc2MzE2Mg==\\\u0026mid=2247489306\\\u0026idx=1\\\u0026sn=3727b35b3416a8d36750702a45ec48e3\\\u0026scene=21#wechat_redirect)\r\n\r\n\r\n(5)  1月21日，Forta 检测到了 TheIdolsNFT 上价值 32.4 万美元的漏洞。\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n![4.jpg](https://img.learnblockchain.cn/attachments/2025/02/IKAGXcdB67a45fb9f3607.jpg)\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n(6)  1月23日，总部位于新加坡的 Phemex 加密货币交易所的热钱包被攻击，导致约 7 千万美元的损失。\r\n\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n![2.jpg](https://img.learnblockchain.cn/attachments/2025/02/VITWarGI67a45fcc13cd1.jpg)\r\n\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n(7)  1月24日，据慢雾安全团队监测，由于 ODOS 缺乏输入验证，该漏洞已在多个链上被利用，损失约 10 万美元。ODOS 发推表示此次攻击利用了其经过审计的 executor 合约中的一个漏洞，窃取了存储在合约中的收入，但未影响任何用户资金。\r\n\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n![3.jpg](https://img.learnblockchain.cn/attachments/2025/02/TM3Je6Pr67a45fe8115f9.jpg)\r\n\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n# **Rug Pull / 钓鱼诈骗**\r\n\r\n**典型安全事件 10 起**\r\n\r\n\r\n(1)  1月2日，一名 $VIRTUAL 持有者持有约 39 倍（$196,396）的代币，因“增加限额”网络钓鱼交易而丢失了所有代币。\r\n\r\n\r\n\r\n(2)  1月3日，一名 $RLB 持有者因“Uniswap Permit2”网络钓鱼签名丢失了价值约 100 万美元的所有代币。\r\n\r\n\r\n\r\n(3)  1月6日，0x5167 开头地址因签署“增加津贴”网络钓鱼交易后损失了价值 155,256 美元的 EIGEN。\r\n\r\n\r\n\r\n(4)  1月7日，0x8536 开头地址在签署“Uniswap Permit2”网络钓鱼交易后损失了价值 103,020 美元的代币。\r\n\r\n\r\n\r\n(5)  1月8日，0x3402 开头地址在签署多个网络钓鱼签名后损失了价值 474,422 美元的 OLAS、SEKOIA、VIRTUAL 和 FJO。\r\n\r\n\r\n\r\n(6)  1月14日，0x00c0 开头地址在签署网络钓鱼交易后损失了价值 263,255 美元的VIRTUAL。\r\n\r\n\r\n\r\n(7)  1月17日，0x80dc 开头地址在签署了“许可证”网络钓鱼签名后损失了价值 426,106 美元的 USUALUSDC+。\r\n\r\n\r\n\r\n(8)  1月20日，0x1e70 开头地址在签署“允许”网络钓鱼签名后损失了价值 135,068 美元的 WETH。\r\n\r\n\r\n\r\n(9)  1月22日，0x3149 开头地址在签署“转账”网络钓鱼交易后损失了价值 553,045 美元的 $PAXG。\r\n\r\n\r\n\r\n(10)  1月29日，0xeb2 开头地址在签署“increaseApproval”网络钓鱼交易后损\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n# **总结**\r\n\r\n1月份加密货币钓鱼诈骗从 9,220 名受害者那里窃取了 1,025 万美元，较12月份的 2,358 万美元损失下降了 56% 。然而，不法分子正在不断进化并采用更复杂的攻击手段。\r\n\r\n\r\n零时科技安全团队建议项目方始终保持警惕，提醒广大用户谨防钓鱼攻击。建议用户在参与项目前充分了解项目的背景、团队，谨慎选择投资项目。此外也需做好内部安全培训和权限管理，在项目上线前寻找专业的安全公司进行审计并做好项目背景调查。\r\n\r\n\u003c!--EndFragment--\u003e","title":"【安全月报】| 1月份因漏洞、黑客和诈骗造成的损失约为9800万美元"},"history":null,"timestamp":1738825862,"version":1}