{"author":{"address":"0xbD0b3505cc45d97DdB3e7FAa75ED0Fc41c61A354","user":"https://learnblockchain.cn/people/52"},"content":{"body":"![封面banner.jpg](https://img.learnblockchain.cn/attachments/2024/09/JKWGjtD566d6ad84990a8.jpg)\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n零时科技每月安全事件看点开始了！据一些区块链安全风险监测平台统计显示，2024年8月，各类安全事件损失金额较7月持续增长。8月发生较典型安全事件超**28**起，因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达**3.14亿**美元，较7月增长约**9.7%**。其中，网络钓鱼攻击成为主要威胁，占据被盗资金总额的**93.5**%美元。\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n# **黑客攻击方面**\r\n\r\n**典型安全事件 *****8***** 起**\r\n\r\n\u003c!--EndFragment--\u003e\r\n\u003c!--StartFragment--\u003e\r\n\r\n(1)  8月1日，Convergence Finance 合约被盗取约 20 万美元。17 天前部署的用于分发 CVX 奖励的 Convergence Finance 合约已被攻破。攻击者铸造了 5800 万个 $CVG 代币并将其兑换为 60 WETH 和 15.9k crvFRAX。\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n![1.png](https://img.learnblockchain.cn/attachments/2024/09/YoEVoDtJ66d6ade594bf2.png)\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n(2)  8月6日，游戏区块链 Ronin 遭攻击，Ronin Bridge 项目出现异常提取跨链资产的行为。慢雾安全团队分析，漏洞原因是由于权重被修改为意外值，资金无需经过任何多重签名阈值检查即可提取。攻击者从桥中提取了约 4000 个 ETH 和 200 万 USDC，价值约 1200 万美元。截至 8 月 7 日，白帽归还了 1200 万美元的资产，并获得 50 万美元的漏洞赏金。\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n![2.png](https://img.learnblockchain.cn/attachments/2024/09/SkVIvpFs66d6adf5d9ec7.png)\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n(3)  8月7日，Nexera Fundrs 因存在安全漏洞导致 NXRA 代币被盗。一个外部攻击者未经授权地访问了 Fundrs 的以太坊质押合约，转移了代币，导致约合 44.9 万美元的损失。\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n![3.png](https://img.learnblockchain.cn/attachments/2024/09/rVaVVZFn66d6ae02c3c6c.png)\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n(4)  8月13日，Vow 因合约漏洞遭攻击，损失约 120 万美元。据 VOW 消息，当时团队正在测试 v$ 合约的 USD 汇率设置功能，以便为新的借贷池和预言机功能铸造 v$。\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n![4.png](https://img.learnblockchain.cn/attachments/2024/09/xgCxcJ9S66d6ae1b15282.png)\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n(5)  8月16日，Mantra DAO 的 DeFi 项目 Zenterest 遭受攻击。攻击者利用失真的价格来通过借贷进行获利，最终导致攻击者用极少的 MPH 掏空了项目方的 WHITE 代币。攻击者归还从 Uniswap 借到的 85 WHITE 和 0.0085 WHITE利息，最终获利 4.9 WHITE ，价值 21000 USD 。 \r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n![5.png](https://img.learnblockchain.cn/attachments/2024/09/JCD4pvfo66d6ae2ad8ec7.png)\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n(6)  8月19日，据链上侦探 ZachXBT 消息，一笔涉及 4064 BTC（约合 2.38 亿美元）的可疑转账可能来自一名潜在的受害者。随后资金很快被转移到 ThorChain、eXch、Kucoin、ChangeNow、Railgun 和 Avalanche Bridge。截至8月27日，已有 20.5 万美元被收回。\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n![6.png](https://img.learnblockchain.cn/attachments/2024/09/zdXPPUiX66d6ae33687c0.png)\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n(7)  8月23日，BnbSmartChain 上的项目 HFLH 遭到攻击，攻击者通过此次攻击获利约 9.099 BNB 约为 5300 USD 。本次漏洞成因主要是因为 HFLH 合约在获取 HFLH Token 的价格时，通过单一来源 PancakeSwapV2 来计算，导致价格被攻击者操纵，最终利用价差套利。\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n![7.png](https://img.learnblockchain.cn/attachments/2024/09/5ujwEQd566d6ae3fcea79.png)\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n(8)  8月28日，DeFi 贷款平台 Aave 因合约漏洞遭攻击，此次攻击发生在 Aave 核心协议之外的一个智能合约，该合约用于允许用户利用现有的抵押品偿还贷款。攻击者利用了一个任意调用错误，成功从这些不同的合约中盗取了约 5.6 万美元。Aave 的相关人员强调，这次攻击没有对用户资金造成风险，也没有影响核心 Aave 协议的安全。\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n![8.png](https://img.learnblockchain.cn/attachments/2024/09/h977KSDk66d6ae4bd045e.png)\r\n\r\n\r\n\u003c!--StartFragment--\u003e\r\n\r\n# **Rug Pull / 钓鱼诈骗**\r\n\r\n**典型安全事件 *5* 起**\r\n\r\n(1)  8月2日， 0x7371开头地址遭遇网络电鱼，导致损失11.9万美元。\r\n\r\n\r\n(2)  8月13日，0xdB59开头地址遭遇网络电鱼，导致损失126.85stETH，约34.5万美元。\r\n\r\n\r\n(3)  8月19日，0x293C开头地址遭遇钓鱼诈骗，损失3.2MEGA，约8.2万美元。\r\n\r\n\r\n(4)  8月21日，一名受害者在签署了针对其 DeFi Saver Proxy 的网络钓鱼交易后，损失了价值 5543 万美元的 DAI。据 MistTrack 分析，这笔资金被发送到多个地址，随后大部分被兑换成 ETH。\r\n\r\n\r\n(5)  8月23日，0xc423开头地址遭遇钓鱼诈骗，损失67stETH，约17.65万美元。\r\n\r\n\u003c!--EndFragment--\u003e\r\n\r\n\r\n# **总结**\r\n\u003c!--StartFragment--\u003e\r\n\r\n从上述多个事件分析来看，8 月份发生的两起最大规模黑客攻击均涉及未经授权的转账（网络钓鱼）。除此之外，黑客的攻击对象不仅有区块链知名项目，还包括明星及传统行业的知名品牌，如足球明星 Kylian Mbappe，麦当劳等。\r\n\r\n零时科技安全团队建议项目方始终保持警惕，提醒广大用户谨防钓鱼攻击，谨慎投资。此外也需做好内部安全培训和权限管理，在项目上线前寻找专业的安全公司进行审计并做好项目背景调查。\r\n\r\n\u003c!--EndFragment--\u003e","title":"【安全月报】| 8月区块链安全事件持续增长，因黑客攻击等损失金额达3.14亿美元"},"history":null,"timestamp":1725345468,"version":1}