• 元宇宙:本站分享元宇宙相关资讯,资讯仅代表作者观点与平台立场无关,仅供参考.

2024 Blockchain安全与反*洗*钱年度报告解读之安全态势

  • 2025年1月08日 23:52

上周,我们发布了慢雾出品|2024Blockchain安全与反*洗*钱年度报告,接下来我们把报告分为四篇文章来解读,剖析报告中的关键内容,帮助读者更全面深入地理解当前Blockchain生态系统中的关键安全挑战和机遇。本篇主要聚焦Blockchain生态安全态势。

在安全领域,2024年延续了以往的严峻态势。黑客攻击事件频发,尤其是针对中心化平台的攻击占据着主导地位。与此同时,智能合约漏洞和社会工程学攻击仍是黑客的主要作恶手段,而钓鱼攻击的方式更加隐蔽,手段更加复杂,用户资产的保护仍面临重大挑战。供应链安全问题也在2024年引发更多关注,多个知名项目遭遇恶意代码注入攻击,导致大量用户资产丢失。

根据慢雾Blockchain被黑事件档案库(SlowMistHacked)统计,2024年共发生安全事件410件,损失高达20.13亿美元。对比2023年(共464件,损失约24.86亿美元),损失同比下降19.02%。

注:本报告数据基于事件发生时的Tokens价格,由于币价波动和部分未公开事件的损失未纳入统计等因素,实际损失应高于统计结果。

DMMBitcoin

2024年5月31日,日本Crypto交易所DMMBitcoin表示,其官方钱包中的4,502.9BTC被*非*法转移,造成价值约482亿日元的损失。据悉,DMMBitcoin安全事件的损失金额在Crypto黑客攻击史上排名第七,是自2022年12月以来最大的一次攻击。同时,此前日本曾发生过两起重大Crypto交易所黑客攻击事件,即2014年的Mt.Gox事件和2018年的Coincheck事件,被盗金额分别为4.5亿美元和5.34亿美元。此次DMMBitcoin攻击事件成为日本第三大此类案件。12月23日,据美国联邦调查局(FBI)通报,美国联邦调查局(FBI)、国防部网络犯罪中心(DC3)以及日本警察厅(NPA)提醒公众,此次盗窃与TraderTraitor威胁活动相关,TraderTraitor也被跟踪记录为JadeSleet、UNC4899和SlowPisces。TraderTraitor活动通常以针对同一公司多名员工的社交工程攻击为特征。

据悉,2024年3月底,一名伪装成LinkedIn招聘人员的朝鲜黑客联系了Ginco公司的员工,Ginco是一家总部位于日本的企业级Crypto钱包软件公司。黑客向目标员工发送了一个链接,指向一个托管在GitHub上的恶意Python脚本,声称这是一个入职测试。目标员工将Python代码复制到自己的GitHub页面上,结果遭到入侵。5月中旬后,TraderTraitor黑客利用会话Cookie信息冒充被攻击的员工,成功访问Ginco公司未加密的通信系统。5月底,黑客可能利用此访问权限篡改了DMMBitcoin员工的合法交易请求,导致4,502.9BTC被盗。最终,盗取的资金被转移到TraderTraitor控制的钱包中。PlayDapp

2024年2月9日,Blockchain游戏平台PlayDapp遭攻击,黑客入侵了PlayDapp(PLA)Tokens智能合约。黑客*非*法获取了私钥,从而改变了智能合约的所有权和铸币权限,将其转移到自己的账户上。黑客移除了现有管理员的授权,并*非*法铸造了2亿个PLATokens。事发后不久,PlayDapp通过链上交易向黑客发送消息,要求归还被盗资金并提供100万美元白帽奖励,但最终谈判失败。2月12日,黑客再次*非*法铸造了15.9亿PLATokens,但由于交易所已采取冻结措施,市场流通已被停止,未能流通。4月1日,据PlayDapp披露,2024年1月16日,PlayDapp团队收到了黑客伪造的邮件,该邮件精心设计,具有与其常收到的来自主要合作交易所的常规信息请求邮件完全相同的标题、发件人邮件地址(包括用户名和域名)以及内容。分析表明,当执行邮件附件中的恶意代码时,受害者的电脑安装了一个篡改的远程访问多会话工具,随后被黑客远程控制,导致管理员私钥被盗。WazirX

2024年7月18日,印度Crypto交易所WazirX的多签钱包被监测到发生多笔可疑交易。7月19日,据WazirX在X平台发布网络攻击的初步调查结果,他们的一个多重签名钱包遭遇了网络攻击,损失超过2.3亿美元。该钱包共有六个签署人——五名来自WazirX团队成员和一名来自Liminal的成员,负责交易验证。每笔交易通常需要WazirX团队三名签署人(这三名签署人都使用Ledger硬件钱包以确保安全)批准后,才会由Liminal的签署人进行最终批准。此次网络攻击源于Liminal界面上显示的数据与实际交易内容之间的差异,在攻击发生时,Liminal界面显示的交易信息与实际签署的内容不符。WazirX怀疑黑客通过替换载荷,将钱包控制权转移给了自己。BtcTurk

2024年6月22日,土耳其Crypto交易所BtcTurk遭攻击,损失约9千万美元。BtcTurk在6月22日的声明中表示:“此次网络攻击影响了我们热钱包中10种Crypto余额的一部分,大部分存储在冷钱包中的资产仍然安全。”据Binance首席执行官RichardTeng透露,Binance已冻结了其中价值530万美元的被盗资产。Munchables

2024年3月27日,Blast生态项目Munchables遭攻击,损失约6,250万美元。同日,Blast创始人Pacman发推表示:“Blast核心贡献者已通过多重签名获得9,700万美元的资金。感谢前Munchables开发者选择最终退还所有资金,且不需要任何赎金。”RadiantCapital

2024年10月17日,RadiantCapital在X发文表示意识到BNBChain和Arbitrum上的Radiant借贷市场存在问题,Base和主网市场已暂停交易。据慢雾安全团队分析,此次事件是Radiant黑客*非*法控制3个多签权限后,升级了恶意合约以窃取资金。10月18日,Radiant发布事件分析报告表示,此次事件导致约5千万美元的损失,黑客通过复杂的恶意软件注入技术,成功入侵了至少三位核心贡献者的设备,这些被入侵的设备随后被用来签署恶意交易。12月6日,Radiant发布被攻击事件的最近进展,Radiant聘请的安全公司Mandiant将此次攻击归因于UNC4736,通常被称为AppleJeus或CitrineSleet。Mandiant高度认为UNC4736与朝鲜民主主义人民共和国(DPRK)有关。BingX

2024年9月20日,据Crypto交易所BingX公告,新加坡时间9月20日凌晨4点左右,BingX的安全系统检测到针对一个热钱包的未经授权的入侵。据慢雾安全团队统计,此次事件导致的损失约达4,500万美元。根据MistTrack 的分析,Indodax黑客和BingX黑客之间疑似存在联系,这两起攻击事件的黑客使用了同一个地址*洗*钱,且都指向了朝鲜黑客LazarusGroup。HedgeyFinance

2024年4月19日,HedgeyFinance遭攻击,黑客进行了一系列恶意交易,导致其在Ethereum和Arbitrum两条链上损失总计约4,470万美元。此次事件的根本原因是缺少对用户参数输入的验证操作,使得黑客能够操纵并获得未经授权的Tokens批准。Penpie

2024年9月4日,去中心化流动性收益项目Penpie遭攻击,黑客获利约2,735万美元。据慢雾安全团队分析,此次事件的核心在于Penpie在注册新的Pendle市场时,错误地假设所有由PendleFinance创建的市场都是合法的。然而,PendleFinance的市场创建流程是开放式的,允许任何人创建市场,并且其中的关键参数如SY合约地址,可以由用户自定义。利用这一点,黑客创建了一个含有恶意SY合约的市场合约,并利用Penpie池子在获取奖励时需要对外部SY合约调用的机制,借助闪电贷为市场和池子添加了大量的流动性,人为放大了奖励数额,从而获利。FixedFloat

2024年2月16日,根据链上数据,Crypto交易平台FixedFloat遭攻击,损失约409枚BTC(约2,117万美元)和1,728枚ETH(约485万美元)。FixedFloat针对此次攻击事件表示:这次黑客攻击是由于安全结构中的漏洞引起的外部攻击,并不是由员工所实施,用户资金并未受影响。4月2日,FixedFloat在X平台表示其再次遭受了2月16日攻击事件的黑客的攻击。黑客设法利用了FixedFloat使用的第三方服务中的漏洞。这两次攻击事件给FixedFloat造成总计约2,900万美元损失。RugPull

RugPull是一种*骗*局,其本质是恶意项目方造势吸引用户投资,等到时机成熟便“拉毯子”,卷款跑路。根据慢雾Blockchain被黑事件档案库(SlowMistHacked)统计,2024年RugPull事件达58起,导致损失约1.06亿美元。

(2024损失Top10的跑路事件)

随着Meme币热潮的到来,许多用户在投机和FOMO情绪驱使下,忽视了潜在风险。一些发币方甚至无需向用户描绘愿景或提供白皮书,仅凭一个概念或口号,便能炒作出热度吸引用户购买Tokens,而低廉的作恶成本导致跑路事件层出不穷。以下是恶意项目方的常见操作:

虚假宣传和造势:通过夸大技术实力或市场潜力,以及虚假合作或名人背书等手段,吸引用户投资。

操控Tokens价格:项目方通常会预先持有大量Tokens,通过操控市场价格制造繁荣假象,吸引更多资金入场。

Tokens合约设置漏洞:通过在智能合约中预留后门,项目方可以随时提取资金或销毁流动性池。

人间蒸发:在跑路前夕,项目方往往会关闭官方网站、社交账号或解散社群,切断与投资者的联系。了解恶意项目方的操作手法后,我们可以发现,这些*骗*局往往利用的是用户的投机心理和对高收益的渴望。要避免成为这类*骗*局的受害者,关键是保持警惕,增强防范和验证能力,以下方法可以帮助用户尽可能避免参与到会跑路的项目:

审查项目背景:关注团队成员的真实性和背景,查看其过往项目是否有不良记录。

是否经过审计:查看项目是否经过专业的安全审计。

关注社区反馈:加入项目的社交媒体或论坛,观察社区的活跃度和讨论内容,警惕过多的吹捧或不合理承诺。

分散投资:不要把所有资金投入一个项目,避免因单一项目造成重大损失。

警惕高收益诱惑:天上不会掉馅饼,高收益往往伴随高风险,对于“快速翻倍”,“零风险”等不切实际的承诺需格外谨慎。

完整报告的链接如下,也可直接点击阅读原文跳转,欢迎阅读并分享:)

中文:https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(CN).pdf

英文:https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(EN).pdf

元宇宙最新

元宇宙热门

Copyright © 2021.Company 元宇宙YITB.COM All rights reserved.元宇宙YITB.COM