WEEX 唯客博客， 作者：慢霧安全團隊   概覽 據慢霧區塊鏈被黑檔案庫 (https://hacked.slowmist.io) 統計，2024 年 7 月，共發生安全事件 37 起，總損失約 2.79 億美元，其中有 876 萬美元得到返還。本月安全事件的原因涉及合約漏洞、賬號被黑、跑路和域名劫持等。 主要事件 Bittensor 2024 年 7 月 2 日，去中心化 AI 項目 Bittensor 遭攻擊，一些 Bittensor 錢包用戶被盜，攻擊者盜走約 3.2 萬個 TAO，按市值計算約為 800 萬美元。鏈上偵探 ZachXBT 認為此次攻擊可能是由於私鑰泄露導致的，但 Bittensor 後來稱受影響的用戶實際上是因為一個惡意的 Bittensor 軟體包被上傳到 Python 的 PyPi 軟體包管理器而受到攻擊。 Authy 2024 年 7 月 5 日，慢霧首席信息安全官 23pds 發推表示，2FA 服務 Authy 遭攻擊，導致 3300 萬用戶的電話號碼被盜。官方開發者 Twilio 已確認該漏洞，有大量 Web3 用戶使用這款 2FA 軟體，請注意資產安全。 (https://x.com/im23pds/status/1809047195750183257) Doja Cat 2024 年 7 月 8 日，饒舌歌手 Doja Cat 的 X 賬號被盜，攻擊者使用她的賬號發布推廣 memecoin 的推文。Doja Cat 隨後在她的 Instagram 上發帖表示，她的 X 賬號被盜。 Compound 2024 年 7 月 11 日，Compound DAO 安全顧問 Michael Lewellen 發推表示，Compound Finance 官網被攻擊，當前正在託管一個釣魚網站。 (https://x.com/LewellenMichael/status/1811303839888261530) LI.FI 2024 年 7 月 16 日，據慢霧安全團隊監測，跨鏈橋聚合協議 LI.FI 發生可疑交易，導致用戶損失超過 1000 萬美元。7 月 18 日，LI.FI 發布安全事件報告表示，該漏洞源於驗證交易時出現的問題，該問題跟協議與多個去中心化交易所和其他 DeFi 協議使用的共享 LibSwap 代碼庫的交互方式有關，原因是在監督部署過程中出現個人人為錯誤。估計有 153 個錢包受到影響，損失價值約 1160 萬美元的 USDC、USDT 和 DAI 穩定幣。 (https://x.com/SlowMist_Team/status/1813195343057866972) WazirX 2024 年 7 月 18 日，印度加密貨幣交易所 WazirX 在 X 上發布網路攻擊的初步調查結果，稱其一個多重簽名錢包出現了安全漏洞，導致損失超過 2.3 億美元（約佔客戶資金的 45%）。 (https://x.com/WazirXIndia/status/1813843289940058446) Rho Markets 2024 年 7 月 19 日，借貸協議 Rho Markets 由於預言機配置錯誤被某 MEV Bot 套利 2203 ETH，約 760 萬美元。同日，據鏈上偵探 ZachBXT 監測，該 MEV Bot 所有者於鏈上喊話 Rho Markets 團隊，表示該事件是他們的 MEV 機器人通過 Rho Markets 價格預言機的配置錯誤獲利，並願意全數返還。 (https://scrollscan.com/tx/0xd9c2e4f0364b13ada759f2dd56b65f5025e70cce4373e7c57ac31bf5226023e0) Casper Network 2024 年 7 月 26 日，Casper Network 遭攻擊，隨後 Casper Network 發推表示，為了盡量減少此安全漏洞的影響，已與驗證者合作暫停網路，直到此安全漏洞得到修補。根據 7 月 31 日 Casper Network 發布的安全事件初步報告，此事件中有 13 個錢包受到影響，非法交易總額約為 670 萬美元。Casper Network 發現攻擊者利用了一個允許合約安裝者繞過對 uref 的訪問許可權檢查的漏洞，從而使他們能夠授予合約對基於 uref 的資源的訪問權。 (https://x.com/Casper_Network/status/1817145818631098388) Terra 2024 年 7 月 31 日，Terra 鏈遭攻擊，攻擊者利用與第三方模塊 IBC hooks 相關的已知漏洞在 Terra 鏈上鑄造了數種代幣，導致的損失已達 528 萬美元。Terra 團隊已採取緊急措施防止進一步損失，並協調驗證者應用補丁以修復漏洞。據 Sommelier Finance 聯合創始人 Zaki Manian 稱，儘管該漏洞在 4 月已在 Cosmos 生態系統中修復，但 Terra 在 6 月的升級中未包含此補丁，導致漏洞再次暴露並被利用。 (https://x.com/terra_money/status/1818498438759411964) 同日，去中心化交易協議 Astroport 於 X 發布安全事件更新：攻擊者在 Neutron 上的 ASTRO 已被扣押在 Astroport Treasury 中；攻擊者的 Terra 地址已被列入黑名單，無法進行任何交易；IBC Hook 漏洞已被修復；官方將繼續與 Terra 團隊密切合作，尋求解決方案。 總結 本月數據安全問題又回到我們的視線，7 月 1 日，據 Protos 報道，加密友好銀行 Evolve Bank & Trust 近日承認，在一個月前發現有約 33 TB 用戶數據被盜。這類安全事件可能導致身份盜用、賬戶被黑、資金損失等後果，慢霧安全團隊提醒廣大用戶謹防釣魚攻擊，定期更新密碼，並避免在多個平台使用相同的密碼。 隨著 memecoin 的熱潮，項目方 / 名人賬號被黑事件頻發，攻擊者利用項目方 / 名人的影響力，盜取 X 賬號后發布含有釣魚鏈接的推文或推廣某代幣，請廣大用戶注意識別，謹慎投資，我們在慢霧：X 賬號安全排查加固指南中講解了如何提高 X 賬號安全性，點擊鏈接可跳轉閱讀。 近期發生了多起域名劫持事件，項目方可採取以下措施來防範域名劫持，確保網站和用戶的安全： 選擇可靠的域名註冊商，降低域名劫持的風險； 定期檢查和監控域名的狀態、DNS 設置和其他相關配置； 確保相關人員了解域名劫持的風險及防範措施，掌握識別常見的釣魚手段和社會工程攻擊的能力，防止泄露敏感信息； 制定應急響應計劃，以便在域名被劫持時能夠快速反應，控制影響範圍。 WEEX唯客交易所官網：weex.com