文章轉載來源： Beosin

原文來源：Beosin

2024?年，區塊鏈行業在技術創新和生態擴展的同時，也面臨著越來越嚴峻的安全挑戰。據安全審計公司 Beosin 旗下 Alert 平臺監測，截止發稿時，?2024 年 Web3 領域因黑客攻擊、釣魚詐騙和項目方 Rug Pull 造成的總損失達到了 24.91 億美元。

這些事件不僅暴露出私鑰管理、智能合約漏洞等技術缺陷，也凸顯了社交工程和內部管理的潛在風險。本篇文章將盤點?2024?年Web3十大安全事件，幫助業界從中吸取教訓，更好地應對未來的安全威脅。

No.1 DMM Bitcoin

損失金額：?3.04 億美元

攻擊方式：私鑰泄露

2024?年?5?月?31?日，日本老牌加密貨幣交易所 DMM Bitcoin 遭遇歷史性攻擊。攻擊者利用泄露的私鑰直接轉移了價值超過?3?億美元的比特幣，并迅速將被盜資金分散到超過?10?個不同的地址。這次攻擊暴露了?DMM Bitcoin?在私鑰管理和多層安全防護上的嚴重不足。盡管交易所嘗試通過鏈上監控和凍結資金的方式追蹤黑客，但盜取的比特幣被分散轉移并利用混幣工具進行清洗，給追蹤工作帶來了極大挑戰。

12 月 24 日，日本警方認定 DMM Bitcoin 被盜事件系朝鮮黑客組織 Lazarus Group 所為。

No.2 PlayDapp

損失金額：?2.90 億美元

攻擊方式：私鑰泄露

2024?年?2?月?9?日，PlayDapp 遭遇重創，黑客通過竊取私鑰鑄造了?20?億枚 PLA 代幣，初始價值?3650?萬美元。由于項目方與黑客的談判未果，黑客在短時間內進一步鑄造了?159?億枚 PLA 代幣，價值?2.539?億美元。這些代幣部分流入 Gate 交易所后，PlayDapp 被迫暫停了 PLA 合約并遷移至 PDA 代幣合約。此次事件凸顯了區塊鏈項目在私鑰保護和事件應急處置方面的缺陷。

No.3 WazirX

損失金額：?2.35 億美元

攻擊方式：網絡攻擊與釣魚

2024?年?7?月?18?日，印度最大的加密貨幣交易所 WazirX 的 Safe Wallet 多簽錢包遭到黑客精準攻擊。攻擊者通過社會工程學誘導多簽簽名者簽署了一份合約升級交易，隨后利用升級后的合約權限將錢包中的資產轉移一空。這起案件凸顯了多簽錢包在管理權限配置和操作透明度上的潛在風險，也引發了業內對項目內部風控與安全機制的深入反思。

有關該事件的詳細分析與資金追蹤，可閱讀《Beosin | 印度交易所?WazirX?被盜?2.35?億美元事件分析》。

No.4 Gala Games

損失金額：?2.16 億美元

攻擊方式：訪問控制漏洞

2024?年?5?月?20?日，Gala Games 某一特權地址被黑客攻破，攻擊者通過調用代幣合約中的 mint 函數，一次性鑄造了?50?億枚 GALA 代幣。隨后，黑客通過分批次將增發的代幣兌換為 ETH，直接造成了?2.16?億美元的損失。Gala Games 團隊在事件發生后緊急啟用黑名單功能封鎖了部分黑客賬戶，并通過司法途徑追回了損失。

No.5 Chris Larsen (Ripple's co-founder)

損失金額：?1.12 億美元

攻擊方式：私鑰泄露

2024?年?1?月?31?日，Ripple 聯合創始人 Chris Larsen 的四個個人錢包被黑客攻破，導致?1.12?億美元的 XRP 被盜。這些錢包疑因缺乏硬件設備的雙重保護而成為攻擊目標。事件發生后，幣安成功凍結了價值?420?萬美元的 XRP，并協助 Larsen 追蹤被盜資產，但絕大部分資金已經通過去中心化交易所和混幣服務被清洗。

No.6 Munchables

損失金額：?6250 萬美元

攻擊方式：社會工程學攻擊

2024?年?3?月?26?日，基于 Blast 的 Web3 游戲平臺 Munchables 遭遇了一次罕見的內部滲透攻擊。攻擊者是偽裝成區塊鏈開發人員的朝鮮黑客，通過長期潛伏獲取了核心代碼和敏感密鑰。盡管攻擊造成了巨額損失，但由于社區和團隊的壓力，黑客最終歸還了所有被盜資金。這一事件揭示了供應鏈安全的重要性，特別是對于依賴第三方開發的區塊鏈項目。

No.7 BtcTurk

損失金額：?5500 萬美元

攻擊方式：私鑰泄露

2024?年?6?月?22?日，土耳其最大加密貨幣交易所 BtcTurk 遭到私鑰泄露攻擊，損失超過?5500?萬美元的加密資產。在幣安團隊的協助下，?530?萬美元被盜資金成功被凍結，但其它資產仍未追回。這一事件加深了市場對中心化交易所私鑰管理的擔憂。

BtcTurk?官方發布被攻擊公告

No.8 Radiant Capital

損失金額：?5300 萬美元

攻擊方式：私鑰泄露

2024?年?10?月?17?日，Radiant Capital 的多簽錢包被黑客攻陷。由于其采用了低門檻的 3/11 簽名驗證模式，黑客通過掌握 3 個簽名者的私鑰發起鏈下簽名，將錢包合約的所有權轉移至惡意地址，最終導致?5300?萬美元被盜。這次攻擊引發了對多簽錢包設計和治理機制的行業反思。

Radiant Capital?在此次攻擊之前，就因合約漏洞而損失?450?萬美元，超?1900?枚?ETH?被盜。Web3項目方對安全的重視程度仍需提高。

No.9 Hedgey Finance

損失金額：?4470 萬美元

攻擊方式：合約漏洞

2024?年?4?月?19?日，Hedgey Finance 遭遇針對多個鏈上合約的攻擊。黑客利用了其 ClaimCampaigns 合約的批準漏洞，成功提取了 Ethereum 和 Arbitrum 兩條鏈上的代幣，總損失金額達?4470?萬美元。該事件顯示了代碼審計的重要性，尤其是對代幣批準邏輯的嚴格驗證。

No.10 BingX

損失金額：?4470 萬美元

攻擊方式：私鑰泄露

2024?年?9?月?19?日，BingX 交易所的熱錢包被黑客入侵，涉及的鏈包括 Ethereum、BNB Chain、Tron 等多條公鏈。盡管交易所迅速啟動了資產轉移和提現凍結機制，但黑客已成功提取價值?4470?萬美元的資產。這次攻擊反映了中心化交易所熱錢包管理的高風險性，并進一步推動行業探索更為安全的資產存儲方案。

2024?年的安全攻擊事件頻發，再次提醒我們，區塊鏈行業的發展離不開安全的護航。從私鑰泄露到合約漏洞，從內部管理疏漏到外部攻擊手段的升級，每一起事件都帶來了深刻的教訓。為了應對日益復雜的攻擊威脅，行業各方需要在技術研發、管理規范和風險防控上持續加強投入。未來，我們期待通過行業協作和技術創新，共同建立更加安全的區塊鏈生態，為用戶和投資者提供更可靠的保障。

海量資訊、精準解讀，盡在新浪財經APP

責任編輯：張靖笛