2024区块链安全与反洗钱年度报告：解析当前安全态势

上周，我们发布了慢雾出品 | 2024 区块链安全与反洗钱年度报告。接下来我们将通过四篇文章来解读这份报告，深入剖析其中的关键内容，帮助读者更全面地理解当前区块链生态系统中的主要安全挑战和机遇。本篇将重点讨论区块链生态的安全态势。

在2024年的安全领域中，严峻的形势依旧延续。黑客攻击事件频发，特别是针对中心化平台的攻击占据了主导地位。智能合约漏洞和社会工程学攻击仍是黑客的主要作恶手段。同时，钓鱼攻击的方式变得更加隐蔽且复杂，用户资产保护面临重大挑战。供应链安全问题也引起了更多关注，多个知名项目遭遇了恶意代码注入攻击，导致大量用户资产损失。

根据慢雾区块链被黑事件档案库(SlowMist Hacked) 的统计，2024年共发生了410起安全事件，造成的损失高达20.13亿美元。相比2023年（共464起，损失约24.86亿美元），损失同比下降19.02%。

注：本报告数据基于事件发生时的代币价格。由于币价波动及部分未公开事件的损失未纳入统计等因素，实际损失应高于统计结果。

 (https://hacked.slowmist.io/statistics/?c=all&d=2024)

典型攻击事件

 （2024 损失 Top10 的安全攻击事件）

DMM Bitcoin

2024 年 5 月 31 日，日本加密货币交易所 DMM Bitcoin 官方钱包中的 4,502.9 BTC 被非法转移，造成价值约 482 亿日元的损失。这是自 2022 年 12 月以来最大的一次攻击。据美国联邦调查局（FBI）通报，此次盗窃与 TraderTraitor 威胁活动相关。TraderTraitor 通常以针对同一公司多名员工的社交工程攻击为特征。

据悉，2024 年 3 月底，一名伪装成 LinkedIn 招聘人员的朝鲜黑客联系了 Ginco 公司的员工，并向其发送了一个托管在 GitHub 上的恶意 Python 脚本。最终，黑客可能利用此访问权限篡改了 DMM Bitcoin 员工的合法交易请求，导致 4,502.9 BTC 被盗。

PlayDapp

2024 年 2 月 9 日，区块链游戏平台 PlayDapp 遭到攻击，黑客入侵了 PLA 代币智能合约，非法铸造了 2 亿个 PLA 代币。尽管 PlayDapp 试图通过谈判解决问题，但最终未能成功。4 月 1 日，PlayDapp 披露，黑客通过伪造邮件安装了恶意代码，远程控制受害者的电脑并盗取了管理员私钥。

WazirX

2024 年 7 月 18 日，印度加密货币交易所 WazirX 的多签钱包遭受网络攻击，损失超过 2.3 亿美元。此次攻击源于 Liminal 界面显示的数据与实际交易内容之间的差异，使得黑客能够替换载荷并控制钱包。

BtcTurk

2024 年 6 月 22 日，土耳其加密货币交易所 BtcTurk 遭受攻击，损失约 9 千万美元。Binance 已冻结了其中价值 530 万美元的被盗资产。

Munchables

2024 年 3 月 27 日，Blast 生态项目 Munchables 遭到攻击，损失约 6,250 万美元。幸运的是，前 Munchables 开发者最终退还了所有资金。

Radiant Capital

2024 年 10 月 17 日，Radiant Capital 在 BNB Chain 和 Arbitrum 上的借贷市场出现问题，导致约 5 千万美元的损失。此次攻击归因于 UNC4736，通常被称为 AppleJeus 或 Citrine Sleet。

BingX

2024 年 9 月 20 日，加密货币交易所 BingX 的一个热钱包遭到未经授权的入侵，损失约 4,500 万美元。分析表明，该攻击与 Indodax 黑客事件有关，均指向朝鲜黑客 Lazarus Group。

Hedgey Finance

2024 年 4 月 19 日，Hedgey Finance 遭到攻击，损失总计约 4,470 万美元。原因是缺少对用户参数输入的验证操作，使黑客能够操纵并获得未经授权的代币批准。

Penpie

2024 年 9 月 4 日，去中心化流动性收益项目 Penpie 遭到攻击，黑客获利约 2,735 万美元。此次攻击利用了 Pendle Finance 的开放式市场创建流程，通过闪电贷放大奖励数额从而获利。

FixedFloat

2024 年 2 月 16 日，加密货币交易平台 FixedFloat 遭到攻击，损失约 409 枚 BTC（约 2,117 万美元）和 1,728 枚 ETH（约 485 万美元）。4 月 2 日，FixedFloat 再次遭受同一批黑客的攻击，两次攻击总计造成约 2,900 万美元损失。

Rug Pull

Rug Pull 是一种骗局，其本质是恶意项目方造势吸引用户投资，等到时机成熟便“拉毯子”，卷款跑路。2024 年 Rug Pull 事件达 58 起，导致损失约 1.06 亿美元。

随着 Meme 币热潮的到来，许多用户在投机和 FOMO 情绪驱使下，忽视了潜在风险。以下是恶意项目方的常见操作：

• 虚假宣传和造势：通过夸大技术实力或市场潜力，以及虚假合作或名人背书等手段，吸引用户投资。

• 操控代币价格：项目方通常会预先持有大量代币，通过操控市场价格制造繁荣假象，吸引更多资金入场。

• 代币合约设置漏洞：通过在智能合约中预留后门，项目方可以随时提取资金或销毁流动性池。

• 人间蒸发：在跑路前夕，项目方往往会关闭官方网站、社交账号或解散社群，切断与投资者的联系。

了解恶意项目方的操作手法后，我们可以发现，这些骗局往往利用的是用户的投机心理和对高收益的渴望。要避免成为这类骗局的受害者，关键是保持警惕，增强防范和验证能力，以下方法可以帮助用户尽可能避免参与到会跑路的项目：

• 审查项目背景：关注团队成员的真实性和背景，查看其过往项目是否有不良记录。

• 是否经过审计：查看项目是否经过专业的安全审计。

• 关注社区反馈：加入项目的社交媒体或论坛，观察社区的活跃度和讨论内容，警惕过多的吹捧或不合理承诺。

• 分散投资：不要把所有资金投入一个项目，避免因单一项目造成重大损失。

• 警惕高收益诱惑：天上不会掉馅饼，高收益往往伴随高风险，对于“快速翻倍”，“零风险”等不切实际的承诺需格外谨慎。

完整报告的链接如下，也可直接点击阅读原文跳转，欢迎阅读并分享 :)

中文：https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(CN).pdf

英文：https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(EN).pdf