2024 年 8 月,Web3 领域安全事件频发,总损失金额高达约 3.16 亿美元。据慢雾区块链被黑档案库统计,本月共发生 28 起被黑事件,造成约 2.53 亿美元损失,其中 1358 万美元已被返还。事件主要原因包括合约漏洞、账号被黑和前端攻击等。此外,Web3 反诈骗平台 Scam Sniffer 数据显示,当月有 9145 名用户遭受钓鱼攻击,总损失达 6293 万美元。
主要安全事件分析
Convergence Finance 合约漏洞事件
8 月 1 日,Convergence Finance 遭遇攻击,攻击者通过铸造并出售 5800 万个 CVG 代币获利约 21 万美元。事件根本原因为奖励分配合约的 claimMultipleStaking 函数缺乏对用户输入的验证,导致未授权操作。
Ronin 跨链桥权重配置错误
8 月 6 日,游戏区块链 Ronin 因桥接项目权重配置错误,导致攻击者无需多重签名验证即可提取资产。最终损失约 4000 枚 ETH 和 200 万枚 USDC,价值 1200 万美元。所幸白帽黑客及时归还资产并获 50 万美元赏金。
Nexera 管理凭证泄露
8 月 7 日,Nexera Fundrs 平台因管理凭证泄露,导致攻击者转移 4724 万枚 NXRA 代币,价值约 183 万美元。平台及时冻结攻击者剩余资产,避免了更大损失。
Vow 合约汇率漏洞
8 月 13 日,Vow 项目在测试汇率设置功能时遭遇攻击。攻击者利用时间窗口和汇率变动,生成近 20 亿 v$ 代币并套现,造成约 120 万美元损失。
高额可疑转账与钓鱼事件
8 月 19 日,一笔涉及 4064 BTC(约 2.38 亿美元)的可疑转账引发关注,资金经多个平台转移后仅追回 20.5 万美元。同月 21 日,一名用户因签署钓鱼交易损失价值 5543 万美元的 DAI,资金被兑换为 ETH 后转移。
Aave 外围合约漏洞
8 月 28 日,Aave 外围合约 ParaSwapRepayAdapter 因任意调用错误遭攻击,损失约 5.6 万美元。官方强调核心协议未受影响,用户资金安全无虞。
安全趋势与防护建议
本月账号安全事件占比高达 64.3%,成为最大风险来源。攻击目标不仅包括区块链项目,还涉及明星及传统行业知名品牌(如足球明星 Mbappé 和麦当劳)。黑客常通过盗取账号发布钓鱼链接或推广虚假代币实施诈骗。
Discord 成为账号攻击重灾区,用户需警惕恶意书签及 Token 窃取手段。建议多方核实消息来源,谨慎对待高收益投资宣传,并定期检查授权合约权限。
常见问题
Q1: 如何防范 Web3 钓鱼攻击?
A: 始终验证链接真实性,禁用不必要的合约授权,使用硬件钱包管理大额资产,并关注官方安全公告。
Q2: 合约漏洞通常如何利用?
A: 攻击者通过未验证的用户输入、权限配置错误或逻辑缺陷执行未授权操作,例如代币铸造或资产转移。
Q3: 遭遇攻击后如何减少损失?
A: 立即撤销相关合约授权,联系项目方冻结资产,并报告安全团队协助追踪。部分平台提供赏金鼓励白帽归还资金。
Q4: 普通用户如何选择安全项目?
A: 优先选择经过审计、拥有漏洞赏金计划且社区活跃的项目。避免参与匿名团队或未经验证的高收益项目。
Q5: 跨链桥有哪些常见风险?
A: 多重签名配置错误、预言机故障或资产池失衡均可能导致资产丢失。使用时应选择经过时间验证的桥接方案。
Q6: 如何识别社交工程攻击?
A: 警惕私信中的投资推荐、虚假空投链接和伪造官方账号。可通过多个渠道核对信息真实性。
总结
8 月 Web3 安全事件呈现多元化趋势,从合约漏洞到社交工程攻击均造成重大损失。用户需提升安全意识,项目方应加强代码审计和权限管理。更多历史安全事件可参考慢雾区块链被黑档案库。