11月,Web3 因主要安全事故造成的经济损失达 183,981,395 美元。安全事件类型包括智能合约漏洞、社会工程学攻击、钓鱼攻击、貔恘盘、Rugpull等。
Exploit
11月,Exploit (包括合约攻击,社工欺诈,私钥泄露等)因 15 起主要事件,造成 $175,031,395 的损失。典型事件包括:
11月3日,Balancer(@Balancer)遭攻击,因智能合约业务计算漏洞,损失超 1.28 亿美元,包括 WETH、osETH 和 wstETH 等资产,疑似朝鲜黑客所为
11月4日, @VenusProtocol (BSC)@TakaraLend (SEI)@MoonwellDeFi (Base)@orbiterone(MoonbeamNetwork)等多个借贷市场遭受“预言机喂价脱钩”攻击,总损失超200万美元
11月20日,GANA PayFi(@GANA_PayFi)遭攻击,在 #BSC 上损失约315万美元 BUSD,并造成 $GANA 代币价格暴跌超90%
11月7日,韩国最大加密货币交易所 Upbit(@Official_Upbit)热钱包被盗,在 #Solana 上被盗约540亿韩元(3680万美元),被盗资产包括 SOL、USDC、DOOD、SONIC、SOON 和 TRUMP 等24种加密资产
11月30日,Yearn(@yearnfi)的 yETH LST 智能合约因业务计算漏洞遭攻击,在 #Ethereum 上损失约900万美元,其中240万美元已被救援
Phishing
11月因钓鱼攻击,总损失约 800 万美元,受害者人数约 7000 人。
11月7日,一名用户因签署恶意“permit”授权,损失约 $1.22M 的 USDC 和 aPlaUSDT0
11月24日,一名用户因签署恶意“approve”授权,损失约 $838K 的 PT-LP tUSDe
攻击者利用“钓鱼既服务(Phishing-as-a-Service)” 和 AI 技术,大大降低制作钓鱼站点的成本,对各生态社区进行广泛的钓鱼攻击。
对于用户来说,一定要培养零信任的安全意识和操作习惯。牢记 #GoPlus 防钓“四不”原则 — — 不点、不装、不签、不转: 不点击陌生链接、不安装来历不明软件、(钱包)不签署不明内容交易、不向未验证地址转账。
同时安装GoPlus安全插件,实时拦截钓鱼链接、风险签名、授权和交易等。
HoneyPot & Scam
11月在ETH、Base、BSC监测到新增貔貅代币(HoneyPot)836个,相较 10 月有所降低,其中:
ETH上新增貔貅盘代币数量:21个
Base上新增貔貅盘代币数量:115个
BSC上新增貔貅盘代币数量:710个
11月21日,GoPlus 揭露真实的“貔貅工厂”欺诈模式。欺诈者通过:批量创建代币 →添加流动性 →上线伪造活跃流水交易 →拉盘 →清空流动性,平均十几分钟到半个小时收割一轮,在11月内 部署了 700 多个貔貅盘,获利超十万美金。