來源：深圳零時科技

2023年12月，各類安全事件損失金額相比11月有所下降。12月因黑客攻擊、釣魚詐騙和Rug Pull造成的總損失金額約2494萬美元。本月釣魚詐騙事件依舊不減，用戶還需要提高反詐意識。

以下爲典型安全事件信息

• 2023年12月5日，Web3 开發平台Thirdweb存在安全漏洞，影響多份智能合約，至少3個項目因漏洞影響被攻擊，損失約21萬美元。【Web3开發工具平台Thirdweb在其官方博客中稱，11月20日18:00發現多個Web3智能合約（包括Thirdweb的一些預構建智能合約）的常用开源庫中存在安全漏洞，包括Airdrop ERC20（v1.0.3及更高版本），ERC721（v1.0.4及更高版本），ERC1155（v1.0.4及更高版本）等。除了智能合約受影響外，包括錢包、支付和基礎設施服務，均未受到影響，正常運作。】

• 2023年12月6日，BSC生態項目、去中心化儲備貨幣協議BEARNDAO遭攻擊，獲得超過70萬美元的收益。【攻擊者地址“0xCE27b”利用了ConvertDustToEarned() 中的錯誤並使用了三明治攻擊，通過攻擊合約“0x21125d”】

• 2023年12月12日，OKX廢棄的DEX做市商合約管理權限被盜，損失約270萬美元。【12月13日，OKX中文發推稱，經核實，此事件由一個不再使用的廢棄的OKX DEX市商合約管理權限被盜而導致，18個授權過該合約的地址資產被轉移。】

• 2023 年12月14日，Web3項目常用的代碼庫Ledger Connect Kit 遭受供應鏈攻擊，攻擊者獲利約60萬美元。

• 2023年12月16日，NFT Trader遭到重入漏洞攻擊，損失約300萬美元，盜取資產已被攻擊者歸還，攻擊者保留了10%作爲賞金。【12月16日消息，NFT Trader 攻擊者於鏈上發文表示，被盜 NFT 資產安全，最終它們會回到用戶手中。漏洞的最初攻擊者是 0x3dc115307c7b79e9ff0afe4c1a0796c22e366a47b47ed2d82194bcd59bb4bd46。該攻擊者表示其不是初始攻擊者，並表示初始攻擊者正在繼續准備攻擊一個新漏洞。】

• 2023年12月17日，NFT交易市場Flooring Protocol遭到黑客攻擊，損失約160萬美元。

• 2023年 12月20日，DeFi協議Transit Finance遭到黑客攻擊，損失約11萬美元。

• 2023年12月23日，DEX項目Paraluni遭到價格操控攻擊，損失約33萬美元。【攻擊者利用Paraluni協議價格操控漏洞，從合約中獲利約33.6萬美元。據此前消息，Web3安全平台Ancilia在推特發文稱，幣安智能鏈上元宇宙項目Paraluni正在遭遇價格操縱攻擊，攻擊者利用價格操縱放大抵押品的價值，從而借出更多的資金，導致項目損失。】

• 2023年12月26日，Telcoin錢包遭到攻擊，損失約120萬美元。

• 2023年12月13日至26日期間，Osmosis鏈上永續交易協議Levana遭受攻擊，漏洞發生超過13天，攻擊者耗盡了Levana上10%的流動性池，損失超過110萬美元。

• 2023年12月27日，多鏈交易平台Thunder疑似遭攻擊，攻擊者已將86.5枚ETH轉至Railgun。【攻擊者地址：0x2a2C200af4E659348C4182DD9806a340851df42e。Thunder對此回應稱，其使用的第三方服務疑似被攻擊，超過14,000個地址中有114個受到影響。】

• 2023年12月30日，BSC 上的 Channels Finance 受到黑客攻擊，損失超過 32 萬美元。

• 2023年12月1日，BNB Chain上Grok-2代幣疑似發生Rug Pull，當前該代幣價格已經下跌100%。

• 2023年12月1日，QMYX發生Rug Pull，約10萬億QMYX交換爲57.18枚WETH。【MYX Finance 代幣QMYX已下跌100%。地址0x7634...168d已將9,999,999,999,999枚QMYX交換爲57.18枚WETH(11.97萬美元)。】

• 2023年12月5日，BNB Chain上CKD代幣發生Rug Pull，部署者獲利約54萬美元。

• 2023年12月13日，地址0xEbC5遭網絡釣魚，損失約9.45萬美元。【地址0xEbC5成爲網絡釣魚計劃的受害者，導致損失382.88枚crvCRVETH和43.5枚stETH（價值約9.45萬美元）】

• 2023年12月21日，監測顯示某錢包黑客與Google搜索和X廣告上的網絡釣魚活動有關，在9個月內從超過6.3萬名受害者身上盜取了約5800萬美元。

• 2023年12月24日，0xf8c开頭地址因零轉账釣魚攻擊被盜71萬枚USDC。釣魚地址：0x949D0DbE58c77EEF31eDAB5E476f41E4F5ef861B。

• 2023年12月26日，MegabotETH 發生rug pull，部署者獲利約74萬美元。

• 2023年12月26日，兩名受害者因網絡釣魚詐騙損失約150余萬美元的資產。

• 2023年12月29日，一用戶因籤署了一份“increase Allowance”交易，被網絡釣魚攻擊損失價值440萬美元的LINK。

?本月釣魚詐騙事件依舊不減，發生多起單個地址被盜百萬美元以上的事件，用戶還需提高警惕。

以下爲其他方面安全事件

注：時間不分先後

• 2023年12月4日，泰興市一幹部參與虛擬貨幣傳銷活動獲刑4年6個月，涉案金額達3700多萬元。【江蘇泰州一幹部被控組織、領導傳銷活動，涉案金額達3700多萬元，此前一審判決因犯組織、領導傳銷活動罪該幹部獲刑4年6個月並處罰金30萬元。據悉江蘇省泰州泰興市幹部趙某參與的MBI集團以投資理財爲名，要求參加者每次繳納一定金額的費用，購买該集團相關平台發行的虛擬貨幣“易物幣”（M幣），經鑑定趙某發展下线人數達2 層476人。】

• 2023年12月6日消息，河南檢察院披露大型虛擬貨幣傳銷案，涉案金額超 1.2 億人民幣。【河南省淅川縣檢察院近期辦理一起涉案金額達1.2億元的虛擬貨幣傳銷案，犯罪嫌疑人王某委托高科技公司定制軟件，設立“紅牛去中心化交易所”網站並在網絡公开對外發行“NB幣（牛幣）”，开發對應的紅牛炒幣App，以虛擬貨幣、區塊鏈名義开展傳銷活動，並成立“紅牛商學院講師團”开展线下推廣宣傳。僅一年時間，涉案團夥就發展會員2128人，騙取財物1.2億余元。】

• 2023年12月6日消息，加密交易所Bitzlato聯創承認7億美元洗錢罪。

• 2023年12月10日消息，香港警方破獲通過虛擬貨幣洗錢3000 萬港元的犯罪團夥。

• 2023年12月13日消息，美國司法部指控兩名男子經營2500萬美元的加密龐氏騙局。【二人誘使受害者投資各種交易項目，這些項目虛假承諾使用人工智能自動交易機器人可以在加密貨幣市場上交易並賺取高收益，並以各種名義推廣投資項目，二人挪用受害者資金來支付個人开支。】

• 2023年12月15日消息，美國司法部披露四人因加密貨幣詐騙和洗錢被指控，造成超8000萬美元損失。【根據法庭文件，Lu Zhang、Justin Walker、Joseph Wong和Hailong Zhu涉嫌合謀开設空殼公司和銀行账戶，以清洗加密貨幣投資騙局（也稱爲“殺豬盤”）和其他欺詐計劃的受害者收益。】

• 2023年12月30日，廣西公安破獲涉虛擬貨幣的直播帶貨APP傳銷案，涉案金額超3億元。【廣西河池市公安局破獲一起涉虛擬貨幣的直播帶貨 APP 傳銷案，犯罪嫌疑人利用一款名爲維度的APP建群及直播帶貨，制定了拉人頭發展層級、线上注冊返利的傳銷模式，通過軟件的內購功能推銷虛擬服務並發放平台設置的獎勵維度幣，同時在宣傳中不斷地打着電子商務、虛擬貨幣、國字號項目等旗號和標籤大肆鼓吹，掩蓋其通過發展下线牟利的本質】

2023年12月，各類安全事件損失金額相比11月有所下降。12月因黑客攻擊、釣魚詐騙和Rug Pull造成的總損失金額約2494萬美元。

鑑於各類安全事件頻發，零時科技安全團隊提出以下安全建議：

1. 項目方建立嚴格私鑰管理流程，採用多籤機制，禁止在聯網環境中使用私鑰。

2. 在項目上线之前，找專業的第三方安全企業進行全面的安全審計，而且可以找多家進行交叉審計。

3. 項目方可以發布漏洞賞金計劃，發送社區白帽子幫助找問題，先於黑客找到漏洞。

4. 加強對項目的安全監測和預警，盡量做到在黑客發動攻擊之前發布預警從而保護項目安全。

5. 智能合約开發者應該重視合約中的代碼邏輯必須嚴謹，避免歷史漏洞重現，加強代碼安全性。

6. 用戶仔細進行項目背景調查，不要輕信未开源的項目合約，查看相關審計報告，避免資產損失。

7. 用戶要提高反詐意識，若不幸被騙，留存好證據，盡快向警方立案。