零時科技每月安全事件看點开始了！據一些區塊鏈安全風險監測平台統計顯示，2024年5月，各類安全事件損失金額較4月相比有所上漲。5月發生較典型安全事件超37起，因黑客攻擊、釣魚詐騙和Rug Pull造成的總損失金額達1.54億美元，較4月增長約52.5%。其中攻擊事件約5451萬美元，增長約3.7%；釣魚詐騙事件約9740萬美元，增長約754%；Rug Pull事件約204萬美元，下降約94.5%。

此外，還有一些具體安全事件和新的消息，下面來爲大家詳細講述。

黑客攻擊方面 

典型安全事件 11 起

(1)  5月5日，Fantom鏈上的GNUS遭到攻擊，損失約127萬美元。

(2)  5月9日，Blast生態Bloom項目遭到攻擊，損失約54萬美元。被盜資金已追回90%（扣除10%的漏洞賞金）。

(3)  5月10日，Web3遊戲項目Galaxy Fox遭受攻擊，損失約30萬美元。

(4)  5月10日，Base生態Tsuru遭受攻擊，損失約41萬美元。

(5)  5月14日，Arbitrum鏈上DEX項目Predy Finance遭受攻擊，損失約46萬美元。

(6)  5月15日，比特幣DeFi工具Alex Lab因私鑰被盜在Stacks和BSC兩條鏈上共損失約630萬美元。

(7)  5月15日，Optimism鏈上Compound fork項目Sonne Finance因合約漏洞遭受攻擊，損失達2000萬美元。事件發生後，Seal 貢獻者通過向市場添加價值約 100 美元的 VELO，挽救了約 650 萬美元。此次攻擊利用了新加入市場的漏洞，在市場創建後的兩天內，攻擊者利用多籤錢包和時間鎖功能執行關鍵交易，成功操縱了市場的抵押因子(c-factors)。

(8)  5月16日，Solana生態pump.fun項目遭到攻擊，損失約190萬美元。攻擊者隨後开始將資金空投到一些隨機的錢包中。pump.fun 在推特發文表示，此次攻擊是因爲某位前員工利用其在公司的特權非法獲取了提款權限，並借助借貸協議實施了閃電貸攻擊。

(9)  5月20日，Web3 遊戲平台 Gala Games 遭攻擊，損失約 2180 萬美元。攻擊者鑄造了 50 億枚 GALA 代幣，價值超過 2 億美元，之後迅速拋售 5.92 億枚 GALA，獲得 5952 枚 ETH。5 月 22 日，根據鏈上記錄和 Gala Games 在 Discord 的聲明，黑客返還了 5913.2 枚 ETH。

(10)  5月21日，TON生態Launchpad平台TonUP因工程師錯誤配置腳本參數遭到攻擊，損失約10.7萬美元。

(11)  5月26日，Base生態Meme幣Normie遭到攻擊，損失約49萬美元。

Rug Pull / 釣魚詐騙 

典型安全事件 6 起

(1)  5月3日，某巨鯨地址遭遇地址中毒詐騙，損失達7200萬美元。

(2)  5月14日，Polygon鏈上虛假Pii Park項目發生Rugpull，部署者獲利約49萬美元。

(3)  5月14日，某0xff49开頭地址遭到Pink Drainer的釣魚詐騙，損失約166萬美元。

(4)  5月16日，某0x719e开頭地址遭受釣魚詐騙，損失約125萬美元。

(5)  5月18日，某0xee6a开頭地址遭受釣魚詐騙，損失價值約560萬美元的Pendle yield代幣。

(6)  5月26日，某0x2154开頭地址遭受釣魚詐騙，損失約690萬美元。

加密犯罪方面

典型安全事件 20 起

(1)  5月19日，重慶兩江新區（自貿區）人民法院日前審結了一起備受關注的委托合同糾紛案，該案涉及委托傳銷組織成員購买虛擬貨幣的糾紛。法院審理後認定委托合同違反了國家法律、行政法規強制性規定，應當認定爲無效。一審宣判後，周某不服，提起上訴。重慶市第一中級人民法院作出二審判決，駁回上訴，維持原判。目前，該判決已生效且已自動履行。

(2)  5月，天水麥積區警方輾轉5省9市，全鏈條打掉一個虛擬貨幣洗錢團夥，抓獲犯罪嫌疑人13名，追贓挽損百萬余元。目前，13名犯罪嫌疑人已被依法採取刑事強制措施，案件正在進一步偵辦中。

(3)  5月15日，成都市公安局公布一起特大涉虛擬貨幣地下錢莊案的偵破過程，該案涉案金額138億元，共抓獲犯罪嫌疑人193人，凍結涉案資金1.49億元。該案於2022年11月獲得相關线索，2023年6月1日，在公安部、公安廳的指揮下，抓獲林某、翁某、陳某等25名犯罪嫌疑人，查獲大量用於作案的銀行卡、U盾等支付工具。

(4)  5月13日消息，吉林省磐石市公安局成功破獲一起利用虛擬貨幣非法經營地下錢莊案，涉案金額約21.4億元人民幣，6名在中韓兩國實施犯罪的嫌疑人落網。警方查明，該案犯罪團夥利用境內账戶接收與轉移資金、OTC买賣虛擬幣、韓幣結算等方式，非法從事外匯兌換業務，幫助韓國代購、跨境電商、進出口貿易公司等群體實現人民幣與韓幣的匯兌。

(5)  5月11日，福建明溪公安破獲一起虛擬貨幣詐騙案。李某通過境外某聊天軟件結識一名陌生男子，並在該陌生男子的誘騙下，欲通過購买“USDT”虛擬幣再進行轉賣賺取差價的方式賺錢。多次向該名男子轉账用於購买“USDT”虛擬幣，收到錢款後，該名男子卻捏造各種理由拒絕向李某提供“USDT”虛擬幣，最終李某被騙38.7萬元。5月11日，明溪警方赴四川成功抓獲詐騙嫌疑人趙某。

(6)  5月16日，黑龍江省黑河市孫吳縣公安局反詐中心在工作中發現一起電信網絡詐騙 的线索後，民警立即組織警力开展工作。經了解，民警發現江西省某市居民吳某某涉嫌夥同他人利用虛擬幣 幫助電信詐騙分子洗錢，並迅速鎖定犯罪嫌疑人。當天，民警在江西省某市一舉將鄔某源、陳某、劉某華、王某偉等 4名犯罪嫌疑人抓獲歸案。

(7)  5月16日消息，香港警方近日在一起涉嫌加密貨幣詐騙案中逮捕了3名本地男子。一名男子在尖沙咀一店鋪內試圖轉售價值約100萬元（港幣）的泰達幣（USDT），卻被支付冥幣詐騙。

(8)  5月14日，香港警方將一跨境洗黑錢團夥抓獲。據悉，香港警方商業罪案調查科於2023年11月鎖定一個跨境洗黑錢集團，調查發現集團於2023年9月至2024年3月期間，招攬內地人到香港开設傀儡銀行戶口，透過不同類型詐騙案去詐騙受害人。受害人根據騙徒指示，將騙款存入犯罪集團控制的傀儡戶口，之後集團會從傀儡戶口以現金方式提取騙款，並到加密貨幣場外交易所（OTC）購买加密貨幣，同時又會在海外加密貨幣平台上以虛假身份开設戶口，並存入由騙款所購买的加密貨幣，再轉移至多個加密貨幣錢包，以清洗犯罪得益。

(9)  美國司法部起訴並逮捕了卡地亞珠寶的一名繼承人Cartier，罪名是罪名是涉嫌使用USDT洗錢，據稱他與哥倫比亞販毒集團有勾結。Cartier與五名哥倫比亞國民一起試圖進口100公斤可卡因並洗錢數億美元，大部分通過場外 (OTC) USDT 交易進行。他們在被捕前實際上已成功洗錢1450萬美元。Cartier目前被關押在邁阿密拘留中心，而他的同謀則被關押在哥倫比亞監獄。

(10)  美國司法部逮捕了一名策劃1.3億美元網絡詐騙的僵屍網絡負責人，根據5月29日的起訴書，該犯罪嫌疑人涉嫌“創建並傳播惡意軟件，以入侵和聚集全球數百萬台家用Windows計算機網絡”，區塊鏈分析公司Chainlysis的一項獨立分析顯示，與犯罪嫌疑人相關的錢包地址共持有通過非法傭金賺取的超過1.3億美元的數字資產。

(11)  5月17日消息，加利福尼亞州中部地區的一份起訴書被公开，指控兩名中國籍人士涉嫌在一個洗錢方案中扮演主要角色，涉及加密貨幣投資詐騙。他們被指控領導一項與國際加密投資騙局有關的洗錢計劃，金額至少爲7300 萬美元。

(12)  5月1日消息，FBI破獲以加密投資爲誘餌的龐氏騙局Idin Dalpour，涉案金額4300萬美元。

(13)  5月14日消息，Tornado Cash混幣服務的开發者之一Alexey Pertsev被判犯有洗錢罪，並在荷蘭被判處64個月監禁。

(14)  5月15日消息，加拿大“加密貨幣之王”及其同夥被捕，被指控通過加密貨幣和外匯投資計劃詐騙投資者3000萬美元。

(15)  5月21日消息，美國當局逮捕並指控一名台灣男子經營暗網毒品交易市場，涉嫌利用該網站以加密貨幣銷售價值超過1億美元的非法麻醉品，包括芬太尼。

(16)  巴拉圭當局在薩普凱市抓獲了近400名比特幣礦工。此次行動由警方和國家電力管理局（ADE）聯合开展，是對涉嫌竊電行爲進行調查的一部分。

(17)  5月月31日消息，土耳其當局在安卡拉的21個省开展了加密行動，拘留了127名涉嫌“通過龐氏騙局進行國際欺詐”和“犯罪及清洗犯罪所得資產”的嫌疑人。在此次行動中，當局查獲了超過 177 件不動產和 61 件動產，價值 10 億土耳其裏拉。此外，他們還沒收了一支無牌槍支、一支空包彈槍和一些加密資產。

(18)  5月26日消息，馬來西亞執法部門近日逮捕了一個涉嫌利用加密貨幣洗錢的犯罪團夥，共有10人被捕。執法人員在5月13日至21日期間的突擊行動中，查獲了129輛總價值約380萬美元（1800萬馬幣）的車輛，以及價值超過390萬美元的名牌手表、18輛豪車、摩托車和手袋，並凍結了總額約1080萬美元的銀行账戶。此團夥涉嫌通過詐騙高檔車牌號和奢侈品牌手表交易非法獲利，並將資金通過未注冊的兌換商和加密貨幣交易轉移到馬來西亞。

(19)  美國德克薩斯州證券委員會已向Arkbit Capital發出停止令，指控其從事欺詐性加密雲挖礦活動。 根據命令，德州證券委員會發現Arkbit Capital及其附屬實體從事欺詐活動，包括使用欺騙性圖像和視頻處理技術來推廣其投資計劃。Arkbit 虛假聲稱運營位於阿肯色州的數據中心，用於雲挖掘各種加密貨幣，承諾對50美元至49999美元之間的數字資產存款提供120天的每日1.6-2.8%的投資回報。

(20)  5月26日消息，印度公民Chirag Tomar已承認“通過欺騙 Coinbase 網站竊取超過3700萬美元的聯邦指控”，承認犯有電信欺詐罪，最高可判處20年監禁和25萬美元罰款。Chirag Tomar及其同夥設計假冒Coinbase Pro網站誘騙用戶輸入登錄憑據和雙因素身份驗證碼，後於去年12月20日進入美國時在亞特蘭大機場被捕，目前仍被聯邦拘留。 

總結

從上述多個事件分析來看，相較4月5月損失金額上漲，其中發生2起損失超過千萬美元的黑客攻擊事件：遊戲平台Gala Games因私鑰泄露損失2250萬美元、Sonne Finance因合約漏洞損失2000萬美元。

零時科技安全團隊建議項目方始終保持警惕，並做好內部安全培訓和權限管理，提高員工的安全意識和避免內部作惡的情況。

注：

本文內容均來自公开的資料整理收集。

重要提醒：本文只對行業信息進行整理，不構成任何投資建議和保證。