根據 Gate Research 的最新 Web3 行業安全報告指出，12 月份發生了 27 起安全事件，損失約為 411 萬美元。事件類型多樣化，合約漏洞仍然是主要威脅，佔總損失的 72%。報告還對關鍵安全事件進行了詳細分析，包括 FEG 安全漏洞、Clober 合約漏洞、Clipper DEX 合約漏洞、和 HarryPotterObamaSonic10Inu 閃電貸攻擊。合約漏洞和帳戶黑客攻擊被確定為本月的主要安全風險，突顯了行業不斷加強安全措施的必要性。

摘要

• 2024 年 12 月，Web3 行業發生了 27 起安全事件，導致損失約 411 萬美元，較上月大幅下降。
• 本月的安全事件主要涉及合約漏洞、賬戶被盜等攻擊方法。
• 合約漏洞仍然是主要威脅，佔加密行業安全事件總損失的 72%。
• 大部分損失發生在各大公鏈： BSC、Ethereum、Cardano、和 Base 等。
• 本月的重大事件包括 FEG 安全漏洞 （損失 100 萬美元）、Clober 合約漏洞（損失 50 萬美元）、Vestra DAO 合約漏洞（損失 50 萬美元）和 Moonhacker 帳號被黑（損失 32 萬美元）、HarryPotterObamaSonic10Inu 閃電貸攻擊 （損失 24.3 萬美元）。

安全事件概述

根據 Slowmist 的數據，2024 年 12 月記錄了 27 起黑客事件，損失總額為 411 萬美元。攻擊主要涉及合同漏洞、帳戶黑客攻擊和其他方法。與 11 月份相比，事故數量和總損失均大幅下降，表明行業安全措施和意識有所改善。合同漏洞仍然是攻擊的主要原因，九起事件造成了超過 298 萬美元的損失，佔總數的 72%。加密專案的官方 X 帳戶和網站仍然是黑客的主要目標。【1】

本月公鏈安全事件分佈顯示，損失主要集中在幾個成熟和受歡迎的公鏈上，特別是。以太坊和 Base，分別是損失 201 萬美元和 95 萬美元。這突顯了儘管公共鏈的基礎安全性仍然堅固，應用層和智能合約中的漏洞仍然對用戶資金構成重大風險。

本月有幾個區塊鏈項目遭遇重大安全事故，導致重大財務損失。值得注意的事件包括 FEG 安全漏洞造成了 100 萬美元損失，Clober 合約漏洞導致了 50 萬美元的損失，Vestra DAO 合約漏洞導致 50 萬美元的損失，以及 Clipper DEX 合約漏洞導致 45.7 萬美元的損失。

十二月的重大安全事件

根據官方披露，以下項目在 12 月份遭受的損失超過 322 萬美元。這些事件突顯了合約漏洞仍然是一個重大威脅。

• 攻擊者利用 Clipper 使用的智能合約中的一個漏洞，操控了單資產存取功能。此操作影響了 Optimism 和 Base 網絡的流動性池，導致池內資產不平衡，攻擊者得以提取超出其存入金額的資產。此次攻擊造成約 457,878 美元的損失。
• Vestra DAO 發推稱一名黑客利用了鎖倉質押合約中的漏洞，操控獎勵機制，獲取了超出其應得範圍的大量獎勵。此次事件導致總計 73,720,000 枚 VSTR 被盜。被盜的代幣隨後逐步在 Uniswap 上出售，導致約 50 萬美元的 ETH 流動性損失。為了要保護 VSTR 的代幣經濟模型和項目的穩定性，決定把剩下的 755,631,188 枚 VSTR 永久的從流通量中去除。
• Clober DEX 在 Base Network 上的流動性保險庫遭受攻擊，造成 133.7 ETH（約 50.1 萬美元）的損失。團隊另外提供攻擊者被盜資金的 20% 作為安全漏洞獎勵，希望剩餘資產能夠歸還，但此次談判並沒有得到共識。
• HarryPotterObamaSonic10Inu 遭到閃電貸攻擊，以太坊上出現針對 HarryPotterObamaSonic10Inu 2.0 代幣流動性池的一系列利用交易。攻擊者獲利約 24.3 萬美元，並將資金存入了 Tornado。
• FEG 項目遭安全漏洞攻擊，損失約 100 萬美元，據分析 ，此次事件的根本原因似乎是與底層 Wormhole 跨鏈橋集成時出現的可組合性問題，該橋用於跨鏈消息和代幣的傳輸。團隊已經暫停 FEG 所有在中心化交易所的交易，SmartDeFi 協議也已暫停。

Clipper DEX

項目概況： Clipper 是一個去中心化的交易所，旨在為白手起家的加密貨幣交易者提供最優惠的小額交易價格（< 1 萬美元）。這是通過限制流動性和減輕無常損失來實現的。

事件概況：
根據 Clipper 發佈的分析報告，2024 年 12 月 1 日，攻擊者利用 Clipper 使用的智能合約中的一個漏洞，操控了單資產存取功能。此操作影響了 Optimism 和 Base 網絡的流動性池，導致池內資產不平衡，攻擊者得以提取超出其存入金額的資產。此次攻擊造成約 457,878 美元的損失。

在幾小時內，AdmiralDAO 啟動並執行了緊急響應程序，迅速採取措施保護協議中剩餘資金並阻止攻擊。經過響應後，沒有其他資金受到影響。【2】

事故後建議：

• 擴展不變量檢查：在鏈上實施驗證，確保單資產提現時池的不變量保持一致，就像 Clipper 在最新合約版本中對交易所實施的驗證一樣。
• 擴展預言機價格驗證：將鏈上價格預言機集成到存款和提現的資產價值驗證中，就像 Clipper 在最新合約版本中對交易所執行的驗證一樣。
• 考慮對存款實施短期鎖定：如果新存款的鎖定時間超過存款簽名的有效期（例如幾分鐘），此次攻擊將不可能發生。

Vestra DAO

項目概況：VSTR 是一個由 NFT 社區“CMLE”（Crypto Monster 限量版）開發的提供半去中心化、Web2+Web3 混合服務的代幣。同時，它作為去中心化自治組織 (DAO) 項目運營，提供 DeFi 解決方案。

事件概況：

2024 年 12 月 4 日，Vestra DAO 發推稱一名黑客利用了鎖倉質押合約中的漏洞，操控獎勵機制，獲取了超出其應得範圍的大量獎勵。此次事件導致總計 73,720,000 枚 VSTR 被盜。被盜的代幣隨後逐步在 Uniswap 上出售，導致約 50 萬美元的 ETH 流動性損失。

團隊迅速的發現了問題，並立即採取行動，將鎖倉質押合約列入黑名單，從而禁用了與這些合約的進一步交互。因此，鎖倉質押池中的 755,631,188 枚 $VSTR 已從流通中移除，這些合約的資金也無法再被提取。團隊在 12 月 6 日公告，為了要保護 VSTR 的代幣經濟模型和項目的穩定性，決定把剩下的 755,631,188 枚 VSTR 永久的從流通量中去除。【3】

事故後建議：

• 進行全面的合約安全審計與優化
  聘請權威第三方安全審計機構對所有智能合約進行全面審查，特別是質押與鎖倉合約，重點檢查權限管理、邊界條件處理以及代碼邏輯的安全性。審計後應根據建議優化合約代碼，並向社區公開審計報告，增強透明度與用戶信任。

• 部署多層防護機制與實時監控

• 實施時間鎖（Timelock）功能：對關鍵操作引入時間延遲，確保在發生異常時有足夠時間暫停操作或介入。

• 引入實時監控與報警系統：通過鏈上數據分析，實時檢測異常交易行為或合約交互，並在可疑情況出現時立即報警，以減少漏洞造成的損失。

Clober DEX

項目概況： Clober 是一種完全鏈上的訂單簿 DEX，可在去中心化智能合約平臺上實現鏈上訂單匹配和結算。藉助 Clober，市場參與者可以以完全去中心化、無需信任的方式以可管理的成本下達限價和市價訂單。

事件概況：
2024 年 12 月 10 日，Clober DEX 在 Base Network 上的流動性保險庫遭受攻擊，造成 133.7 ETH（約 50.1 萬美元）的損失。此次攻擊的根本原因是 Rebalancer 合約中 _burn() 函數存在的可重入漏洞。

團隊另外提供攻擊者被盜資金的 20% 作為安全漏洞獎勵，前提是剩餘資產能夠歸還。此外，如果攻擊者配合，團隊保證不會採取任何法律行動。2024 年 12 月 31日，團隊發出聲明，此次談判並沒有得到共識，攻擊者把盜來的資產轉移到了 Tornado Cash。團隊目前已和執法團隊配合，希望能夠追朔到攻擊者的來源。【4】 \

事故後建議：

• 增強的智能合約安全性：項目團隊必須加強對智能合約的安全審查。所有代碼在部署之前都應該經過嚴格的審計，並進行定期的漏洞掃描，以減少攻擊風險。
• 強大的基金管理策略：實施多籤錢包和分層資金存儲系統，防止單個合約中資產集中過多，減少可能因攻擊而造成的損失。
• 與安全組織合作：在事件發生後，與區塊鏈安全團隊和執法部門迅速合作，可以有效控制損害並加速資產追回。

HarryPotterObamaSonic10Inu

項目概況： HarryPotterObamaSonic10Inu 是加密資產的終極形態。BITCOIN 激勵創作新穎有趣的表情包內容。在所有權已放棄且流動性已鎖定的情況下，不斷壯大的社區已走在前列。基於啟發 BITCOIN 創造的傳奇表情包，項目方正在打造獨一無二的網站，以及專屬周邊和電子商務平臺。目標是創建一個生態系統，讓活躍的社區成員能夠相互交流和協作。

事件概況：
2024 年 12 月 18 日，以太坊上出現針對 HarryPotterObamaSonic10Inu 2.0 代幣流動性池的一系列利用交易。攻擊者獲利約 24.3 萬美元，並將資金存入了 Tornado。

代幣在接下來的四天內價格經歷了較深的下跌，約 -33.42%；市值從 2.45 億美金下降至 1.68 億美金。【5】 \

事故後建議：

• 加強智能合約安全審計與優化
  聘請第三方專業機構對現有智能合約進行全面安全審計，重點檢查資金池邏輯和權限管理，修復漏洞並優化合約代碼。增加如時間鎖（Timelock）或速率限制（Rate Limit）等機制，防止短時間內的惡意操作。
• 引入鏈上價格預言機
  集成可信的鏈上預言機，驗證存款和提現時的資產價格，確保操作符合實際市場價值，避免因價格操縱導致的資金損失。
• 提升社區透明度與信心
  公佈事件調查結果及修復計劃，確保信息透明化並增強用戶對項目的信任。

FEG

項目概況: FEG 代幣是 FEG 生態系統的一個通縮治理代幣，生態系統包括去中心化交易所和被動收入激勵機制。其目標是重塑去中心化交易網絡的運行模式。該代幣已上線以太坊和幣安智能鏈網絡。

事件概況：
2024 年 12 月 29 日，FEG 項目遭安全漏洞攻擊，損失約 100 萬美元，據分析 ，此次事件的根本原因似乎是與底層 Wormhole 跨鏈橋集成時出現的可組合性問題，該橋用於跨鏈消息和代幣的傳輸。Wormhole Foundation 隨後澄清，所有 Wormhole 協議都沒有發現問題，此次攻擊事件和 Wormhold 無關。

事件發生之後，團隊已經暫停 FEG 所有在中心化交易所的交易，並正在進行全面的調查。SmartDeFi 合約代碼並沒有被攻擊，但為了安全起見，SmartDeFi 協議也已暫停，但所有在協議上的項目目前為止都是安全的。【6】

事故後建議：

• 進行全面的安全審計：邀請第三方專業機構對智能合約和平臺的代碼進行全面安全審計，重點檢查權限管理、邏輯漏洞和代碼漏洞。根據審計結果及時修復問題，並公開審計報告，以增強用戶的信任。
• 建立漏洞披露與獎勵計劃：推出持續的安全漏洞賞金計劃（Bug Bounty Program），鼓勵安全研究人員和白帽黑客發現並報告潛在漏洞。在未來，及時修復這些漏洞以降低可能的安全風險。
• 加強資產保護與用戶補償機制：開發多層次的資產保護機制，如實時監控異常交易、引入時間鎖（Timelock）功能，以及多簽名錢包。對於受影響用戶，建立公平透明的補償計劃，以恢復用戶信心，並將用戶資金損失降到最低。

小結

2024 年 12 月，多家 DeFi 項目遭遇安全漏洞攻擊，總計損失數百萬美元的資產。這些事件包括 Clober DEX 的流動性保險庫攻擊、FEG 與 Wormhole 集成導致的跨鏈漏洞利用、Vestra DAO 的鎖倉質押漏洞、Clipper DEX 單資產存取功能的被操控，以及 HarryPotterObamaSonic10Inu 的閃電貸攻擊。這些事件暴露了智能合約安全性、跨鏈協議可組合性以及資金池管理的關鍵風險。行業內亟需加強智能合約審計、引入實時監控和多層防護機制，增強平臺的安全性和用戶信任。Gate.io 提醒用戶關注安全動態，選擇可靠平臺並加強個人資產保護。

參考資料：

1. Slowmist,https://hacked.slowmist.io/zh/statistics
2. Clipper,https://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/
3. X,https://x.com/Vestra_DAO/status/1864677381459390781
4. X,https://x.com/CloberDEX/status/1874039225001377816
5. Gate.io,https://www.gate.io/zh-tw/post/status/8242569
6. X,https://x.com/FEGtoken/status/1873265905867866294

Gate 研究院
Gate 研究院是一個全面的區塊鏈和加密貨幣研究平臺，為讀者提供深度內容，包括技術分析、熱點洞察、市場回顧、行業研究、趨勢預測和宏觀經濟政策分析。

點擊鏈接立即前往

免責聲明
加密貨幣市場投資涉及高風險，建議用戶在做出任何投資決定之前進行獨立研究並充分了解所購買資產和產品的性質。 Gate.io 不對此類投資決策造成的任何損失或損害承擔責任。