【安全月报】| 9月区块链安全事件有所下降，因黑客攻击等损失金额达1.2亿美元

零时科技
更新于 2天前
阅读 167

9月发生较典型安全事件超28起，因黑客攻击、钓鱼诈骗和RugPull造成的总损失金额达1.2亿美元

![封面banner.jpg](https://img.learnblockchain.cn/attachments/2024/10/zBOc5DQo66fe29545ef77.jpg)

零时科技每月安全事件看点开始了！据一些区块链安全风险监测平台统计显示，2024年9月，各类安全事件损失金额较8月有所下降。9月发生较典型安全事件超**28**起，因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达**1.2亿**美元，较8月下降约**61.8%**，有**490万**美元得到返还。此外，据Web3反诈骗平台Scam Sniffer统计，本月有**10,525**名钓鱼事件受害者，损失规模达**4,643万**美元。

# **黑客攻击方面**

**典型安全事件 *****9***** 起**

(1)  9月4日，建立在代币化收益平台 Pendle上的 DeFi 协议 Penpie 遭到黑客攻击，黑客从该协议中窃取了约 2700 万美元的加密资产，包括各种类型的质押 ETH 、Ethena  sUSDE和包装 USDC 稳定币。

![1.jpg](https://img.learnblockchain.cn/attachments/2024/10/0EV2ZVuJ66fe299a02827.jpg)

![2.jpg](https://img.learnblockchain.cn/attachments/2024/10/VfsRt7u066fe299a5ace1.jpg)

(2)  9月11日，印尼加密货币交易平 indodax 遭攻击。它的钱包在不同网络上进行了 150 多笔可疑交易，总损失达 2200 万美元。该可疑地址正在用各种代币兑换 ETH。根据慢雾安全团队的分析，可以排除热钱包被攻破的可能性，有可能是提现系统被黑。

![3.png](https://img.learnblockchain.cn/attachments/2024/10/9mPk87dP66fe29b7d2265.png)

(3)  9月16日，DeFi 项目 DeltaPrime 官方于 X 平台确认发生安全事件，其表示 DeltaPrime Blue（Arbitrum）遭到攻击，损失 598 万美元，原因为私钥被盗。攻击手法：私钥泄露。

![4.jpg](https://img.learnblockchain.cn/attachments/2024/10/EsNW5SUQ66fe29c521dcc.jpg)

(4)  9月20日，新加坡加密货币平台 BingX 在周五报告了一起网络攻击事件。威胁行为者盗取了价值超过 4400 万美元的加密货币。公司表示，他们在2024年9月20日凌晨4:00左右检测到异常的网络活动，这可能表明有人针对他们的热钱包进行了黑客攻击。BingX 立即响应了这一事件，将资产转移到冷钱包，并暂时暂停了提款。虽然有少量资产损失，但确切金额仍在计算中。最终，在慢雾安全团队的帮助下，约 100 万美元的被盗资金已被冻结。

![5.jpg](https://img.learnblockchain.cn/attachments/2024/10/5WqYbOif66fe29d248b22.jpg)

(5)  9月21日，吴说获悉，安全机构 fuzzland 联创 @shoucccc 发推表示，抵押贷款协议 Shezmu 遭遇黑客攻击，约 490 万美元的 ShezUSD 被盗。攻击者利用一个允许任何人铸造的抵押品漏洞，借出大量 ShezUSD。由于流动性不足，这些 ShezUSD 仅兑换成约 70 万美元。

(6)  9月24日，据区块链安全平台TenArmor报道，去中心化金融（DeFi）协议Bankroll Network于9月22日遭到黑客攻击，损失金额达23万美元。攻击者利用合约漏洞，通过多个Binance Coin（BNB）的转账操作，从BankrollNetworkStack合约中转移了大量资金。

(7)  9月26日，Onyx 协议遭遇安全事故，损失超过 380 万美元。攻击者利用了 Compound V2 代码中的已知精度问题，此外，NFTLiquidation 合约未能正确验证（不可信）用户输入，导致攻击者利用该漏洞夸大了自我清算奖励的数额，从而进一步加剧了损失。攻击手法：合约漏洞

(8)  9月26日，据ZachXBT透露，Coinbase Ventures支持的加密项目Truflation遭遇黑客攻击，损失约500万美元，资金被盗自其“多重签名资金库和个人钱包”。 慢雾安全团队及时跟进被盗资金的转移动向，攻击者当天已将 415 ETH 转移到 0xb1cf7880351e6d16313c03a6686b4c8a5ba6372a，目前，该地址上已沉淀了 523 ETH，暂未转出。

![6.png](https://img.learnblockchain.cn/attachments/2024/10/Jw9l2GUd66fe29f173f3e.png)

![7.jpg](https://img.learnblockchain.cn/attachments/2024/10/WhpXwPXD66fe29f173f3e.jpg)

(9)  9月27日，多链流动性再质押协议 Bedrock 在社交媒体发布公告，团队已经意识到涉及 uniBTC 的安全漏洞，被盗的总估计损失约为 200 万美元。零时科技团队分析攻击者利用失真的价格来通过借贷进行获利，最终导致攻击者用借贷来的 WETH 掏空了项目方的 uniBTC 代币。

# **总结**

从上述多个事件分析来看，9 月份发生攻击原因合约漏洞的安全事件为 9 起，导致损失达到 4,100 万美元，占总被黑损失（1.24 亿美元）的 33.06%；本月账号被黑事件有 8 起，相比上月（18 起）有显著减少。

零时科技安全团队建议项目方始终保持警惕，提醒广大用户谨防钓鱼攻击，谨慎投资。建议项目方在进行全面的安全审计的同时也尽量建立一个全面的应急计划，以便事情突发时可有效应对。此外也需做好内部安全培训和权限管理，在项目上线前寻找专业的安全公司进行审计并做好项目背景调查。

零时科技每月安全事件看点开始了！据一些区块链安全风险监测平台统计显示，2024年9月，各类安全事件损失金额较8月有所下降。9月发生较典型安全事件超28起，因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达1.2亿美元，较8月下降约61.8%，有490万美元得到返还。此外，据Web3反诈骗平台Scam Sniffer统计，本月有10,525名钓鱼事件受害者，损失规模达4,643万美元。

黑客攻击方面

典型安全事件 **9 起**

(1) 9月4日，建立在代币化收益平台 Pendle上的 DeFi 协议 Penpie 遭到黑客攻击，黑客从该协议中窃取了约 2700 万美元的加密资产，包括各种类型的质押 ETH 、Ethena sUSDE和包装 USDC 稳定币。

(2) 9月11日，印尼加密货币交易平 indodax 遭攻击。它的钱包在不同网络上进行了 150 多笔可疑交易，总损失达 2200 万美元。该可疑地址正在用各种代币兑换 ETH。根据慢雾安全团队的分析，可以排除热钱包被攻破的可能性，有可能是提现系统被黑。

(3) 9月16日，DeFi 项目 DeltaPrime 官方于 X 平台确认发生安全事件，其表示 DeltaPrime Blue（Arbitrum）遭到攻击，损失 598 万美元，原因为私钥被盗。攻击手法：私钥泄露。

(4) 9月20日，新加坡加密货币平台 BingX 在周五报告了一起网络攻击事件。威胁行为者盗取了价值超过 4400 万美元的加密货币。公司表示，他们在2024年9月20日凌晨4:00左右检测到异常的网络活动，这可能表明有人针对他们的热钱包进行了黑客攻击。BingX 立即响应了这一事件，将资产转移到冷钱包，并暂时暂停了提款。虽然有少量资产损失，但确切金额仍在计算中。最终，在慢雾安全团队的帮助下，约 100 万美元的被盗资金已被冻结。

(5) 9月21日，吴说获悉，安全机构 fuzzland 联创 @shoucccc 发推表示，抵押贷款协议 Shezmu 遭遇黑客攻击，约 490 万美元的 ShezUSD 被盗。攻击者利用一个允许任何人铸造的抵押品漏洞，借出大量 ShezUSD。由于流动性不足，这些 ShezUSD 仅兑换成约 70 万美元。

(6) 9月24日，据区块链安全平台TenArmor报道，去中心化金融（DeFi）协议Bankroll Network于9月22日遭到黑客攻击，损失金额达23万美元。攻击者利用合约漏洞，通过多个Binance Coin（BNB）的转账操作，从BankrollNetworkStack合约中转移了大量资金。

(7) 9月26日，Onyx 协议遭遇安全事故，损失超过 380 万美元。攻击者利用了 Compound V2 代码中的已知精度问题，此外，NFTLiquidation 合约未能正确验证（不可信）用户输入，导致攻击者利用该漏洞夸大了自我清算奖励的数额，从而进一步加剧了损失。攻击手法：合约漏洞

(8) 9月26日，据ZachXBT透露，Coinbase Ventures支持的加密项目Truflation遭遇黑客攻击，损失约500万美元，资金被盗自其“多重签名资金库和个人钱包”。慢雾安全团队及时跟进被盗资金的转移动向，攻击者当天已将 415 ETH 转移到 0xb1cf7880351e6d16313c03a6686b4c8a5ba6372a，目前，该地址上已沉淀了 523 ETH，暂未转出。