安全月报 | 12月因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失约2494万美元！

又到了每月安全盘点时刻！据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年12月，各类安全事件损失金额较11月大幅下降。12月发生较典型安全事件超『21』起，因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额约2494万美元，较11月下降约93%。其中攻击事件约1245万美元，钓鱼诈骗事件约960万美元，Rug Pull事件约289万美元。

本月没有发生损失金额超过千万美元的大型黑客攻击事件。本月发生了两起影响范围较大的安全事件：Web3开发平台Thirdweb安全漏洞影响多份智能合约；Web3项目常用的代码库Ledger Connect Kit 遭受供应链攻击。所幸这两起事件造成的损失金额均未超过百万美元。此外，本月钓鱼诈骗事件依旧不减，发生多起单个地址被盗百万美元以上的事件，用户还需提高警惕。

黑客攻击方面 

共发生『12』起典型安全事件 

No.1 12月5日，Web3 开发平台Thirdweb存在安全漏洞，影响多份智能合约，至少3个项目因漏洞影响被攻击，损失约21万美元。

No.2 12月6日，DeFi协议BEARNDAO遭攻击，攻击者获利超70万美元。

No.3 12月10日，DeFi协议Venus Protocol遭到因预言机问题遭到攻击，损失约20万美元。

No.4 12月12日，OKX废弃的DEX做市商合约管理权限被盗，损失约270万美元。

No.5 12月14日，Web3项目常用的代码库Ledger Connect Kit 遭受供应链攻击，攻击者获利约60万美元。

No.6 12月17日，NFT Trader遭到重入漏洞攻击，损失约300万美元，盗取资产已被攻击者归还，攻击者保留了10%作为赏金。

No.7 12月17日，NFT交易市场Flooring Protocol遭到黑客攻击，损失约160万美元。

No.8 12月22日，DeFi协议Transit Finance遭到黑客攻击，损失约11万美元。

No.9 12月23日，DEX项目Paraluni遭到价格操控攻击，损失约33万美元。

No.10 Osmosis区块链上永续交易协议Levana Protocol在12月13日至26日期间遭到攻击，损失超过110万美元。

No.11 12月26日，Telcoin钱包遭到攻击，损失约120万美元。

No.12 12月30日，BSC 上的 Channels Finance 受到黑客攻击，损失超过 32 万美元。

钓鱼诈骗/Rug Pull方面 

共发生『4』起典型安全事件

No.1 12月5日，BNB Chain上CKD代币发生rug pull，部署者获利约54万美元。

No.2 12月26日，MegabotETH 发生rug pull，部署者获利约74万美元。

No.3 12月26日，两名受害者因网络钓鱼诈骗损失约150余万美元的资产。

No.4 12月29日，一个以0xea696开头的地址因网络钓鱼诈骗损失了价值440万美元的LINK代币。

加密犯罪/案件监管方面

共发生『5』起典型安全事件

No.1 12月5日消息，河南检察院披露大型虚拟货币传销案，涉案金额超 1.2 亿人民币。

No.2 12月6日消息，加密交易所Bitzlato联创承认7亿美元洗钱罪。

No.3 12月10日消息，香港警方破获通过虚拟货币洗钱 3000 万港元的犯罪团伙。

No.4 12月13日消息，美国司法部指控两名男子经营2500万美元的加密庞氏骗局。

No.5 12月15日消息，美国司法部披露四人因加密货币诈骗和洗钱被指控，造成超8000万美元损失。

鉴于当前区块链安全领域的新形势，『Beosin』在此总结：

从总体上看，2023年12月各类区块链安全事件损失金额较11月大幅下降。和11月相比，本月被攻击的项目类型新增了开发工具、代码库、NFT等，这表明黑客正在扩大其攻击目标范围，整个Web3生态都应加强安全意识以积极应对这一趋势。本月仍然有50%的攻击事件来自合约漏洞利用，如重入漏洞等，建议项目方在上线前一定要寻找专业的公司进行安全审计。

Beosin作为一家全球领先的区块链安全公司，在全球10多个国家和地区设立了分部，业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规KYT/AML等“一站式”区块链安全产品+服务，公司致力于Web3生态的安全发展，已为全球3000多个企业提供区块链安全技术服务，包括HashKey Group、Amber Group、BNB Chain等，已审计智能合约和公链主网超3000份，包括PancakeSwap、Ronin Network、OKCSwap等。欢迎点击公众号留言框，与我们联系。