Q3 概览

据慢雾安全团队统计，2024 年 Q3 季度，Web3 安全事件呈现出持续频发的趋势，安全形势依旧严峻：

2024 年 9 月，Web3 安全事件总损失约 1.7 亿美元。其中，据慢雾区块链被黑档案库(https://hacked.slowmist.io) 统计，共发生 28 起被黑事件，导致损失约 1.24 亿美元，有 490 万美元得到返还，事件原因涉及合约漏洞、账号被黑和私钥泄露等。此外，据 Web3 反诈骗平台 Scam Sniffer 统计，本月有 10,525 名钓鱼事件受害者，损失规模达 4,643 万美元。

BingX

2024 年 9 月 20 日，新加坡加密货币交易所 BingX 发现其热钱包遭到攻击，慢雾安全团队及时协助 BingX 调查此事件，统计受损金额约达 4,500 万美元。在慢雾安全团队的帮助下，约 100 万美元的被盗资金已被冻结。此外，我们针对此次事件成立了群组，以监控资金转移情况。

Penpie

2024 年 9 月 4 日，去中心化流动性收益项目 Penpie 遭攻击，攻击者获利近 3 千万美元。据慢雾安全团队分析，此次事件的核心在于 Penpie 在注册新的 Pendle 市场时，错误地假设所有由 Pendle Finance 创建的市场都是合法的。然而，Pendle Finance 的市场创建流程是开放式的，允许任何人创建市场，并且其中的关键参数如 SY 合约地址，可以由用户自定义。利用这一点，攻击者创建了一个含有恶意 SY 合约的市场合约，并利用 Penpie 池子在获取奖励时需要对外部 SY 合约调用的机制，借助闪电贷为市场和池子添加了大量的流动性，人为放大了奖励数额，从而获利，详细分析见偏信则暗 —— Penpie 被黑分析。

Indodax

2024 年 9 月 11 日，印尼加密交易所 Indodax 遭攻击，攻击者从热钱包中盗取了约 2,200 万美元的各种代币。慢雾安全团队分析后认为热钱包被攻破的可能性较小，更可能是由于取款系统被攻击。

DeltaPrime

2024 年 9 月 16 日，DeltaPrime DeFi 协议由于私钥泄露，损失约 600 万美元。攻击者通过获取私钥，铸造了 1.1×10⁶⁹ DPUSDC 代币，这些代币可以按 1:1 的比例兑换 USDC 稳定币。攻击者随后使用类似方法，铸造了大量的比特币、以太坊和其他加密货币的存款凭证代币。最终，攻击者从这些巨量的存款凭证中兑换了一小部分，总计约 600 万美元的资产。

Truflation

2024 年 9 月 26 日，据链上侦探 ZachXBT 消息，Truflation 遭攻击，损失约 500 万美元，资金从“财库多签和个人钱包”中被盗取。攻击者利用了恶意软件发起攻击。慢雾安全团队及时跟进被盗资金的转移动向，攻击者当天已将 415 ETH 转移到 0xb1cf7880351e6d16313c03a6686b4c8a5ba6372a，目前，该地址上已沉淀了 523 ETH，暂未转出。

本月，攻击原因为合约漏洞的安全事件有 9 起，导致损失规模达到 4,100 万美元，占总被黑损失（1.24 亿美元）的 33.06%；本月账号被黑事件有 8 起，相比上月（18 起）有显著减少，涉及平台主要集中在 X 和 Discord。

慢雾安全团队建议项目方始终保持警惕并定期进行全面的安全审计，跟踪和解决新的安全威胁和漏洞，保护项目和资产安全；此外，建议项目方建立健全的应急计划，以便在遭受攻击时能够快速、有效地应对，减轻损失并提高资金收回的机率。广大用户也应谨防钓鱼攻击，定期检查账户权限；多方确认消息的真实性，不点击不明链接，更不轻易输入私钥/助记词；安装杀毒软件（如卡巴斯基、AVG 等）和钓鱼风险阻断插件（如 Scam Sniffer），提高设备安全性。

最后，本文收录的事件为本月主要安全事件，更多区块链安全事件可在慢雾区块链被黑档案库(https://hacked.slowmist.io/) 查看。