一周动态 | Web3 安全事件总损失约 83 万美元

概览

据慢雾区块链被黑档案库(https://hacked.slowmist.io) 统计，2023 年 8 月 28 日至 9 月 3 日，共发生安全事件 7 起，总损失约 83 万美元。

具体事件

Ivan Bianco

2023 年 8 月 29 日，巴西一名 YouTube 用户 Ivan Bianco 在其 Fraternidade Crypto 频道直播中意外泄露了自己的加密货币钱包的助记词，导致价值近 6 万美元的加密货币和一批 NFT 被盗。该账号在 YouTube 上拥有约 3.4 万名订阅者。在直播过程中，Bianco 打开了一份记录助记词的文件，这使得身份不明的人控制了他的钱包并窃取其资金。Bianco 在丢失资金后向警方报案。他还称，资金被盗后，一名身份不明的男子在 Discord 上联系了他。该匿名人士表示自己是资金窃取者，并为其行为表示后悔，然后挂断电话离开。通话结束后，窃取大部分资金的钱包将总价值约 5 万美元加密资产返还给 Bianco。

Starkware

2023 年 8 月 30 日，据了解，以太坊第 2 层解决方案 Starkware 几个月来曾多次警告用户，如果用户在升级前不采取行动，他们的资金将会丢失，但部分用户显然没有看到这些通知，这导致许多用户被锁定在 StarkWare 帐户之外，失去资金访问权限，受影响的账户总计 55 万美元。迫于社区压力，Starkware 重新启用了升级钱包的功能。

BabyShia

2023 年 8 月 31 日，BabyShia 项目实施了退出骗局。部署者（0xCbcd8）已获利 133 枚 ETH（约合 22.6 万美元）。据 MistTrack 分析，攻击者初始资金来自 ChangeNow 转入的 0.69 ETH，攻击者将 BABYSHIA 和 ETH 不断转换，最后将 ETH 转移到多个平台，如 SimpleSwap、FixedFloat、Binance 等。

Lamas Finance

2023 年 9 月 1 日，Lamas Finance 的 Discord 遭到攻击，钓鱼网站为 lamas[.]co/airdrop。

Balthazar

2023 年 9 月 2 日，Balthazar 称其 Discord 遭到攻击，请勿点击链接、铸造或批准任何交易。

CoredeFinance

2023 年 9 月 2 日，CoredeFinance 项目实施了退出骗局，EOA (0x185…fce) 获利 27 ETH（约 4.39 万美元）。

Paras

2023 年 9 月 3 日，NFT 市场 Paras 发推称其 Discord 遭到攻击，请勿点击链接、铸造或批准任何交易。

其他

BitBrowser

2023 年 8 月 26 日，比特浏览器用户私钥疑遭泄露，加密社区多位成员反映私钥被盗。根据社区反馈，我们收集到了部分黑客地址，初步评估该事件目前造成至少 52 万美元的损失。

截止目前，我们有如下发现：

1、攻击者在洗币过程中多次使用 FixedFloat, Binance, ChangeNOW, Socket 和 Railgun；

2、IP 147.*.*.198，疑似使用了 VPN，疑似有使用以色列语的习惯；

3、83 AVAX 已被冻结；

4、目前已有约 307.48 ETH（约 502,403 美元）转到混币平台 eXch，约占总被盗资金的 87%。

我们将持续监控资金转移情况，收集黑客线索，有相关信息欢迎联系我们进行反馈。

总结

本周相较前几周千万级损失降低了很多，但 Discord 被黑相关事件却只增不减。攻击者一般会在攻击前准备一个与官方非常相似的钓鱼网站，引诱项目管理员点击带有病毒的链接或通过恶意书签，获取相关 Token，接着获取项目 Discord 服务器的管理权限。攻击者在取得管理权限之后，一般会把所有频道禁言，并将自己的 Discord Bot 加入服务器。之后，便会通过 Discord Bot 在频道内发布钓鱼链接，利用 “claim”“airdrop”“mint”“reward” 等字眼诱导用户点击。同时，攻击者也会通过伪装管理员私信的方式进行钓鱼。

用户在加入 Discord 后要在隐私功能中禁止服务器中的用户进行私聊。同时建议大家对已经多方验证过的官方认证 Discord bot 设置备注，当黑客利用假认证的 bot 进行发布钓鱼的时候，就能进一步验证真假。项目方团队也要时刻关注社区用户的反馈，及时在社区 Discord 服务器中删除恶意账户，并在用户刚加入 Discord 服务器时进行防钓鱼的安全教育。

原文始发于微信公众号（慢雾科技）：一周动态 | Web3 安全事件总损失约 83 万美元