每月安全審查：2024 年 2 月

March 1, 2024

5 min read

安全概覽 👀

2024 年 2 月，DeFi 漏洞攻擊造成了約 800 萬美元的損失。我們檢測到多項惡意提案，這為 DAO 敲響了警鐘。此外，Tornado Cash 前端發現的一個後門允許駭客竊取了超過 3200 枚以太幣。

DeFi 漏洞攻擊

Seneca 漏洞攻擊事件

2 月 29 日，以太坊和 Arbitrum 上的 Seneca 遭到攻擊，導致 600 萬美元的損失。根本原因是任意調用（arbitrary call）問題。DeFi 用戶應定期檢查授權並保持警惕！閱讀更多相關資訊。

Blueberry 漏洞攻擊事件

2 月 23 日，以太坊上的 Blueberry 遭到攻擊，導致 140 萬美元的損失。根本原因是使用了不一致的代幣價格歸一化（token price normalization）邏輯，涉及價格來源與其各自的歸一化方法之間的不匹配。coffeebabe_eth 的 MEV 機器人成功搶先交易（front-run）了該攻擊並返還了 367 枚以太幣。閱讀更多相關資訊。

DeezNutz_404 漏洞攻擊事件

2 月 22 日，以太坊上的 DeezNutz_404 遭到攻擊，總損失估計約為 17 萬美元。根本原因是由自我轉賬（self-transfer）引起的計算問題。ERC404 系列代幣已多次遭遇類似攻擊。請在投資時保持謹慎。閱讀更多相關資訊。

Particle Trade 漏洞攻擊事件

2 月 15 日，以太坊上的 Particle Trade 遭到攻擊，損失約為 14 萬美元。根本原因是未驗證的用戶輸入。閱讀更多相關資訊。

CheckDot Protocol 惡意提案事件

2 月 1 日，一名惡意行為者向 Checkdot Protocol 提交了一項惡意提案，潛在損失為 12 萬美元。在我們通知 Checkdot 團隊後，他們承認了該威脅的嚴重性並進行了修復。

We thwarted a sneaky attack on @Checkdot_proto and kept users' assets safe. The team acknowledged the severity of the threat as critical and has implemented a fix.

Here's a breakdown of the incident.
— BlockSec Phalcon (@Phalcon_xyz) February 4, 2024

🚨 我們在 2 月檢測到多個惡意提案（例如 nounsbr、LeagueDAO、wearecultdao 等），並希望提醒 DAO 注意提案攻擊的風險。

👉 您可以在我們的安全事件列表 (Security Incidents List) 中查看上述事件的攻擊交易、根本原因和 PoC。

Seneca 漏洞攻擊事件的攻擊交易

後門

Tornado Cash 前端後門事件

一名惡意開發者在 Tornado Cash 的前端植入了後門，竊取了存款人的憑證以及至少 3200 枚以太幣存款。Tornado Cash 被制裁後，該項目轉向了社區治理。自那時起，該項目屢遭提案攻擊。

部落格文章

2023 年十大「精彩」安全事件

"我們從歷史中學到的就是，我們從未從歷史中吸取教訓。" (What we learn from history is that we do not learn from history.)

在此部落格中，我們概述了 2023 年值得一提的十大安全事件及其原因。

對於每個安全事件，我們也在後續的獨立部落格文章中介紹了其根本原因和攻擊步驟。

揭秘 Puffer Protocol 中的存取控制機制

好奇 #PufferProtocol 是如何保護其資金安全的嗎？查看 BlockSec 對其存取控制架構的深入解析！了解管理超過 9 億美元資產的角色、智能合約和策略。知識就是力量！

BlockSec 對 L2 區塊鏈安全性的觀點與解決方案

在此部落格中，我們將首先系統地回顧 L2 區塊鏈的安全挑戰，然後提出我們的解決方案。

Podcast：BlockSec 如何即時攔截 1500 萬美元的 Web3 漏洞攻擊

我們的執行長 Andy Zhou 加入了 Scraping Bits Podcast 的主持人 DeGatchi 的節目，討論我們如何阻擋 Web3 攻擊。此部落格為 Podcast 內容的逐字稿。

令人興奮的合作

我們很高興宣布與 Puffer Finance（頂級再質押協議之一，TVL 為 4.61 億美元）合作進行全面審計。

此外，我們正在將 Phalcon（我們的攻擊監控與攔截平台）整合到 Puffer 的協議中，以強化其安全措施。

活動

3 月 1 日至 9 日，BlockSec 團隊將開啟美國之行。

我們期待合作、交流以及所有與區塊鏈相關的事宜。DM 我們安排會面！

📍 第一站：#ETHDenver，3 月 1 日至 3 月 2 日

📍 第二站：矽谷 (Silicon Valley)，3 月 3 日至 3 月 9 日

產品更新

2 月，我們舉辦了 Phalcon 3.0 線上研討會，並收集了用戶對 Phalcon 的寶貴回饋。

3 月，我們即將推出 Phalcon 3.0——這是一個新一代 SaaS 平台，專為協議、流動性提供者 (LP)/交易員、L1/L2 鏈以及交易所量身打造，可自動檢測並攔截駭客攻擊。

做好準備迎接 Web3 安全革命吧！🚀

保持關注，保持安全！下次見！👋

損失約 1.046 億美元：Verus、RetoSwap 及其他項目 | BlockSec 每週快報

May 27 2026Security Insights

損失約 1.046 億美元：Verus、RetoSwap 及其他項目 | BlockSec 每週快報

本期BlockSec安全週報回顧5/18至5/24期間5起安全事件，總損失約1.046億美元。重點分析Verus-EVM橋因類型驗證失敗遭駭（1170萬美元）及RetoSwap協議認證漏洞（270萬美元）；其餘EchoProtocol、Polymarket與StablR涉及約9020萬美元損失。

損失 472 萬美元：TAC、Transit Finance 及更多項目 | BlockSec 每週快報

May 19 2026Security Insights

損失 472 萬美元：TAC、Transit Finance 及更多項目 | BlockSec 每週快報

本期BlockSec安全週報涵蓋5月11日至17日期間發生在TRON、TON及Ethereum上的3起安全事件，總損失約472萬美元。報告深入分析了涉及Transit Finance（188萬美元）、TAC跨鏈橋（280萬美元）及Boost Hook（4.675萬美元）的攻擊手法，包括合約授權漏洞、跨鏈驗證缺失及價格操縱問題。

損失 1590 萬美元：Trusted Volumes、Wasabi 及更多安全事件 | BlockSec 每週快訊

May 14 2026Security Insights

損失 1590 萬美元：Trusted Volumes、Wasabi 及更多安全事件 | BlockSec 每週快訊

本期BlockSec雙週安全報告涵蓋4月27日至5月10日於Sui、Ethereum等鏈上發生的11起攻擊，總損失約1,590萬美元。重點分析三起事件：Aftermath Finance因費用驗證漏洞損失114萬美元；Trusted Volumes因授權錯誤損失587萬美元；以及Wasabi Protocol受控權遭破解損失570萬美元。