Back to Blog

每月安全審查:2024 年 2 月

March 1, 2024
5 min read

安全概覽 👀

2024 年 2 月,DeFi 漏洞攻擊造成了約 800 萬美元的損失。我們檢測到多項惡意提案,這為 DAO 敲響了警鐘。此外,Tornado Cash 前端發現的一個後門允許駭客竊取了超過 3200 枚以太幣。

DeFi 漏洞攻擊

  • Seneca 漏洞攻擊事件

2 月 29 日,以太坊和 Arbitrum 上的 Seneca 遭到攻擊,導致 600 萬美元的損失。根本原因是任意調用(arbitrary call)問題。DeFi 用戶應定期檢查授權並保持警惕!閱讀更多相關資訊

  • Blueberry 漏洞攻擊事件

2 月 23 日,以太坊上的 Blueberry 遭到攻擊,導致 140 萬美元的損失。根本原因是使用了不一致的代幣價格歸一化(token price normalization)邏輯,涉及價格來源與其各自的歸一化方法之間的不匹配。coffeebabe_eth 的 MEV 機器人成功搶先交易(front-run)了該攻擊並返還了 367 枚以太幣。閱讀更多相關資訊

  • DeezNutz_404 漏洞攻擊事件

2 月 22 日,以太坊上的 DeezNutz_404 遭到攻擊,總損失估計約為 17 萬美元。根本原因是由自我轉賬(self-transfer)引起的計算問題。ERC404 系列代幣已多次遭遇類似攻擊。請在投資時保持謹慎。閱讀更多相關資訊

  • Particle Trade 漏洞攻擊事件

2 月 15 日,以太坊上的 Particle Trade 遭到攻擊,損失約為 14 萬美元。根本原因是未驗證的用戶輸入閱讀更多相關資訊

  • CheckDot Protocol 惡意提案事件

2 月 1 日,一名惡意行為者向 Checkdot Protocol 提交了一項惡意提案,潛在損失為 12 萬美元。在我們通知 Checkdot 團隊後,他們承認了該威脅的嚴重性並進行了修復。

🚨 我們在 2 月檢測到多個惡意提案(例如 nounsbrLeagueDAOwearecultdao 等),並希望提醒 DAO 注意提案攻擊的風險。

👉 您可以在我們的安全事件列表 (Security Incidents List) 中查看上述事件的攻擊交易、根本原因和 PoC。

Seneca 漏洞攻擊事件的攻擊交易
Seneca 漏洞攻擊事件的攻擊交易

後門

  • Tornado Cash 前端後門事件

一名惡意開發者在 Tornado Cash 的前端植入了後門,竊取了存款人的憑證以及至少 3200 枚以太幣存款。Tornado Cash 被制裁後,該項目轉向了社區治理。自那時起,該項目屢遭提案攻擊。

部落格文章

2023 年十大「精彩」安全事件

"我們從歷史中學到的就是,我們從未從歷史中吸取教訓。" (What we learn from history is that we do not learn from history.)

在此部落格中,我們概述了 2023 年值得一提的十大安全事件及其原因。

對於每個安全事件,我們也在後續的獨立部落格文章中介紹了其根本原因和攻擊步驟。

揭秘 Puffer Protocol 中的存取控制機制

好奇 #PufferProtocol 是如何保護其資金安全的嗎?查看 BlockSec 對其存取控制架構的深入解析!了解管理超過 9 億美元資產的角色、智能合約和策略。知識就是力量!

BlockSec 對 L2 區塊鏈安全性的觀點與解決方案

在此部落格中,我們將首先系統地回顧 L2 區塊鏈的安全挑戰,然後提出我們的解決方案。

Podcast:BlockSec 如何即時攔截 1500 萬美元的 Web3 漏洞攻擊

我們的執行長 Andy Zhou 加入了 Scraping Bits Podcast 的主持人 DeGatchi 的節目,討論我們如何阻擋 Web3 攻擊。此部落格為 Podcast 內容的逐字稿。

令人興奮的合作

我們很高興宣布與 Puffer Finance(頂級再質押協議之一,TVL 為 4.61 億美元)合作進行全面審計

此外,我們正在將 Phalcon(我們的攻擊監控與攔截平台)整合到 Puffer 的協議中,以強化其安全措施。

活動

3 月 1 日至 9 日,BlockSec 團隊將開啟美國之行。

我們期待合作、交流以及所有與區塊鏈相關的事宜。DM 我們安排會面!

📍 第一站:#ETHDenver,3 月 1 日至 3 月 2 日

📍 第二站:矽谷 (Silicon Valley),3 月 3 日至 3 月 9 日

產品更新

2 月,我們舉辦了 Phalcon 3.0 線上研討會,並收集了用戶對 Phalcon 的寶貴回饋。

3 月,我們即將推出 Phalcon 3.0——這是一個新一代 SaaS 平台,專為協議、流動性提供者 (LP)/交易員、L1/L2 鏈以及交易所量身打造,可自動檢測並攔截駭客攻擊

做好準備迎接 Web3 安全革命吧!🚀


保持關注,保持安全!下次見!👋

Sign up for the latest updates
電子報 - 2026年6月
Security Insights

電子報 - 2026年6月

本月報告涵蓋2026年6月三起最大安全事件,確認損失合計約2200萬美元。一次精密蜜罐攻擊利用未受檢查的代幣授權,從JaredFromSubway的MEV機器人抽走約1500萬美元。兩個舊版Aztec rollup部署因證明結算邊界漏洞損失約435萬美元。SecondFi的Ed25519實現缺陷暴露錢包私鑰,導致374個錢包共損失約240萬美元。三起事件共同模式:表面完整但從未真正執行的安全保證。

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報
Security Insights

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報

本週區塊鏈安全報告涵蓋2026年6月22-28日兩起重大事件,以太坊和Cardano確認損失約410萬美元。Taiko橋接漏洞結合了外洩的SGX飛地簽名密鑰與不完整的認證策略,未能拒絕調試飛地,使攻擊者註冊惡意證明者並偽造L2狀態證明。SecondFi錢包漏洞源於Ed25519隨機數派生中的密碼學實現缺陷,移除了秘密輸入,可從Cardano公開交易數據離線恢復私鑰。

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報
Security Insights

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報

本週區塊鏈安全報告涵蓋2026年6月15日至21日,以太坊與BNB Chain共發生3起重大事件,總損失約1830萬美元。重點分析兩起事件:jaredFromSubway事件揭示反向授權攻擊模式——MEV機器人主動將資產授權給不可信第三方合約套利,攻擊者構造假包裝代幣與交易池,發出真實事件但從未消耗授權額度,損失約1500萬美元。Aztec三日內第二次漏洞:逃生艙ZK電路中`old_data_root`兩個見證值缺少相等約束,致使攻擊者可用偽造Merkle樹證明虛假票據所有權並通過鏈上驗證。