Nov 8 2024

非法资金流动案例分析：$55M DAI钓鱼事件

事件背景

2024年8月20日，以太坊上的一起钓鱼交易获利超过了5400万稳定币DAI。被抽空资金的地址是一个vault，由地址0xf2b8在2020年建立并由Gemini提供资金支持。网络钓鱼者诱骗受害者（该vault的原所有者）签名并发送了钓鱼交易，将vault的所有权更改为钓鱼者控制的地址。随后，钓鱼者然后又通过执行一笔交易将vault内的资金转出。

钓鱼地址（钓鱼者诱骗受害者将vault的所有权更改为该地址）: 0x0000db5c8b030ae20308ac975898e09741e70000
抽空vault的地址（vault资金流向该地址）: 0x5D4b2A02c59197eB2cAe95A6Df9fE27af60459d4
改变vault所有权的交易: 0x2805, 0xb721
抽空vault的交易: 0xf700

使用 Metasleuth 进行资金流分析

2024年8月20日，受害vault的原所有者被诱骗签署了一笔交易，将vault的所有权更改为网络钓鱼者控制的一个地址。大约5小时后，网络钓鱼者又发起了一笔交易，将所有权进一步更改为一个新的地址。在新地址获得对vault的完全控制约20分钟后，该地址签署了一笔交易，将vault中的5500万DAI提取一空。

随后不到两小时，所有非法获得的DAI代币都被转移到钓鱼者控制的下游地址，最初提取非法资金的地址0x5D4b中已经不剩任何资金。一共有6个下游地址直接与地址0x5D4b相连（即与该初始地址相距一跳）。其中，大部分DAI代币（约4400万）直接被转移到更深的下游地址，而另外的1000万DAI被swap为原生代币（3880枚）ETH，并转移到地址0x8cc5。用于swap的去中心化交易协议是CoW Protocol: GPv2Settlement，对应的交易是0x7c63。

下面是从初始地址到第一层下游地址的资金转移图，包含DAI的直接流动和swap成的ETH的流动：

在将非法资金转移到第一层下游地址后，钓鱼者开始分批将资金进一步转移到更深层的洗钱地址。在转移过程中，下游地址持有的DAI被逐渐swap为ETH。当非法资金到达与初始地址相隔4跳的下游地址时，所有被盗的DAI已经完全通过各种AMM兑换成了ETH，后续的资金流动全部以ETH转移的形式呈现。最终，这些非法资金以ETH的形式流入了中心化交易所（eXch、KuCoin、ChangeNOW）和跨链桥（THORChain、Hop Protocol）（点击名称可查看这些提现地址。）以下是部分将非法收益存入eXch的交易示例：0x2e42，0xa982，0x1e1e，0xb7a9。以下是部分将非法收益转移至THORChain的交易示例：0x5c06，0xf824，0x391e

下图是部分资金从第二层洗钱地址(距离初始攻击地址两跳)到第五层洗钱地址(距离初始攻击地址五跳)的转移路径：

在将非法收益转移至深层下游地址的过程中，最长的转移路径达到了12跳，约8万美元的资金被转移至交易所KuCoin 17。如下方的资金流向图所示，在2024年8月21日至22日期间，攻击者通过12跳路径逐步将38枚ETH转移至该中心化交易所。

钓鱼者在转移资金的过程中表现出一个特点：即为了避免因大额转账而引起过多关注，他们通常会将大笔资金拆分到多个地址，再通过较小的转账金额将资产转移到更深层的地址。下面是钓鱼者将165万DAI拆分成36笔小额交易的例子，拆分由位于第一层的地址0x860c处理：

一些相关的洗钱地址和交易

地址	交易	非法资金流
0x860cf33bdc076f42edbc66c6fec30aa9ee99f073	0xa11e, 0x9ef1	1,650,000 DAI
0xdd6397104d57533e507bd571ac88c4b24852bce9	0x7af2, 0x1d45	36,733,858 DAI
0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc	0x7e10, 0x5d08	3879 ETH + 1,825,000 DAI
0xca6061c6e5a7c3657297f9cc45ce110dc4d14470	0xee0d	875 ETH
0x77b9f7e33e42b1f64b915bb27e9a9bca199da83e	0xf97a, 0xbc5c	2164 ETH

使用 Metasleuth 构建的详细资金流转移图：

在 Metasleuth 中详细探索整个非法资金流动: https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595

Feb 9 2026

#1 Cetus Incident: One Unchecked Shift Drains $223M in the Largest DeFi Hack of 2025

Cetus Protocol, the largest concentrated-liquidity DEX on Sui, was exploited on May 22, 2025, resulting in an estimated ~$223M loss across multiple liquidity pools. The attacker leveraged a flaw in checked_shlw(), a custom overflow-prevention helper used in fixed-point u256 math, where an incorrect constant and comparison failed to block unsafe left shifts and caused silent truncation of high bits during liquidity delta calculations. By crafting specific liquidity and tick/price-range parameters, the exploit made required deposits appear near-zero while minting an oversized liquidity position, which was later withdrawn to drain real pool reserves.

Feb 9 2026

#2 Bybit Incident: A Web2 Breach Enables the Largest Crypto Hack in History

The largest crypto hack ever, the February 21, 2025 Bybit breach stole about $1.5B after attackers used social engineering to compromise a Safe{Wallet} workflow, injected malicious JavaScript into an AWS S3 bucket, tampered with the transaction signing process, and upgraded Bybit’s Safe{Wallet} contract to a malicious implementation that drained funds across multiple chains.

Feb 4 2026

Weekly Web3 Security Incident Roundup | Jan 25 – Feb 1, 2026

During the week of January 25 to February 1, 2026, six blockchain security incidents were reported with total losses of ~$18.05M. These involved improper input validation, token design flaws, key compromises, and business logic errors across DeFi protocols on multiple chains. The primary causes included unchecked user inputs enabling arbitrary calls, flawed burn mechanisms allowing price manipulation, compromised developer tools, and missing solvency checks in lending functions.