Beosin：2024年Web3区块链安全态势年报

前言

本研究报告由区块链安全联盟发起，由联盟成员 Beosin、Footprint Analytics 共同创作，旨在全面探讨 2024 年全球区块链安全态势发展。通过对全球区块链安全现状的分析和评估，报告将揭示当前面临的安全挑战和威胁，并提供解决方案和最佳实践。

通过这份报告，读者将能够更全面地了解Web3区块链安全态势的动态演变。这将有助于读者评估和应对区块链领域所面临的安全挑战。此外，读者还可以从报告中获得有关安全措施和行业发展方向的有益建议，以帮助他们在这一新兴领域中做出明智的决策和行动。区块链安全和监管是Web3时代发展的关键问题。通过深入研究和探讨，我们可以更好地理解和应对这些挑战，推动区块链技术的安全性和可持续发展。

1、 2024 年 Web3区块链安全态势综述

据安全审计公司 Beosin 旗下 Alert 平台监测，2024 年 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 25.13 亿美元。其中主要攻击事件 131 起，总损失金额约 17.92 亿美元；项目方 Rug Pull 事件 68 起，总损失约 1.48 亿美元；钓鱼诈骗总损失金额约 5.74 亿美元。

2024 年，黑客攻击、钓鱼诈骗金额较 2023 年均有明显上升，其中钓鱼诈骗相比 2023 年激增 140.66% 。项目方 Rug Pull 事件的损失金额显著下降，下降了约 61.94% 。

2024 年被攻击的项目类型包括 DeFi、CEX、DEX、公链、跨链桥、钱包、支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV 机器人、TG 机器人等多种类型。DeFi 为被攻击频次最高的项目类型，75 次针对 DeFi 的攻击共造成损失约 3.90 亿美元。CEX 为总损失金额最高的项目类型， 10 次针对 CEX 的攻击共造成损失约 7.24 亿美元。

2024 年发生攻击事件的公链类型更多，出现多起在多条链上被盗的安全事件。Ethereum 依旧是损失金额最高的公链，66 次 Ethereum 上的攻击事件造成了约 8.44 亿美元的损失，占到了全年总损失的 33.57 %。

从攻击手法来看，35 次私钥泄露事件共造成约 13.06 亿美元的损失，占总损失的 51.96 %，是造成损失最多的攻击方式。

合约漏洞利用是出现频次最高的攻击方式，131 起攻击事件里，有 76 次来自于合约漏洞利用，占比达到了 58.02 %。

全年约 5.31 亿美元的被盗资金被追回，占比约 21.13 %。全年约有 1.09 亿美元的被盗资金转入了混币器，约占总被盗资金的 4.34 %，相比 2023 年下降约 66.97 %。

2、 2024 Web3生态十大安全事件

2024 年共发生损失过亿的攻击事件 5 起：DMM Bitcoin（3.04 亿美元）、PlayDapp（2.90 亿美元）、WazirX（2.35 亿美元）、Gala Games（2.16 亿美元） 和 Chris Larsen 被盗（1.12 亿美元）。前 10 大安全事件总损失金额约为 14.17 亿美元，约占年度攻击事件总金额的 79.07 %。

No.1 DMM Bitcoin

损失金额： 3.04 亿美元

攻击方式：私钥泄露

2024 年 5 月 31 日，日本加密货币交易所 DMM Bitcoin 遭到攻击，价值超 3 亿美元的比特币被盗。黑客把盗取的资金分散到 10 多个地址试图清洗。

No.2 PlayDapp

损失金额： 2.90 亿美元

攻击方式：私钥泄露

2024 年 2 月 9 日，区块链游戏平台 PlayDapp 遭到攻击，黑客铸造了 20 亿个 PLA 代币，价值 3650 万美元。在与 PlayDapp 的谈判失败后， 2 月 12 日，黑客又铸造了 159 亿枚 PLA 代币，价值 2.539 亿美元，并向 Gate 交易所发送了部分资金。PlayDapp 项目团队随后暂停了 PLA 合约，并将 PLA 代币迁移至 PDA 代币。

No.3 WazirX

损失金额： 2.35 亿美元

攻击方式：网络攻击与钓鱼

2024 年 7 月 18 日，印度加密货币交易所 WazirX 的一个多签钱包被盗超过 2.3 亿美元。该多签钱包为 Safe wallet 智能合约钱包。攻击者诱导多签签名者签署了合约升级交易，攻击者通过升级后的合约直接转移了钱包中的资产， 最终将约超过 2.3 亿美元的资产全部转出。

No.4 Gala Games

损失金额： 2.16 亿美元

攻击方式：访问控制漏洞

2024 年 5 月 20 日，Gala Games 某一特权地址被控制，攻击者通过该地址调用代币的 mint 函数直接铸造了 50 亿枚 GALA 代币，价值约 2.16 亿美元，并且分批次将增发的代币兑换为 ETH。随后，Gala Games 团队使用黑名单功能阻止黑客，并追回了损失。

No.5 Chris Larsen (Ripples co-founder)

损失金额： 1.12 亿美元

攻击方式：私钥泄露

2024 年 1 月 31 日，Ripple 的联合创始人克里斯·拉森（Chris Larsen）表示，他的四个钱包遭到入侵，导致总计损失约 1.12 亿美元。币安团队成功冻结了价值 420 万美元的被盗 XRP 代币。

No.6 Munchables

损失金额： 6250 万美元

攻击方式：社会工程学攻击

2024 年 3 月 26 日，基于 Blast 的Web3游戏平台 Munchables 遭遇攻击，损失约 6250 万美元。该项目之所以遭到攻击，是因为聘用了朝鲜黑客作为开发人员。所有被盗资金最终都被黑客归还。

No.7 BTCTurk

损失金额： 5500 万美元

攻击方式：私钥泄露

2024 年 6 月 22 日，土耳其加密货币交易所 BTCTurk 遭到攻击，损失约 5500 万美元。币安协助冻结了超过 530 万美元的被盗资金。

No.8 Radiant Capital

损失金额： 5300 万美元

攻击方式：私钥泄露

2024 年 10 月 17 日，多链借贷协议 Radiant Capital 被攻击，攻击者非法获取了 Radiant Capital 多签钱包中 3 个所有者的权限。由于该多签钱包采用 3/11 的签名验证模式，攻击者利用这 3 个私钥进行链下签名，随后发起链上交易，将 Radiant Capital 合约的所有权转移至攻击者控制的恶意合约，造成超过 5300 万美元的损失。

No.9 Hedgey Finance

损失金额： 4470 万美元

攻击方式：合约漏洞

2024 年 4 月 19 日，Hedgey Finance 被攻击者发起了多次攻击。攻击者利用代币批准漏洞，盗取了 ClaimCampaigns 合约中的大量代币，其中 Ethereum 链盗取的代币价值超过 210 万美元，Arbitrum 链盗取的代币价值约 4260 万美元。

No.10 BingX

损失金额： 4470 万美元

攻击方式：私钥泄露

2024 年 9 月 19 日，BingX 交易所热钱包遭到黑客攻击。虽然 BingX 启动应急预案，包括紧急转移资产和暂停提现，但据 Beosin 统计，此次热钱包异常流出资产的总损失高达 4470 万美元，被盗资产涉及 Ethereum、BNB Chain、Tron、Polygon、Avalanche、Base 等多条区块链。

3、被攻击项目类型

2024 年被攻击的项目类型除了 DeFi、CEX、DEX、公链、跨链桥、钱包等常见类型外，还出现在支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV 机器人、TG 机器人等多种项目类型上。

2024 年 DeFi 项目攻击事件 75 次，是被攻击次数最多（约 50.70% ）的项目类型。DeFi 攻击总损失金额约 3.90 亿美元，约占所有损失金额的 15.50 %，是损失金额第 4 多的项目类型。

损失金额排在第 1 位的是 CEX（中心化交易所）， 10 次攻击共造成约 7.24 亿美元的损失，是损失金额最多的项目类型。综合看来，交易所类型在 2024 年安全事件频发，交易所安全依然是Web3生态最大的挑战。

损失金额第 2 多的为个人钱包，总损失约 4.45 亿美元。12 次针对加密巨鲸的攻击以及大量针对普通用户的钓鱼攻击和社会工程学攻击，让个人钱包的总损失金额相比 2023 年激增 464.72% ，成为继交易所安全之后的第二大挑战。

4、各链损失金额情况

和 2023 年相比， 2024 年发生攻击事件的公链类型也更加广泛。按损失金额排名前五的分别是 Ethereum、Bitcoin、Arbitrum、Ripple、Blast：

按攻击事件次数排名前六的分别是

Ethereum、BNB Chain、Arbitrum、Others、Base、Solana：

和 2023 年相同的是，Ethereum 依旧是损失金额最高的公链。66 次 Ethereum 上的攻击事件造成了约 8.44 亿美元的损失，占到了全年总损失的 33.59% 。

注：该总损失数据未包括链上钓鱼损失与部分 CEX 热钱包损失 

Bitcoin 网络损失排在第 2 位，单次安全事件损失达到了 2.38 亿美元。第三位的是 Arbitrum，总损失约为 1.14 亿美元。

5、攻击手法分析

2024 年的攻击方式非常多样化，除常见的合约漏洞攻击外，还有多种攻击方式，包括：供应链攻击、第三方服务商攻击、中间人攻击、DNS 攻击、前端攻击等。

2024 年， 35 次私钥泄露事件共造成 13.06 亿美元的损失，占总损失的 51.96 %，是造成损失最多的攻击方式。造成较大损失的私钥泄露事件有：DMM Bitcoin（3.04 亿美元）、PlayDapp（2.90 亿美元）、Ripple 联合创始人克里斯·拉森（1.12 亿美元）、BTCTurk（5500 万美元）、Radiant Capital（5300 万美元）、BingX（4470 万美元）、DEXX（2100 万美元）。

合约漏洞利用是出现频次最高的攻击方式， 131 起攻击事件里，有 76 次来自于合约漏洞利用，占比达到了 58.02 %。合约漏洞造成的总损失约为 3.21 亿美元，排在损失金额的第 3 位。

按照漏洞细分，出现频次最高、造成损失最多的为业务逻辑漏洞，合约漏洞事件里约有 53.95% 的损失金额来自业务逻辑漏洞，共造成损失约 1.58 亿美元。

6、反洗钱典型事件分析

6.1  Polter Finance 安全事件

事件概要

2024 年 11 月 17 日，据 Beosin Alert 监控预警发现 FTM 链上借贷协议 Polter Finance 遭受攻击，攻击者通过闪电贷操纵项目合约中代币价格进行获利。

漏洞与资金分析

本次事件被攻击的 LendingPool 合约(0x d 47 ae 558623638 f 676 c 1 e 38 dad 71 b 53054 f 54273)使用0x 6808 b 5 ce 79 d 44 e 89883 c 5393 b 487 c 4296 abb 69 fe 作为预言机，该预言机使用的是近期部署的喂价合约（0x 80663 edff 11 e 99 e 8 e 0 b 34 cb 9 c 3 e 1 ff 32 e 82 a 80 fe）。这个喂价合约使用可被攻击者用于闪电贷的 uniswap V2_pair（0x Ec 71）合约中的代币储备来计算价格，因此该合约存在价格操纵攻击漏洞。

攻击者利用闪电贷虚假推高$BOO 代币价值，借出其它加密资产。随后，被盗资金被攻击者转换成 FTM 代币，然后跨链到 ETH 链，将所有资金都存放在 ETH 链上。以下是 ARB 链和 ETH 链上的资金流动过程示意图：

11 月 20 日，攻击者持续向 Tornado Cash 转移了超过 2625 枚 ETH，如下图所示：

6.2 BitForex 安全事件

事件概要

2024 年 2 月 23 日，知名链上侦探 ZachXBT 通过其分析工具披露，BitForex 的热钱包出现了约 5650 万美元的资金流出，并且在这一过程中，平台暂停了提款服务。

资金分析

Beosin 安全团队通过 Trace 对 BitForex 事件进行了深入追踪分析：

Ethereum

Bitforex 交易所在 2024 年 2 月 24 日 6: 11 (UTC+ 8) 开始陆续将 40, 771 USDT、 258, 700 USDC、 148.01 ETH 和 471, 405 TRB 转入 Ethereum 跑路地址（0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f）。

随后在北京时间 8 月 9 日跑路地址将除了 TRB 以外的代币（包括 147.9 ETH、 40, 771 USDT 和 258, 700 USDC）全部转回 Bitforex 交易所账户（0xcce7300829f49b8f2e4aee6123b12da64662a8b8）。

接着在北京时间 11 月 9 日至 11 月 10 日跑路地址通过 7 笔交易将 355, 000 TRB 转入四个不同的 OKX 交易所用户地址：

0x274c481bf400c2abfd2b5e648a0056ef34970b0a

0x45798ca76a589647acc21040c50562dcc33cf6bf

0x712d2fd67fe65510c5fad49d5a9181514d94183d

0xe8ec263ad9ee6947bf773837a2c86dff3a737bba

随后跑路地址地址将剩余全部 116, 414.93 TRB 转入一个中转地址（0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e）后由该地址分两笔将全部 TRB 转入了两个不同的币安交易所用户：

0x431c916ef45e660dae7cd7184e3226a72fa50c0c

0x e 7 b 1 fb 77 baaa 3 bba 9326 af 2 af 3 c d5 857256519 df

BNB Chain

2 月 24 日 Bitforex 交易所提币 166 ETH、 46, 905 USDT 和 57, 810 USDC 至 BNB Chain 地址（0x dcacd 7 eb 669 2b 816 b 6957 f 8898 c 1 c 4 b 6 3d 1 fc 01 f）至今沉淀。

Polygon

北京时间 2 月 24 日 Bitforex 交易所提币 99, 000 MATIC、 20, 300 USDT 和 1, 700 USDC 至 POL 链地址：0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f。

其中 99000 MATIC 于 8 月 9 日转入地址0x cce 7300829 f 49 b 8 f 2 e 4 aee 6123 b 1 2d a 64662 a 8 b 8 至今沉淀，其余 USDT 和 USDC 代币至今沉淀。

TRON

2 月 24 日 Bitforex 交易所提币 44, 000 TRX 和 657, 698 USDT 至 TRON 链地址 TQcnqaU 4 NDTR 86 eA 4 FZneeKfJMiQi 7 i 76 o。8 月 9 日将上述代币全部转移回 Bitforex 交易所用户地址：TGiTEXjqx 1 C 2 Y 2 ywp 7 gTR 8 aYGv 8 rztn 9 uo。

Bitcoin

2 月 24 日开始陆续有 16 个 Bitforex 地址将共计 5.7 BTC 转入 BTC 链地址3D bbF 7 yxCR 7 ni 94 ANrRkf V1 2 rJoxrmo 1 o 2 。该地址于 8 月 9 日将 5.7 BTC 全部转回 Bitforex 交易所地址： 11 dxPFQ 8 K 9 pJefffHE 4 HUwb 2 aprzLUqxz。

综上，Bitforex 交易所在 2 月 24 日将 40, 771 USDT、 258, 700 USDC、 148.01 ETH 和 471, 405 TRB 转入 ETH 链；将 44, 000 TRX 和 657, 698 USDT 转入 TRON 链；将 5.7 BTC 转入 BTC 链；将 166 ETH、 46, 905 USDT 和 57, 810 USDC 转入 BNB Chain；将 99, 000 MATIC、 20, 300 USDT 和 1, 700 USDC 转入 Polygon 链。并于 8 月 9 日将 BTC 链全部代币、TRON 链全部代币、ETH 链除 TRB 代币转移回 Bitforex 交易所，于 11 月 9 日、 10 日将全部 471, 405 TRB 转入 4 个 OKX 账户和 2 个 Binance 账户。至此 ETH 链、TRON 链和 BTC 链所有代币已全部转移，BSC 上有 166 ETH、 46, 905 USDT 和 57, 810 USDC 沉淀，POL 上有 99, 000 MATIC、 20, 300 USDT 和 1, 700 USDC 沉淀。

附充值 TRB 交易所地址：

7、被盗资产的资金流向分析

2024 年全年被盗的资金中，约有 13.12 亿美元还保留在黑客地址（包括通过跨链转出和分散到多个地址的情况），占总被盗资金的 52.20 %。与去年相比，今年黑客更倾向于用多次跨链进行洗钱，并将被盗资金分散到很多地址上，而非直接使用混币器。地址增加、洗钱路径变复杂，这无疑为项目方和监管机构增加了调查难度。

约 5.31 亿美元的被盗资金被追回，占比约 21.13 %。而在 2023 年，追回的资金约为 2.95 亿美元。

全年约有 1.09 亿美元的被盗资金转入了混币器，约占总被盗资金的 4.34 %。自 2022 年 8 月美国 OFAC 制裁 Tornado Cash 以来，被盗资金转入 Tornado Cash 的金额大幅降低。

8、项目审计情况分析

131 起攻击事件里，有 42 起事件的项目方没有经过审计， 78 起事件的项目方经过了审计， 11 起事件的项目方审计情况无法确认。

42 个没有经过审计的项目中，合约漏洞事件占了 30 起（约 71.43 %）。这表明，没有经过审计的项目更容易存在潜在的安全风险。相比之下， 78 个经过审计的项目中，合约漏洞事件占了 49 起（约 62.82 %）。这显示出审计在一定程度上能够提高项目的安全性。

然而，由于Web3市场缺乏完善的规范标准，导致审计质量参差不齐，最终呈现的结果远未达到预期。为了有效保障资产安全，建议项目在上线之前务必寻找专业的安全公司进行审计。

9、Rug Pull 分析

2024 年，Beosin Alert 平台共监测到 Web3 生态主要 Rug Pull 事件 68 起，总涉及金额约为 1.48 亿美元，较 2023 年的 3.88 亿美元有大幅下降。

从金额上看， 68 起 Rug Pull 事件中，涉及金额在百万美元以上的共 9 个项目，分别为 Essence Finance（2000 万美元），Shido Global（240 万美元），ETHTrustFund（220 万美元），Nexera（180 万美元），Grand Base（170 万美元），SAGA Token（160 万美元），OrdiZK（140 万美元），MangoFarmSOL（129 万美元）和 RiskOnBlast（125 万美元），损失金额共 3364 万美元，占所有 Rug Pull 事件损失金额的 22.73% 。

Ethereum 和 BNB Chain 上的 Rug Pull 项目占到了总数量的 82.35 %，分别为 24 起和 32 起，Scroll 上发生了 1 起超过 2000 万美元的 Rug Pull。其它公链发生过小数量的 Rug Pull 事件，包括：Polygon、BASE、Solana 等。

10、 2024 Web3区块链安全态势总结

2024 年，链上黑客攻击活动、项目方 Rug Pull 事件次数均较 2023 年有了明显下降，但损失金额仍在增加，并且钓鱼攻击更加猖獗。损失最高的攻击手法依然为私钥泄露。造成这一转变的主要原因包括：

在去年猖獗的黑客活动之后，今年整个Web3生态更加注重安全性，从项目方到安全公司都在各个方面做出了努力，如实时链上监控、更加注重安全审计、从过往合约漏洞利用事件中积极汲取经验，导致黑客通过合约漏洞盗取资金比去年变得困难。然而，项目方还需在私钥保管与项目运营安全方面加强安全意识。

随着加密市场与传统市场的融合，黑客不再局限于攻击 DeFi、跨链桥、交易所等类型，而是转向攻击支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV 机器人、TG 机器人等多种目标。

2024-2025 年，加密市场进入牛市，链上资金活跃，在一定程度上将吸引更多的黑客攻击。此外，各地区针对加密资产的监管政策在逐渐完善，以打击各类使用加密资产进行的犯罪活动。在这样的趋势下，预计 2025 年黑客攻击活动将持续处于高位，全球执法机构和监管部门依然面临严峻的挑战。