Relatório mensal de encriptação: Perda de segurança financeira de aproximadamente 98 milhões de dólares em janeiro, com uma queda acentuada em relação ao ano anterior e ao mês anterior
A Zero Tech destaca os eventos de segurança mensais! De acordo com estatísticas de algumas plataformas de monitoramento de riscos de segurança de blockchain, em janeiro de 2025, as perdas devido a vulnerabilidades, Hackers e fraudes totalizaram cerca de 98 milhões de dólares, com 28 ataques de criptografiaHacker, dos quais cerca de 8 milhões de dólares foram atribuídos a Phishing. No entanto, em comparação com as perdas de 133 milhões de dólares em janeiro de 2024, houve uma redução de 44,6%. Em relação às perdas de 23,58 milhões de dólares em dezembro de 24, houve uma redução de 56%.
Hacker攻击方面
Evento de segurança típico7ocorreu
(1) Em 8 de janeiro, os usuários da Orange Finance (protocolo DeFi na Arbitrum) foram roubados em mais de 800.000 dólares. Os invasores conseguiram acessar as chaves de gerenciamento desse protocolo e usá-las para executar atualizações maliciosas nos contratos do protocolo, roubando as carteiras de todos os usuários que possuíam tokens aprovados válidos para esse protocolo.
! [Relatório mensal de encriptação: perdas de segurança financeira em janeiro de aproximadamente US $ 98 milhões, uma diminuição significativa em relação ao mesmo período do ano anterior e em relação ao mês anterior] (https://img.gateio.im/social/moments-04527721f515ac240d463ee5c3f8b47c)
(2) Em 8 de janeiro, ocorreu um incidente de vazamento de chave privada do Moby, afetando parte dos ativos LP em alguns protocolos. Eles afirmam que isso não é um problema de segurança relacionado ao contrato inteligente do protocolo, mas sim uma tentativa do Hacker de roubar fundos simplesmente atualizando o contrato inteligente existente usando a chave privada roubada do proxy. No final, tonykebot aproveitou a falta de proteção na implementação do UUPS e realizou com sucesso uma operação de resgate white hat, devolvendo os 1,47 milhões de USDC previamente obtidos pelo Hacker do protocolo de opções na cadeia ao proprietário do projeto.
(3) Em 13 de janeiro, de acordo com a equipe de segurança da Zero Hour Technology, UniLend na cadeia EVM foi atacado, resultando em uma perda de cerca de US $ 197.000. A causa desse problema foi que, ao resgatar, a UniLend não subtraiu a quantidade a ser resgatada ao calcular a quantidade de garantia, resultando em um cálculo incorreto e uma quantidade de garantia maior do que a quantidade real de garantia que o atacante possuía, o que não deveria ter sido bem-sucedido na troca. Isso acabou esvaziando o token stETH do projeto.
Análise detalhada do ataque pode ser encontrada neste link:
Análise do incidente de ataque à Unilend da ZeroTech
Em 15 de janeiro, a equipe do projeto Zero Hour Technology detectou vários ataques contra o projeto Sorra na cadeia Ethereum, causando uma perda total de 41.000 USD. A causa dessa vulnerabilidade é que o Sorra não verifica se o usuário já retirou sua recompensa ao solicitar um saque, permitindo que o usuário retire a recompensa repetidamente por meio de muitas operações. Os atacantes aproveitaram essa vulnerabilidade para realizar várias transações e retirar todos os tokens SOR do projeto Sorra.
Análise detalhada do ataque pode ser encontrada neste link:
Análise do incidente de ataque SorraStaking da Zero Hour Technology
(5) Em 21 de janeiro, Forta descobriu uma falha no TheIdolsNFT no valor de $324,000.
(6) Em 23 de janeiro, a carteira quente da bolsa de criptomoedas Phemex, sediada em Singapura, foi atacada, resultando em cerca de 70 milhões de dólares em perdas.
(7) Em 24 de janeiro, de acordo com a equipe de segurança da SlowMist, devido à falta de validação de entrada do ODOS, essa vulnerabilidade foi explorada em várias cadeias, resultando em perdas de cerca de 10 mil dólares. O ODOS publicou um tweet afirmando que o ataque explorou uma falha no contrato executor auditado, roubando a receita armazenada no contrato, mas não afetou os fundos de nenhum usuário.
( Rug Pull / Phishing
Evento de segurança típico10ocorrências
)1### Em 2 de janeiro, um detentor de $VIRTUAL perdeu todos os tokens devido a uma transação de phishing de 'aumento de limite', que representava cerca de 39 vezes ($196.396).
(2) 3 de janeiro, um detentor de $RLB perdeu cerca de US$ 1 milhão em todos os tokens devido à assinatura de phishing "Uniswap Permit2".
(3) Em 6 de janeiro, o endereço que começa com 0x5167 perdeu 155.256 dólares em EIGEN devido a uma transação de Phishing que assinou 'aumento de subsídio'.
(4) Em 7 de janeiro, um endereço começando com 0x8536 perdeu tokens no valor de 103.020 dólares após assinar uma transação de phishing 'Uniswap Permit2'.
Em 8 de janeiro, o endereço que começa com 0x3402 perdeu o valor de $OLAS, $SEKOIA, $VIRTUAL e $FJO no valor de $474.422 após assinar vários Phishing.
(6) Em 14 de janeiro, um endereço começando com 0x00c0 perdeu $VIRTUAL no valor de 263.255 dólares após assinar uma transação de Phishing.
Em 17 de janeiro, o endereço que começa com 0x80dc perdeu o valor de 426.106 dólares em USUALUSDC+ depois de assinar a assinatura de 'licença' Phishing.
(8) 20 de janeiro, 0x1e70 endereços perderam US$ 135.068 em WETH depois de assinar a assinatura "Permitir" Phishing.
(9) Em 22 de janeiro, o endereço que começa com 0x3149 perdeu $XG no valor de 553.045 dólares após assinar uma transação de phishing de "transferência".
Em janeiro, os golpes de phishing de criptomoeda roubaram 10,25 milhões de dólares de 9.220 vítimas, uma redução de 56% em relação aos 23,58 milhões de dólares perdidos em dezembro. No entanto, os criminosos estão constantemente evoluindo e adotando métodos de ataque mais complexos.
A equipa de segurança da Zero Hour Technology recomenda que os promotores do projeto permaneçam vigilantes e alertem os utilizadores para se protegerem contra ataques de phishing. Os utilizadores são aconselhados a compreender plenamente o histórico e a equipa do projeto antes de participarem no mesmo, e a escolher cuidadosamente os projetos de investimento. Além disso, é necessário realizar formação interna de segurança e gestão de permissões, e contratar uma empresa de segurança profissional para auditar o projeto e realizar uma investigação aprofundada antes do lançamento do projeto.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Relatório mensal de encriptação: Perda de segurança financeira de aproximadamente 98 milhões de dólares em janeiro, com uma queda acentuada em relação ao ano anterior e ao mês anterior
A Zero Tech destaca os eventos de segurança mensais! De acordo com estatísticas de algumas plataformas de monitoramento de riscos de segurança de blockchain, em janeiro de 2025, as perdas devido a vulnerabilidades, Hackers e fraudes totalizaram cerca de 98 milhões de dólares, com 28 ataques de criptografiaHacker, dos quais cerca de 8 milhões de dólares foram atribuídos a Phishing. No entanto, em comparação com as perdas de 133 milhões de dólares em janeiro de 2024, houve uma redução de 44,6%. Em relação às perdas de 23,58 milhões de dólares em dezembro de 24, houve uma redução de 56%.
Hacker攻击方面
Evento de segurança típico7 ocorreu
(1) Em 8 de janeiro, os usuários da Orange Finance (protocolo DeFi na Arbitrum) foram roubados em mais de 800.000 dólares. Os invasores conseguiram acessar as chaves de gerenciamento desse protocolo e usá-las para executar atualizações maliciosas nos contratos do protocolo, roubando as carteiras de todos os usuários que possuíam tokens aprovados válidos para esse protocolo.
! [Relatório mensal de encriptação: perdas de segurança financeira em janeiro de aproximadamente US $ 98 milhões, uma diminuição significativa em relação ao mesmo período do ano anterior e em relação ao mês anterior] (https://img.gateio.im/social/moments-04527721f515ac240d463ee5c3f8b47c)
(2) Em 8 de janeiro, ocorreu um incidente de vazamento de chave privada do Moby, afetando parte dos ativos LP em alguns protocolos. Eles afirmam que isso não é um problema de segurança relacionado ao contrato inteligente do protocolo, mas sim uma tentativa do Hacker de roubar fundos simplesmente atualizando o contrato inteligente existente usando a chave privada roubada do proxy. No final, tonykebot aproveitou a falta de proteção na implementação do UUPS e realizou com sucesso uma operação de resgate white hat, devolvendo os 1,47 milhões de USDC previamente obtidos pelo Hacker do protocolo de opções na cadeia ao proprietário do projeto.
(3) Em 13 de janeiro, de acordo com a equipe de segurança da Zero Hour Technology, UniLend na cadeia EVM foi atacado, resultando em uma perda de cerca de US $ 197.000. A causa desse problema foi que, ao resgatar, a UniLend não subtraiu a quantidade a ser resgatada ao calcular a quantidade de garantia, resultando em um cálculo incorreto e uma quantidade de garantia maior do que a quantidade real de garantia que o atacante possuía, o que não deveria ter sido bem-sucedido na troca. Isso acabou esvaziando o token stETH do projeto.
Análise detalhada do ataque pode ser encontrada neste link:
Análise do incidente de ataque à Unilend da ZeroTech
Em 15 de janeiro, a equipe do projeto Zero Hour Technology detectou vários ataques contra o projeto Sorra na cadeia Ethereum, causando uma perda total de 41.000 USD. A causa dessa vulnerabilidade é que o Sorra não verifica se o usuário já retirou sua recompensa ao solicitar um saque, permitindo que o usuário retire a recompensa repetidamente por meio de muitas operações. Os atacantes aproveitaram essa vulnerabilidade para realizar várias transações e retirar todos os tokens SOR do projeto Sorra.
Análise detalhada do ataque pode ser encontrada neste link:
Análise do incidente de ataque SorraStaking da Zero Hour Technology
(5) Em 21 de janeiro, Forta descobriu uma falha no TheIdolsNFT no valor de $324,000.
(6) Em 23 de janeiro, a carteira quente da bolsa de criptomoedas Phemex, sediada em Singapura, foi atacada, resultando em cerca de 70 milhões de dólares em perdas.
(7) Em 24 de janeiro, de acordo com a equipe de segurança da SlowMist, devido à falta de validação de entrada do ODOS, essa vulnerabilidade foi explorada em várias cadeias, resultando em perdas de cerca de 10 mil dólares. O ODOS publicou um tweet afirmando que o ataque explorou uma falha no contrato executor auditado, roubando a receita armazenada no contrato, mas não afetou os fundos de nenhum usuário.
( Rug Pull / Phishing
Evento de segurança típico10ocorrências
)1### Em 2 de janeiro, um detentor de $VIRTUAL perdeu todos os tokens devido a uma transação de phishing de 'aumento de limite', que representava cerca de 39 vezes ($196.396).
(2) 3 de janeiro, um detentor de $RLB perdeu cerca de US$ 1 milhão em todos os tokens devido à assinatura de phishing "Uniswap Permit2".
(3) Em 6 de janeiro, o endereço que começa com 0x5167 perdeu 155.256 dólares em EIGEN devido a uma transação de Phishing que assinou 'aumento de subsídio'.
(4) Em 7 de janeiro, um endereço começando com 0x8536 perdeu tokens no valor de 103.020 dólares após assinar uma transação de phishing 'Uniswap Permit2'.
Em 8 de janeiro, o endereço que começa com 0x3402 perdeu o valor de $OLAS, $SEKOIA, $VIRTUAL e $FJO no valor de $474.422 após assinar vários Phishing.
(6) Em 14 de janeiro, um endereço começando com 0x00c0 perdeu $VIRTUAL no valor de 263.255 dólares após assinar uma transação de Phishing.
Em 17 de janeiro, o endereço que começa com 0x80dc perdeu o valor de 426.106 dólares em USUALUSDC+ depois de assinar a assinatura de 'licença' Phishing.
(8) 20 de janeiro, 0x1e70 endereços perderam US$ 135.068 em WETH depois de assinar a assinatura "Permitir" Phishing.
(9) Em 22 de janeiro, o endereço que começa com 0x3149 perdeu $XG no valor de 553.045 dólares após assinar uma transação de phishing de "transferência".
1月29日,0xeb2 开头地址在签署“increaseApproval”Phishing交易后损失了价值 384,645 美元的 $LINK。
( Resumo
Em janeiro, os golpes de phishing de criptomoeda roubaram 10,25 milhões de dólares de 9.220 vítimas, uma redução de 56% em relação aos 23,58 milhões de dólares perdidos em dezembro. No entanto, os criminosos estão constantemente evoluindo e adotando métodos de ataque mais complexos.
A equipa de segurança da Zero Hour Technology recomenda que os promotores do projeto permaneçam vigilantes e alertem os utilizadores para se protegerem contra ataques de phishing. Os utilizadores são aconselhados a compreender plenamente o histórico e a equipa do projeto antes de participarem no mesmo, e a escolher cuidadosamente os projetos de investimento. Além disso, é necessário realizar formação interna de segurança e gestão de permissões, e contratar uma empresa de segurança profissional para auditar o projeto e realizar uma investigação aprofundada antes do lançamento do projeto.