加密月報：1月份資金安全損失約9800萬美元，同比、環比均大幅下降

零時科技每月安全事件看點開始了！據一些區塊鏈安全風險監測平臺統計顯示，2025年1月因漏洞、黑客和詐騙造成的損失約為9800萬美元，發生28次加密貨幣黑客攻擊，其中約800萬美元歸因於網絡釣魚。但相比2024年1月的1.33億美元損失，下降44.6%。較24年12月份的2,358萬美元損失下降了56%。

黑客攻擊方面

典型安全事件7 起

(1) 1月8日，Orange Finance（Arbitrum 上的 DeFi 協議）的用戶被盜取了超過 80 萬美元。攻擊者能夠訪問該協議的管理密鑰，並利用這些密鑰對該協議的合約執行惡意升級，從而竊取所有對該協議擁有有效代幣批准的用戶的錢包。

(2) 1月8日，Moby 發生了一起私鑰洩露事件，影響了某些協議中的部分 LP 資產。他們表示這不是與協議智能合約相關的安全問題，而是黑客試圖通過使用被盜的代理私鑰簡單地升級現有智能合約來竊取資金。最後，tonykebot 利用 UUPS 實施中缺乏保護的情況，實施了一次成功的白帽救援行動，將此前攻擊鏈上期權協議 Moby 黑客獲取的 147 萬枚 USDC 返還給了項目所有者。

(3) 1月13日，據零時科技安全團隊監測，EVM 鏈上的 UniLend 遭攻擊，損失約 19.7 萬美元本次漏洞的成因是 Unilend 在進行 redeem 時，在計算抵押物的數量時沒有減去 redeem 應該轉出的數量，導致錯誤的計算後抵押物的數量要高於攻擊者實際擁有的抵押物的數量，本不應該成功的兌換成功完成。最終導致攻擊者掏空了項目方的 stETH 代幣。

詳細攻擊分析可點此鏈接：

零時科技 || Unilend 攻擊事件分析

(4) 1月15日，零時科技項目團隊監測到多起針對 Ethereum 鏈上項目 Sorra 攻擊事件，攻擊共造成 41, 000 USD 的損失。本次漏洞的成因是 Sorra 項目方在用戶 withdraw 時，沒有判斷用戶是否已經提取過了 reward ，導致用戶可以通過大量的操作重複提取 reward 。攻擊者利用上述漏洞發起多次交易，將 Sorra 項目中的 SOR Token 全部提取。

詳細攻擊分析可點此鏈接：

零時科技 || SorraStaking 攻擊事件分析

(5) 1月21日，Forta 檢測到了 TheIdolsNFT 上價值 32.4 萬美元的漏洞。

(6) 1月23日，總部位於新加坡的 Phemex 加密貨幣交易所的熱錢包被攻擊，導致約 7 千萬美元的損失。

(7) 1月24日，據慢霧安全團隊監測，由於 ODOS 缺乏輸入驗證，該漏洞已在多個鏈上被利用，損失約 10 萬美元。ODOS 發推表示此次攻擊利用了其經過審計的 executor 合約中的一個漏洞，竊取了存儲在合約中的收入，但未影響任何用戶資金。

Rug Pull / 釣魚詐騙

典型安全事件10起

(1) 1月2日，一名 $VIRTUAL 持有者持有約 39 倍（$196,396）的代幣，因“增加限額”網絡釣魚交易而丟失了所有代幣。

(2) 1月3日，一名 $RLB 持有者因“Uniswap Permit2”網絡釣魚簽名丟失了價值約 100 萬美元的所有代幣。

(3) 1月6日，0x5167 開頭地址因簽署“增加津貼”網絡釣魚交易後損失了價值 155,256 美元的 EIGEN。

(4) 1月7日，0x8536 開頭地址在簽署“Uniswap Permit2”網絡釣魚交易後損失了價值 103,020 美元的代幣。

(5) 1月8日，0x3402 開頭地址在簽署多個網絡釣魚簽名後損失了價值 474,422 美元的 $OLAS、$SEKOIA、$VIRTUAL 和 $FJO。

(6) 1月14日，0x00c0 開頭地址在簽署網絡釣魚交易後損失了價值 263,255 美元的$VIRTUAL。

(7) 1月17日，0x80dc 開頭地址在簽署了“許可證”網絡釣魚簽名後損失了價值 426,106 美元的 USUALUSDC+。

(8) 1月20日，0x1e70 開頭地址在簽署“允許”網絡釣魚簽名後損失了價值 135,068 美元的 WETH。

(9) 1月22日，0x3149 開頭地址在簽署“轉賬”網絡釣魚交易後損失了價值 553,045 美元的 $XG。

(10) 1月29日，0xeb2 開頭地址在簽署“increaseApproval”網絡釣魚交易後損失了價值 384,645 美元的 $LINK。

總結

1月份加密貨幣釣魚詐騙從 9,220 名受害者那裡竊取了 1,025 萬美元，較12月份的 2,358 萬美元損失下降了 56% 。然而，不法分子正在不斷進化並採用更復雜的攻擊手段。

零時科技安全團隊建議項目方始終保持警惕，提醒廣大用戶謹防釣魚攻擊。建議用戶在參與項目前充分了解項目的背景、團隊，謹慎選擇投資項目。此外也需做好內部安全培訓和權限管理，在項目上線前尋找專業的安全公司進行審計並做好項目背景調查。