零時科技每月安全事件看點開始了!根據一些區塊鏈安全風險監測平台統計顯示,2025年4月加密貨幣領域因駭客攻擊、詐騙和漏洞利用損失約3.57億美元,其中絕大多數(3.18億美元)與網路釣魚攻擊有關。共發生17次駭客攻擊事件,造成約9,250萬美元的損失。其中大多數損失來自UPCX 和KiloEx 兩個平台,後者均被追回部分資金。
駭客攻擊方面
典型安全事件7起
(1) 4月1日,Upcx 官方地址疑似有未授權存取。攻擊者升級了「ProxyAdmin」合約,並呼叫「withdrawByAdmin」函數,從三個管理帳戶轉移了共1840 萬枚UPC(約7000 萬美元)。目前,這些資金仍存於另一個地址,尚未發生交換。 Upcx 官方已確認該事件,並表示「偵測到未經授權的活動」。
(2) 4月8日,據監測,一個MEV Bot(地址:0x49e27d11379f5208cbb2a4963b903fd65c95de09)因缺乏訪問控制,導致損失約116.7 枚ETH。
(3) 4月15日,去中心化的永續期貨交易所KiloEx 被攻擊,損失約740 萬美元,涉及BNB、Base 等多條鏈上資產。根據慢霧安全團隊分析,本次事件的根本原因在於KiloEx 的頂層合約(MinimalForwarder)缺乏存取控制檢查,從而導致預言機價格被操控。在專案方和慢霧等多方協作下,最終事件中受影響的資金已100% 成功追回。
(4) 4月15日,ZKsync 安全團隊發現了一個被盜用的管理員帳戶,該帳戶控制了價值約500萬美元的ZK 代幣(即ZKsync 空投中剩餘的未領取代幣)。調查顯示,作為三個空投分發合約的管理員帳戶已被盜用。被竊用的帳戶地址為: 0x842822c797049269A3c29464221995C56da5587D。
4月23日,在ZKsync 安全委員會提出「安全港」協議後,攻擊者歸還了全部資金,事件得以解決。
(5) 4月16日,R0AR 遭遇攻擊,損失約78 萬美元。根據分析,本次被攻擊的根本原因在於合約中存在後門。在部署過程中,R0ARStaking 合約透過直接修改儲存槽,篡改了某個指定位址的餘額(user.amount)。隨後,攻擊者利用緊急提現函數將合約中的全部資金提取走。 R0AR 在推文中表示:目前我們認為這並非一次外部攻擊。初步調查顯示,資金被竊事件背後似乎是一名惡意開發者所為,該開發者並非R0AR 核心團隊成員。目前他已被移除出項目,所有權限也已撤銷。
(6) 4月24日,根據監測,ACB 似在BSC 上遭攻擊,損失約2.2 萬美元。
(7) 4月27日,基於Solana 建構的模組化DeFi 貸款市場Loopscale 遭遇攻擊,因RateX PT 代幣定價函數被操縱,導致約570 萬枚USDC 和1,200 枚SOL 被盜,佔平台總資金約12%。本次攻擊的根本原因已確認,系Loopscale 針對RateX-based collateral 定價機制存在孤立性問題。 4月29日,Loopscale 推特發文稱,經過成功的談判,4 月26 日從Loopscale 協議中提取的所有資金(5,726,725 USDC + 1,211 SOL)現已歸還。
Rug Pull / 釣魚詐騙
典型安全事件4起
(1) 4月6日,0x3822 開頭地址在簽署「批准」網路釣魚交易而損失了128,434 美元。
(2) 4月17日,0xc1e 開頭地址在簽署多個「允許」網路釣魚簽名而損失了666,414 美元。
(3) 4月22日,0x7C93 開頭地址在簽署惡意「許可」簽名後損失了234K 美元(2.65 aArbWBTC)。
(4) 4月22日,0xa574 開頭地址在簽署多個網路釣魚簽名後,受害者遺失了價值$1.43M 的代幣。
總結
4月損失較3月顯著成長。大部分非法所得源自於單一事件,攻擊者用複雜社會工程手段從錢包竊取3520 枚比特幣。此外,去中心化交易所KiloEX因「價格預言機漏洞」損失750 萬美元,Loopscale 被盜580 萬,以太坊擴容協議ZKsync 空投合約遭抽走近530 萬美元,不過這三家平台都已從白帽黑客處追回資金。以太坊再次成為最被攻擊的網絡,佔當月總損失的60%
目前網路釣魚攻擊肆虐,零時科技安全團隊鄭重提示:加密企業與投資人在轉帳作業前,必須仔細核驗網址與智慧合約真偽。同時,建議採用冷錢包存放資產,並避免在社群媒體曝光持股狀況,築牢資產安全防線。此外也需做好內部安全訓練和權限管理,在專案上線前尋找專業的安全公司進行審計並做好專案背景調查。
