Figure 1:Total Count of Security Incidents in 2024Q1
Figure 2:Total Loss of Security Incidents in 2024Q1
2024年Q1黑客攻击共发生60起,同比2023年Q1增加140%,损失金额达到3.85亿美元,占比为83%(如图3),相对2023年Q1(3.62亿)同比上升6.35%。Rug Pull共发生127起,同比2023年Q1(30起)激增323.33%,损失金额却下滑59.44%,共计821万美元,占整个Q1损失金额的2%。钓鱼攻击在Q1总共发生93起,同比有所增加,损失金额约6866万美元,占比约15%。
Figure 3:Amount of Loss by Attack Type in 2024Q1
Figure 4:Amount of Count by Attack Type in 2024Q1
将Q1分月来看(如图5),1月的损失最为严重,超过2.50亿美元,远高于2月(7142万美元)和3月(1.40亿美元)。其中1月发生安全事件88起,略高于2月的72起,略低于3月的120起,可见1月单次安全事件的损失金额最高。造成1月损失严重的攻击手段是黑客攻击,总共发生20起黑客攻击,造成2.17亿美元的损失。与此同时,1月钓鱼攻击也呈现高发状态,总共发生39起钓鱼攻击,但损失金额相对最低,共计2915万美元。2月整体安全事件发生频次和损失金额相对1月和3月均处于较低水平。
Figure 6:Overview of Rugpull & Scam by Month in 2024Q1 2.3 钓鱼攻击如下图(图7)所示,钓鱼攻击在1月发生频率最高共39起,造成损失金额约2915万美元;2月发生频率最低共21起,造成损失金额约1134万美元。SharkTeam提醒大家,牛市中市场活跃,空投机会也多,但大家要提高警惕,避免被Angel Drainer、Pink Drainer等活跃的钓鱼团伙攻击,转账和授权时一定要仔细检查交易信息。
Figure 7:Overview of Phishing by Month in 2024Q1 三、典型案例分析3.1 合约精度计算漏洞与安全建议2024年1月30日,MIM_SPELL遭受闪电贷攻击,因为精度计算漏洞,损失650万美元。被攻击原因是项目方的智能合约在进行借贷变量计算时精度出现了漏洞,使得关键变量elastic和base值被操纵后比例失衡,导致计算抵押物和借贷数量时出现问题,最终超额借出MIM代币。被攻击合约(0x7259e1520)中borrow函数和repay函数在对elastic和base两个变量进行计算时,都采用了向上取整的方式。