撰文：Beosin

本研究报告由区块链安全联盟发起，由联盟成员Beosin、FootprintAnalytics共同创作，旨在全面探讨2024年全球区块链安全态势发展。通过对全球区块链安全现状的分析和评估，报告将揭示当前面临的安全挑战和威胁，并提供解决方案和最佳实践。

通过这份报告，读者将能够更全面地了解Web3区块链安全态势的动态演变。这将有助于读者评估和应对区块链领域所面临的安全挑战。此外，读者还可以从报告中获得有关安全措施和行业发展方向的有益建议，以帮助他们在这一新兴领域中做出明智的决策和行动。区块链安全和监管是Web3时代发展的关键问题。通过深入研究和探讨，我们可以更好地理解和应对这些挑战，推动区块链技术的安全性和可持续发展。

据安全审计公司Beosin旗下Alert平台监测，2024年Web3领域因黑客攻击、钓鱼诈骗和项目方RugPull造成的总损失达到了25.13亿美元。其中主要攻击事件131起，总损失金额约17.92亿美元；项目方RugPull事件68起，总损失约1.48亿美元；钓鱼诈骗总损失金额约5.74亿美元。

2024年，黑客攻击、钓鱼诈骗金额较2023年均有明显上升，其中钓鱼诈骗相比2023年激增140.66%。项目方RugPull事件的损失金额显著下降，下降了约61.94%。

2024年被攻击的项目类型包括DeFi、CEX、DEX、公链、跨链桥、钱包、支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV机器人、TG机器人等多种类型。DeFi为被攻击频次最高的项目类型，75次针对DeFi的攻击共造成损失约3.90亿美元。CEX为总损失金额最高的项目类型，10次针对CEX的攻击共造成损失约7.24亿美元。

2024年发生攻击事件的公链类型更多，出现多起在多条链上被盗的安全事件。Ethereum依旧是损失金额最高的公链，66次Ethereum上的攻击事件造成了约8.44亿美元的损失，占到了全年总损失的33.57%。

从攻击手法来看，35次私钥泄露事件共造成约13.06亿美元的损失，占总损失的51.96%，是造成损失最多的攻击方式。

合约漏洞利用是出现频次最高的攻击方式，131起攻击事件里，有76次来自于合约漏洞利用，占比达到了58.02%。

全年约5.31亿美元的被盗资金被追回，占比约21.13%。全年约有1.09亿美元的被盗资金转入了混币器，约占总被盗资金的4.34%，相比2023年下降约66.97%。

2024年共发生损失过亿的攻击事件5起：DMMBitcoin（3.04亿美元）、PlayDapp（2.90亿美元）、WazirX（2.35亿美元）、GalaGames（2.16亿美元）和ChrisLarsen被盗（1.12亿美元）。前10大安全事件总损失金额约为14.17亿美元，约占年度攻击事件总金额的79.07%。

损失金额：3.04亿美元

攻击方式：私钥泄露

2024年5月31日，日本加密货币交易所DMMBitcoin遭到攻击，价值超3亿美元的比特币被盗。黑客把盗取的资金分散到10多个地址试图清洗。

损失金额：2.90亿美元

攻击方式：私钥泄露

2024年2月9日，区块链游戏平台PlayDapp遭到攻击，黑客铸造了20亿个PLA代币，价值3650万美元。在与PlayDapp的谈判失败后，2月12日，黑客又铸造了159亿枚PLA代币，价值2.539亿美元，并向Gate交易所发送了部分资金。PlayDapp项目团队随后暂停了PLA合约，并将PLA代币迁移至PDA代币。

损失金额：2.35亿美元

攻击方式：网络攻击与钓鱼

2024年7月18日，印度加密货币交易所WazirX的一个多签钱包被盗超过2.3亿美元。该多签钱包为Safewallet智能合约钱包。攻击者诱导多签签名者签署了合约升级交易，攻击者通过升级后的合约直接转移了钱包中的资产，最终将约超过2.3亿美元的资产全部转出。

损失金额：2.16亿美元

攻击方式：访问控制漏洞

2024年5月20日，GalaGames某一特权地址被控制，攻击者通过该地址调用代币的mint函数直接铸造了50亿枚GALA代币，价值约2.16亿美元，并且分批次将增发的代币兑换为ETH。随后，GalaGames团队使用黑名单功能阻止黑客，并追回了损失。

损失金额：1.12亿美元

攻击方式：私钥泄露

2024年1月31日，Ripple的联合创始人克里斯·拉森（ChrisLarsen）表示，他的四个钱包遭到入侵，导致总计损失约1.12亿美元。币安团队成功冻结了价值420万美元的被盗XRP代币。

损失金额：6250万美元

攻击方式：社会工程学攻击

2024年3月26日，基于Blast的Web3游戏平台Munchables遭遇攻击，损失约6250万美元。该项目之所以遭到攻击，是因为聘用了朝鲜黑客作为开发人员。所有被盗资金最终都被黑客归还。

损失金额：5500万美元

攻击方式：私钥泄露

2024年6月22日，土耳其加密货币交易所BTCTurk遭到攻击，损失约5500万美元。币安协助冻结了超过530万美元的被盗资金。

损失金额：5300万美元

攻击方式：私钥泄露

2024年10月17日，多链借贷协议RadiantCapital被攻击，攻击者非法获取了RadiantCapital多签钱包中3个所有者的权限。由于该多签钱包采用3/11的签名验证模式，攻击者利用这3个私钥进行链下签名，随后发起链上交易，将RadiantCapital合约的所有权转移至攻击者控制的恶意合约，造成超过5300万美元的损失。

损失金额：4470万美元

攻击方式：合约漏洞

2024年4月19日，HedgeyFinance被攻击者发起了多次攻击。攻击者利用代币批准漏洞，盗取了ClaimCampaigns合约中的大量代币，其中Ethereum链盗取的代币价值超过210万美元，Arbitrum链盗取的代币价值约4260万美元。

损失金额：4470万美元

攻击方式：私钥泄露

2024年9月19日，BingX交易所热钱包遭到黑客攻击。虽然BingX启动应急预案，包括紧急转移资产和暂停提现，但据Beosin统计，此次热钱包异常流出资产的总损失高达4470万美元，被盗资产涉及Ethereum、BNBChain、Tron、Polygon、Avalanche、Base等多条区块链。

2024年被攻击的项目类型除了DeFi、CEX、DEX、公链、跨链桥、钱包等常见类型外，还出现在支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV机器人、TG机器人等多种项目类型上。

2024年DeFi项目攻击事件75次，是被攻击次数最多（约50.70%）的项目类型。DeFi攻击总损失金额约3.90亿美元，约占所有损失金额的15.50%，是损失金额第4多的项目类型。

损失金额排在第1位的是CEX（中心化交易所），10次攻击共造成约7.24亿美元的损失，是损失金额最多的项目类型。综合看来，交易所类型在2024年安全事件频发，交易所安全依然是Web3生态最大的挑战。

损失金额第2多的为个人钱包，总损失约4.45亿美元。12次针对加密巨鲸的攻击以及大量针对普通用户的钓鱼攻击和社会工程学攻击，让个人钱包的总损失金额相比2023年激增464.72%，成为继交易所安全之后的第二大挑战。

和2023年相比，2024年发生攻击事件的公链类型也更加广泛。按损失金额排名前五的分别是Ethereum、Bitcoin、Arbitrum、Ripple、Blast：

按攻击事件次数排名前六的分别是Ethereum、BNBChain、Arbitrum、Others、Base、Solana：

和2023年相同的是，Ethereum依旧是损失金额最高的公链。66次Ethereum上的攻击事件造成了约8.44亿美元的损失，占到了全年总损失的33.59%。

注：该总损失数据未包括链上钓鱼损失与部分CEX热钱包损失

Bitcoin网络损失排在第2位，单次安全事件损失达到了2.38亿美元。第三位的是Arbitrum，总损失约为1.14亿美元。

2024年的攻击方式非常多样化，除常见的合约漏洞攻击外，还有多种攻击方式，包括：供应链攻击、第三方服务商攻击、中间人攻击、DNS攻击、前端攻击等。

2024年，35次私钥泄露事件共造成13.06亿美元的损失，占总损失的51.96%，是造成损失最多的攻击方式。造成较大损失的私钥泄露事件有：DMMBitcoin（3.04亿美元）、PlayDapp（2.90亿美元）、Ripple联合创始人克里斯·拉森（1.12亿美元）、BTCTurk（5500万美元）、RadiantCapital（5300万美元）、BingX（4470万美元）、DEXX（2100万美元）。

合约漏洞利用是出现频次最高的攻击方式，131起攻击事件里，有76次来自于合约漏洞利用，占比达到了58.02%。合约漏洞造成的总损失约为3.21亿美元，排在损失金额的第3位。

按照漏洞细分，出现频次最高、造成损失最多的为业务逻辑漏洞，合约漏洞事件里约有53.95%的损失金额来自业务逻辑漏洞，共造成损失约1.58亿美元。

2024年11月17日，据BeosinAlert监控预警发现FTM链上借贷协议PolterFinance遭受攻击，攻击者通过闪电贷操纵项目合约中代币价格进行获利。

本次事件被攻击的LendingPool合约(0xd47ae558623638f676c1e38dad71b53054f54273)使用0x6808b5ce79d44e89883c5393b487c4296abb69fe作为预言机，该预言机使用的是近期部署的喂价合约（0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe）。这个喂价合约使用可被攻击者用于闪电贷的uniswapV2_pair（0xEc71）合约中的代币储备来计算价格，因此该合约存在价格操纵攻击漏洞。

攻击者利用闪电贷虚假推高$BOO代币价值，借出其它加密资产。随后，被盗资金被攻击者转换成FTM代币，然后跨链到ETH链，将所有资金都存放在ETH链上。以下是ARB链和ETH链上的资金流动过程示意图：

11月20日，攻击者持续向TornadoCash转移了超过2625枚ETH，如下图所示：

2024年2月23日，知名链上侦探ZachXBT通过其分析工具披露，BitForex的热钱包出现了约5650万美元的资金流出，并且在这一过程中，平台暂停了提款服务。

Beosin安全团队通过Trace对BitForex事件进行了深入追踪分析：

Ethereum

Bitforex交易所在2024年2月24日6:11(UTC+8)开始陆续将40,771USDT、258,700USDC、148.01ETH和471,405TRB转入Ethereum跑路地址（0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f）。

随后在北京时间8月9日跑路地址将除了TRB以外的代币（包括147.9ETH、40,771USDT和258,700USDC）全部转回Bitforex交易所账户（0xcce7300829f49b8f2e4aee6123b12da64662a8b8）。

接着在北京时间11月9日至11月10日跑路地址通过7笔交易将355,000TRB转入四个不同的OKX交易所用户地址：

0x274c481bf400c2abfd2b5e648a0056ef34970b0a

0x45798ca76a589647acc21040c50562dcc33cf6bf

0x712d2fd67fe65510c5fad49d5a9181514d94183d

0xe8ec263ad9ee6947bf773837a2c86dff3a737bba

随后跑路地址地址将剩余全部116,414.93TRB转入一个中转地址（0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e）后由该地址分两笔将全部TRB转入了两个不同的币安交易所用户：

0x431c916ef45e660dae7cd7184e3226a72fa50c0c

0xe7b1fb77baaa3bba9326af2af3cd5857256519df

BNBChain

2月24日Bitforex交易所提币166ETH、46,905USDT和57,810USDC至BNBChain地址（0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f）至今沉淀。

Polygon

北京时间2月24日Bitforex交易所提币99,000MATIC、20,300USDT和1,700USDC至POL链地址：0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f。

其中99000MATIC于8月9日转入地址0xcce7300829f49b8f2e4aee6123b12da64662a8b8至今沉淀，其余USDT和USDC代币至今沉淀。

TRON

2月24日Bitforex交易所提币44,000TRX和657,698USDT至TRON链地址TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o。8月9日将上述代币全部转移回Bitforex交易所用户地址：TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo。

Bitcoin

2月24日开始陆续有16个Bitforex地址将共计5.7BTC转入BTC链地址3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2。该地址于8月9日将5.7BTC全部转回Bitforex交易所地址：11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz。

综上，Bitforex交易所在2月24日将40,771USDT、258,700USDC、148.01ETH和471,405TRB转入ETH链；将44,000TRX和657,698USDT转入TRON链；将5.7BTC转入BTC链；将166ETH、46,905USDT和57,810USDC转入BNBChain；将99,000MATIC、20,300USDT和1,700USDC转入Polygon链。并于8月9日将BTC链全部代币、TRON链全部代币、ETH链除TRB代币转移回Bitforex交易所，于11月9日、10日将全部471,405TRB转入4个OKX账户和2个Binance账户。至此ETH链、TRON链和BTC链所有代币已全部转移，BSC上有166ETH、46,905USDT和57,810USDC沉淀，POL上有99,000MATIC、20,300USDT和1,700USDC沉淀。

附充值TRB交易所地址：

2024年全年被盗的资金中，约有13.12亿美元还保留在黑客地址（包括通过跨链转出和分散到多个地址的情况），占总被盗资金的52.20%。与去年相比，今年黑客更倾向于用多次跨链进行洗钱，并将被盗资金分散到很多地址上，而非直接使用混币器。地址增加、洗钱路径变复杂，这无疑为项目方和监管机构增加了调查难度。

约5.31亿美元的被盗资金被追回，占比约21.13%。而在2023年，追回的资金约为2.95亿美元。

全年约有1.09亿美元的被盗资金转入了混币器，约占总被盗资金的4.34%。自2022年8月美国OFAC制裁TornadoCash以来，被盗资金转入TornadoCash的金额大幅降低。

131起攻击事件里，有42起事件的项目方没有经过审计，78起事件的项目方经过了审计，11起事件的项目方审计情况无法确认。

42个没有经过审计的项目中，合约漏洞事件占了30起（约71.43%）。这表明，没有经过审计的项目更容易存在潜在的安全风险。相比之下，78个经过审计的项目中，合约漏洞事件占了49起（约62.82%）。这显示出审计在一定程度上能够提高项目的安全性。

然而，由于Web3市场缺乏完善的规范标准，导致审计质量参差不齐，最终呈现的结果远未达到预期。为了有效保障资产安全，建议项目在上线之前务必寻找专业的安全公司进行审计。

2024年，BeosinAlert平台共监测到Web3生态主要RugPull事件68起，总涉及金额约为1.48亿美元，较2023年的3.88亿美元有大幅下降。

从金额上看，68起RugPull事件中，涉及金额在百万美元以上的共9个项目，分别为EssenceFinance（2000万美元），ShidoGlobal（240万美元），ETHTrustFund（220万美元），Nexera（180万美元），GrandBase（170万美元），SAGAToken（160万美元），OrdiZK（140万美元），MangoFarmSOL（129万美元）和RiskOnBlast（125万美元），损失金额共3364万美元，占所有RugPull事件损失金额的22.73%。

Ethereum和BNBChain上的RugPull项目占到了总数量的82.35%，分别为24起和32起，Scroll上发生了1起超过2000万美元的RugPull。其它公链发生过小数量的RugPull事件，包括：Polygon、BASE、Solana等。

2024年，链上黑客攻击活动、项目方RugPull事件次数均较2023年有了明显下降，但损失金额仍在增加，并且钓鱼攻击更加猖獗。损失最高的攻击手法依然为私钥泄露。造成这一转变的主要原因包括：

在去年猖獗的黑客活动之后，今年整个Web3生态更加注重安全性，从项目方到安全公司都在各个方面做出了努力，如实时链上监控、更加注重安全审计、从过往合约漏洞利用事件中积极汲取经验，导致黑客通过合约漏洞盗取资金比去年变得困难。然而，项目方还需在私钥保管与项目运营安全方面加强安全意识。

随着加密市场与传统市场的融合，黑客不再局限于攻击DeFi、跨链桥、交易所等类型，而是转向攻击支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV机器人、TG机器人等多种目标。

2024-2025年，加密市场进入牛市，链上资金活跃，在一定程度上将吸引更多的黑客攻击。此外，各地区针对加密资产的监管政策在逐渐完善，以打击各类使用加密资产进行的犯罪活动。在这样的趋势下，预计2025年黑客攻击活动将持续处于高位，全球执法机构和监管部门依然面临严峻的挑战。