零时科技 || 3 月安全事件共造成约 2.18 亿美元损失，较 2 月损失金额明显上升

2023 年 3 月安全事件共造成约 2.18 亿美元损失，与上个月相比，本月安全事件数量和损失金额均有显著上升。其中，Euler Finance 被黑客攻击，导致 1.97 亿美元的加密货币被盗，这是今年迄今为止加密货币损失金额最大的一次黑客攻击。此外，3 月诈骗跑路事件涉及金额达到了 660 万美元。

本月损失的主要金额来自于 3 月 13 日 Euler Finance 遭受攻击损失的 1.97 亿美元，截至目前，攻击者已退还其中 1.5 亿美元的资金。第二大攻击事件为 SafeMoon 项目在升级后引入了任意销毁代币的漏洞，损失金额达到了 890 万美元。本月发生了两起较为典型的针对个人用户的钓鱼事件，损失金额均在百万美元以上。

01

DeFi 方面安全事件

No.1  3 月 6 日，PeopleDAO 在通过 Google Form 收集月度贡献者奖励时，被黑客通过社会工程攻击盗取 76 枚 ETH（约 12 万美元）。

No.2   3 月 7 日，借贷协议 Tender.Fi 由于新的预言机合约中存在算法问题遭受攻击，被盗 158 万美元。

No.3   3 月 9 日，攻击者对 Hedera 主网的智能合约服务代码进行攻击，获利约 60 万美元。

No.4   3 月 13 日，DeFi 借贷协议 Euler Finance 遭到闪电贷攻击，损失达到了 1.97 亿美元。截止 3 月 28 日，攻击者已退还至少 1.5 亿美元的资金。

No.5   3 月 15 日，DeFi 协议 Poolz Finance 在 ETH、BSC 和 Polygon 链上遭受攻击，损失约 50 万美元。

No.6   3 月 22 日，Nuwa 项目遭到 Mev 机器人的抢跑攻击，损失约 11 万美元。

No.7   3 月 29 日，BSC 链上 SafeMoon 项目在升级后引入了任意销毁代币的漏洞，遭到 Mev 机器人的抢跑攻击，损失达到 890 万美元。

No.8   3 月 29 日，BSC 链上 UNMS 项目受到攻击，损失约 10 万美元。

02

NFT 方面安全事件

No.1  3 月 1 日，大型 Monkey Drainer 钓鱼团伙宣布停止运营，甚至还向初出茅庐的“年轻网络罪犯”提出建议，称他们不应“为了轻松赚钱而迷失自我”。自 2022 年底至今，该团伙已累计盗窃至少 1600 万美元的 NFT 资产。

No.2 3 月 16 日，NFT 平台 ParaSpace 遭到攻击，随后被安全公司阻断并追回了 2,909 ETH，协议实际损失约为 50 - 150 ETH。

03

钱包 / 用户安全方面

No.1  3 月 24 日，以太坊上某个人地址遭到 ERC20 Permit 钓鱼攻击，损失 400 万美元。

No.2  3 月 30 日，POAP 创始人 Patricio Worthalter 地址遭网络钓鱼攻击，损失约 370 万美元。

04

其他方面安全事件

No.1 3 月 2 日，Arbitrum 生态 DEX ArbiSwap 发生 Rug Pull，部署者获利 13.8 万美元。

No.2 3 月 8 日，BSC 链上 ProTradex 项目发生 rug pull，部署者获利 60 万美元并转入 Tornado Cash。

No.3 3 月 13 日，BSC 链上 BCGA 代币项目发生 rug pull，部署者获利 39,092 美元。

No.4 DeFi 协议 Harvest_Keeper 项目存在恶意转移用户资金，攻击者利用 owner 权限共获利 93 万美元。

No.5 3 月 21 日，Thunder Lands 发生 rug pull，部署者获利 7 万美元。

No.6 3 月 27 日，Optimism 上借贷协议 Kokomo Finance (KOKO) 发生 rug pull，获利约 400 万美元。

No.7 3 月 17 日，比特币 ATM 制造商 General Bytes 透露，黑客利用其 BATM 管理平台中的零日漏洞从该公司及其客户窃取了价值 180 万美元的加密货币。

从总体上看，2023 年 3 月各类区块链安全事件涉及金额较 2 月大幅增加。3 月各类攻击事件损失总金额达到了 2.18 亿美元。

本月诈骗跑路事件和金额均较上月大幅增加，建议用户提高警惕，做好项目背景调查。关于钓鱼事件，建议用户在签名或授权之前仔细阅读内容，转账之前逐字验证收款人全部地址。本月有 60% 的攻击事件源于合约漏洞利用，为了避免类似事件再次发生，开发者需要采取行动，包括在编写安全代码时实施最佳实践、定期审计智能合约以及漏洞赏金计划。同时建议项目方上线前一定要寻求专业的公司进行审计，用户在与项目交互前也应仔细查看审计报告，避免资金受到损失。

往期内容回顾

• 零时科技 ||《2022 年全球 Web3 行业安全研究报告》正式发布！

• 零时科技 || 分布式资本创始人 4200 万美金资产被盗分析及追踪工作

• 零时科技 || 警惕恶意聊天软件！聊天记录被劫持损失数千万资产追踪分析

• 零时科技联合创始人黄鱼先生受邀对话《Web3 应用创新与生态安全》

• 零时科技创始人邓永凯先生受邀对话《公链隐私保护及生态安全》

• 国家网络安全宣传周|零时科技出版国内首本区块链安全书籍，助力行业发展！

• 零时科技 || Ankr 资金被盗分析

• 零时科技 || DFX Finance 攻击事件分析

• 零时科技 || Victor the Fortune 攻击事件分析

• 零时科技 || EGD 被黑客攻击损失超 3.6 万 BUSD，事件分析