概览
2025 年 4 月,Web3 安全事件总损失约 2,640 万美元。其中,据慢雾区块链被黑档案库(https://hacked.slowmist.io) 统计,共发生 18 起被黑事件,导致损失约 2,111 万美元,有 1,789 万美元得到冻结或返还,事件原因涉及合约漏洞、社会工程、内部作恶和私钥泄露等。此外,据 Web3 反诈骗平台 Scam Sniffer 统计,本月有 7,565 名钓鱼事件受害者,损失规模达 529 万美元。
(https://dune.com/scam-sniffer/april-2025-scam-sniffer-scam-report)
安全大事件
KiloEx
2025 年 4 月 15 日,去中心化永续合约交易平台 KiloEx 遭攻击,造成约 844 万美元的损失。事件发生后,慢雾(SlowMist) 第一时间介入分析,并发布安全提醒。幸运的是,在项目方的积极应对和慢雾(SlowMist) 等多方协作下,历时 3.5 天,最终成功追回了全部被盗资产,事件得以圆满解决。
据 KiloEx 的分析报告,此次攻击源于合约权限验证机制的缺陷。TrustedForwarder 合约继承了 OpenZeppelin 的 MinimalForwarderUpgradeable 合约,其中 execute 方法没有在 TrustedForwarder 进行 override,是一个不需要权限就可以访问的方法。攻击者利用这一漏洞,直接调用 OpenZeppelin 的 MinimalForwarderUpgradeable 原始 execute 方法。execute 方法的请求内容是调用 delegateExecutePositions 这个 function,在 delegateExecutePositions 方法中只验证了 msg.sender == trustedForwarder,并没有验证真正的发起者是否是 keeper,从而攻击者绕开了权限验证,攻击者在一笔交易中首先使用极低的价格开仓,再以较高的价格的平仓,从而完成攻击。
Loopscale
2025 年 4 月 26 日,基于 Solana 构建的模块化 DeFi 借贷市场 Loopscale 遭攻击,导致约 570 万枚 USDC 和 1,200 枚 SOL 被盗,约占平台总资金的 12%。本次攻击的根本原因已确认,系 Loopscale 针对 RateX-based collateral 定价机制存在孤立性问题。4 月 29 日,据 Loopscale 官方推特称,经过成功谈判,4 月 26 日被盗的 5,726,725 枚 USDC 及 1,211 枚 SOL 已全部归还,用户存款未受损失。
(https://x.com/LoopscaleLabs/status/1917212052029931624)
ZKsync
据 ZKsync 发布的事故分析报告 (https://zksync.mirror.xyz/W5vPDZqEqf2NuwQ5x7SyFnIxqqpE1szAFD69iaaBFnI),4 月 13 日,一个被攻破的管理员账户铸造了用于 ZKsync 2024 年 6 月 17 日空投的 ZK 代币 Merkle 分发合约中尚未认领的剩余代币。攻击者成功控制了 111,881,122 枚 ZK 代币(当时市值约为 500 万美元)。本次事件仅限于 2024 年 6 月 ZK 空投中三个特定的 ZK 代币 Merkle 分发合约,问题源于其管理员密钥被攻破。4 月 23 日,在 ZKsync 安全委员会提出“安全港”协议后,攻击者归还了全部资金,事件得以解决。
(https://x.com/TheZKNation/status/1915110305790660939)
R0AR
2025 年 4 月 16 日,R0AR 遭攻击,损失约 78 万美元。据慢雾安全团队分析,此次攻击的根本原因在于合约中存在后门。在部署过程中,R0ARStaking 合约通过直接修改存储槽,篡改了指定地址的余额(user.amount)。随后,攻击者利用紧急提现函数将合约中的全部资金提取走。R0AR 的创始人兼首席执行官 Dustin 在 AMA 中说明了事件经过。他详细解释称,涉事开发者在质押合约中植入了恶意代码,从而能够执行紧急提取操作,导致流动性池被抽空,约 490 枚 ETH 价值的代币被盗。据链上反洗钱与追踪工具 MistTrack 分析,被盗资金已被转入 Tornado。
(https://x.com/SlowMist_Team/status/1912417097269014825)
特征分析及安全建议
本月有 3 起被黑事件的被盗资金得以全部收回,可以看到,在不幸发生安全事件后,链上追踪与谈判依然是最为关键的应对手段之一。若能在短时间内开展有效的链上沟通,往往能够更高效地挽回损失。此前我们发布了慢雾:被盗急救指南之链上留言(https://mp.weixin.qq.com/s?__biz=MzU4ODQ3NTM2OA==&mid=2247498284&idx=1&sn=a63d4d68faa737e77951094fb085fd8b&scene=21&token=539586412&lang=zh_CN#wechat_redirect)和慢雾:被盗急救指南之链上留言 —— BTC 篇(https://mp.weixin.qq.com/s?__biz=MzU4ODQ3NTM2OA==&mid=2247501897&idx=1&sn=2cb16f9234e1483af0c175f7caac2ff6&scene=21&token=539586412&lang=zh_CN#wechat_redirect),感兴趣的读者可点击查看。
另一方面,随着大模型的迅猛发展,各种新的 AI 工具也在不断涌现,当下代表性的 MCP (Model Context Protocol) 标准实现的工具正逐渐成为连接大语言模型(LLM) 与外部工具、数据源之间的关键桥梁。然而,MCP 的快速普及也带来了新的安全挑战。本月,慢雾安全团队发布了一系列 MCP 安全专题文章,建议相关项目团队参照进行自查和风险加固,提前做好防御准备。
AI 在区块链的广泛应用,也引发了新的潜在风险。2024 年,慢雾(SlowMist) 披露了历史上第一个由于 AI 投毒导致资产被盗的真实案例,说明利用 AI 进行攻击已经不再是纸上谈兵。未来,类似的攻击形式可能会不断演化。此外,在区块链这片黑暗森林中,除了要具备防范 AI 作恶的能力,还要有验证是否是 AI 作恶的能力。这不仅是外部攻击防御的延伸,也关乎对内部行为和潜在风险源的辨识与控制。
最后,本文收录的事件为本月主要安全事件,更多区块链安全事件可在慢雾区块链被黑档案库(https://hacked.slowmist.io/) 查看。
