概覽
2025 年 4 月,Web3 安全事件總損失約 2,640 萬美元。其中,據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io) 統計,共發生 18 起被黑事件,導致損失約 2,111 萬美元,有 1,789 萬美元得到凍結或返還,事件原因涉及合約漏洞、社會工程、內部作惡和私鑰泄露等。此外,據 Web3 反詐騙平臺 Scam Sniffer 統計,本月有 7,565 名釣魚事件受害者,損失規模達 529 萬美元。
(https://dune.com/scam-sniffer/april-2025-scam-sniffer-scam-report)
安全大事件
KiloEx
2025 年 4 月 15 日,去中心化永續合約交易平臺 KiloEx 遭攻擊,造成約 844 萬美元的損失。事件發生後,慢霧(SlowMist) 第一時間介入分析,併發布安全提醒。幸運的是,在項目方的積極應對和慢霧(SlowMist) 等多方協作下,歷時 3.5 天,最終成功追回了全部被盜資產,事件得以圓滿解決。
據 KiloEx 的分析報告,此次攻擊源於合約權限驗證機制的缺陷。TrustedForwarder 合約繼承了 OpenZeppelin 的 MinimalForwarderUpgradeable 合約,其中 execute 方法沒有在 TrustedForwarder 進行 override,是一個不需要權限就可以訪問的方法。攻擊者利用這一漏洞,直接調用 OpenZeppelin 的 MinimalForwarderUpgradeable 原始 execute 方法。execute 方法的請求內容是調用 delegateExecutePositions 這個 function,在 delegateExecutePositions 方法中只驗證了 msg.sender == trustedForwarder,並沒有驗證真正的發起者是否是 keeper,從而攻擊者繞開了權限驗證,攻擊者在一筆交易中首先使用極低的價格開倉,再以較高的價格的平倉,從而完成攻擊。
Loopscale
2025 年 4 月 26 日,基於 Solana 構建的模塊化 DeFi 借貸市場 Loopscale 遭攻擊,導致約 570 萬枚 USDC 和 1,200 枚 SOL 被盜,約佔平臺總資金的 12%。本次攻擊的根本原因已確認,系 Loopscale 針對 RateX-based collateral 定價機制存在孤立性問題。4 月 29 日,據 Loopscale 官方推特稱,經過成功談判,4 月 26 日被盜的 5,726,725 枚 USDC 及 1,211 枚 SOL 已全部歸還,用戶存款未受損失。
(https://x.com/LoopscaleLabs/status/1917212052029931624)
ZKsync
據 ZKsync 發佈的事故分析報告 (https://zksync.mirror.xyz/W5vPDZqEqf2NuwQ5x7SyFnIxqqpE1szAFD69iaaBFnI),4 月 13 日,一個被攻破的管理員賬戶鑄造了用於 ZKsync 2024 年 6 月 17 日空投的 ZK 代幣 Merkle 分發合約中尚未認領的剩餘代幣。攻擊者成功控制了 111,881,122 枚 ZK 代幣(當時市值約爲 500 萬美元)。本次事件僅限於 2024 年 6 月 ZK 空投中三個特定的 ZK 代幣 Merkle 分發合約,問題源於其管理員密鑰被攻破。4 月 23 日,在 ZKsync 安全委員會提出“安全港”協議後,攻擊者歸還了全部資金,事件得以解決。
(https://x.com/TheZKNation/status/1915110305790660939)
R0AR
2025 年 4 月 16 日,R0AR 遭攻擊,損失約 78 萬美元。據慢霧安全團隊分析,此次攻擊的根本原因在於合約中存在後門。在部署過程中,R0ARStaking 合約通過直接修改存儲槽,篡改了指定地址的餘額(user.amount)。隨後,攻擊者利用緊急提現函數將合約中的全部資金提取走。R0AR 的創始人兼首席執行官 Dustin 在 AMA 中說明了事件經過。他詳細解釋稱,涉事開發者在質押合約中植入了惡意代碼,從而能夠執行緊急提取操作,導致流動性池被抽空,約 490 枚 ETH 價值的代幣被盜。據鏈上反洗錢與追蹤工具 MistTrack 分析,被盜資金已被轉入 Tornado。
(https://x.com/SlowMist_Team/status/1912417097269014825)
特徵分析及安全建議
本月有 3 起被黑事件的被盜資金得以全部收回,可以看到,在不幸發生安全事件後,鏈上追蹤與談判依然是最爲關鍵的應對手段之一。若能在短時間內開展有效的鏈上溝通,往往能夠更高效地挽回損失。此前我們發佈了慢霧:被盜急救指南之鏈上留言(https://mp.weixin.qq.com/s?__biz=MzU4ODQ3NTM2OA==&mid=2247498284&idx=1&sn=a63d4d68faa737e77951094fb085fd8b&scene=21&token=539586412&lang=zh_CN#wechat_redirect)和慢霧:被盜急救指南之鏈上留言 —— BTC 篇(https://mp.weixin.qq.com/s?__biz=MzU4ODQ3NTM2OA==&mid=2247501897&idx=1&sn=2cb16f9234e1483af0c175f7caac2ff6&scene=21&token=539586412&lang=zh_CN#wechat_redirect),感興趣的讀者可點擊查看。
另一方面,隨着大模型的迅猛發展,各種新的 AI 工具也在不斷涌現,當下代表性的 MCP (Model Context Protocol) 標準實現的工具正逐漸成爲連接大語言模型(LLM) 與外部工具、數據源之間的關鍵橋樑。然而,MCP 的快速普及也帶來了新的安全挑戰。本月,慢霧安全團隊發佈了一系列 MCP 安全專題文章,建議相關項目團隊參照進行自查和風險加固,提前做好防禦準備。
AI 在區塊鏈的廣泛應用,也引發了新的潛在風險。2024 年,慢霧(SlowMist) 披露了歷史上第一個由於 AI 投毒導致資產被盜的真實案例,說明利用 AI 進行攻擊已經不再是紙上談兵。未來,類似的攻擊形式可能會不斷演化。此外,在區塊鏈這片黑暗森林中,除了要具備防範 AI 作惡的能力,還要有驗證是否是 AI 作惡的能力。這不僅是外部攻擊防禦的延伸,也關乎對內部行爲和潛在風險源的辨識與控制。
最後,本文收錄的事件爲本月主要安全事件,更多區塊鏈安全事件可在慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io/) 查看。
