2023年12月多起单个地址被盗百万美元以上事件汇总

来源：深圳零时科技

2023年12月，各类安全事件损失金额相比11月有所下降。12月因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额约2494万美元。本月钓鱼诈骗事件依旧不减，用户还需要提高反诈意识。

以下为典型安全事件信息

• 2023年12月5日，Web3 开发平台Thirdweb存在安全漏洞，影响多份智能合约，至少3个项目因漏洞影响被攻击，损失约21万美元。【Web3开发工具平台Thirdweb在其官方博客中称，11月20日18:00发现多个Web3智能合约（包括Thirdweb的一些预构建智能合约）的常用开源库中存在安全漏洞，包括Airdrop ERC20（v1.0.3及更高版本），ERC721（v1.0.4及更高版本），ERC1155（v1.0.4及更高版本）等。除了智能合约受影响外，包括钱包、支付和基础设施服务，均未受到影响，正常运作。】

• 2023年12月6日，BSC生态项目、去中心化储备货币协议BEARNDAO遭攻击，获得超过70万美元的收益。【攻击者地址“0xCE27b”利用了ConvertDustToEarned() 中的错误并使用了三明治攻击，通过攻击合约“0x21125d”】

• 2023年12月12日，OKX废弃的DEX做市商合约管理权限被盗，损失约270万美元。【12月13日，OKX中文发推称，经核实，此事件由一个不再使用的废弃的OKX DEX市商合约管理权限被盗而导致，18个授权过该合约的地址资产被转移。】

• 2023 年12月14日，Web3项目常用的代码库Ledger Connect Kit 遭受供应链攻击，攻击者获利约60万美元。

• 2023年12月16日，NFT Trader遭到重入漏洞攻击，损失约300万美元，盗取资产已被攻击者归还，攻击者保留了10%作为赏金。【12月16日消息，NFT Trader 攻击者于链上发文表示，被盗 NFT 资产安全，最终它们会回到用户手中。漏洞的最初攻击者是 0x3dc115307c7b79e9ff0afe4c1a0796c22e366a47b47ed2d82194bcd59bb4bd46。该攻击者表示其不是初始攻击者，并表示初始攻击者正在继续准备攻击一个新漏洞。】

• 2023年12月17日，NFT交易市场Flooring Protocol遭到黑客攻击，损失约160万美元。

• 2023年 12月20日，DeFi协议Transit Finance遭到黑客攻击，损失约11万美元。

• 2023年12月23日，DEX项目Paraluni遭到价格操控攻击，损失约33万美元。【攻击者利用Paraluni协议价格操控漏洞，从合约中获利约33.6万美元。据此前消息，Web3安全平台Ancilia在推特发文称，币安智能链上元宇宙项目Paraluni正在遭遇价格操纵攻击，攻击者利用价格操纵放大抵押品的价值，从而借出更多的资金，导致项目损失。】

• 2023年12月26日，Telcoin钱包遭到攻击，损失约120万美元。

• 2023年12月13日至26日期间，Osmosis链上永续交易协议Levana遭受攻击，漏洞发生超过13天，攻击者耗尽了Levana上10%的流动性池，损失超过110万美元。

• 2023年12月27日，多链交易平台Thunder疑似遭攻击，攻击者已将86.5枚ETH转至Railgun。【攻击者地址：0x2a2C200af4E659348C4182DD9806a340851df42e。Thunder对此回应称，其使用的第三方服务疑似被攻击，超过14,000个地址中有114个受到影响。】

• 2023年12月30日，BSC 上的 Channels Finance 受到黑客攻击，损失超过 32 万美元。

• 2023年12月1日，BNB Chain上Grok-2代币疑似发生Rug Pull，当前该代币价格已经下跌100%。

• 2023年12月1日，QMYX发生Rug Pull，约10万亿QMYX交换为57.18枚WETH。【MYX Finance 代币QMYX已下跌100%。地址0x7634...168d已将9,999,999,999,999枚QMYX交换为57.18枚WETH(11.97万美元)。】

• 2023年12月5日，BNB Chain上CKD代币发生Rug Pull，部署者获利约54万美元。

• 2023年12月13日，地址0xEbC5遭网络钓鱼，损失约9.45万美元。【地址0xEbC5成为网络钓鱼计划的受害者，导致损失382.88枚crvCRVETH和43.5枚stETH（价值约9.45万美元）】

• 2023年12月21日，监测显示某钱包黑客与Google搜索和X广告上的网络钓鱼活动有关，在9个月内从超过6.3万名受害者身上盗取了约5800万美元。

• 2023年12月24日，0xf8c开头地址因零转账钓鱼攻击被盗71万枚USDC。钓鱼地址：0x949D0DbE58c77EEF31eDAB5E476f41E4F5ef861B。

• 2023年12月26日，MegabotETH 发生rug pull，部署者获利约74万美元。

• 2023年12月26日，两名受害者因网络钓鱼诈骗损失约150余万美元的资产。

• 2023年12月29日，一用户因签署了一份“increase Allowance”交易，被网络钓鱼攻击损失价值440万美元的LINK。

?本月钓鱼诈骗事件依旧不减，发生多起单个地址被盗百万美元以上的事件，用户还需提高警惕。

以下为其他方面安全事件

注：时间不分先后

• 2023年12月4日，泰兴市一干部参与虚拟货币传销活动获刑4年6个月，涉案金额达3700多万元。【江苏泰州一干部被控组织、领导传销活动，涉案金额达3700多万元，此前一审判决因犯组织、领导传销活动罪该干部获刑4年6个月并处罚金30万元。据悉江苏省泰州泰兴市干部赵某参与的MBI集团以投资理财为名，要求参加者每次缴纳一定金额的费用，购买该集团相关平台发行的虚拟货币“易物币”（M币），经鉴定赵某发展下线人数达2 层476人。】

• 2023年12月6日消息，河南检察院披露大型虚拟货币传销案，涉案金额超 1.2 亿人民币。【河南省淅川县检察院近期办理一起涉案金额达1.2亿元的虚拟货币传销案，犯罪嫌疑人王某委托高科技公司定制软件，设立“红牛去中心化交易所”网站并在网络公开对外发行“NB币（牛币）”，开发对应的红牛炒币App，以虚拟货币、区块链名义开展传销活动，并成立“红牛商学院讲师团”开展线下推广宣传。仅一年时间，涉案团伙就发展会员2128人，骗取财物1.2亿余元。】

• 2023年12月6日消息，加密交易所Bitzlato联创承认7亿美元洗钱罪。

• 2023年12月10日消息，香港警方破获通过虚拟货币洗钱3000 万港元的犯罪团伙。

• 2023年12月13日消息，美国司法部指控两名男子经营2500万美元的加密庞氏骗局。【二人诱使受害者投资各种交易项目，这些项目虚假承诺使用人工智能自动交易机器人可以在加密货币市场上交易并赚取高收益，并以各种名义推广投资项目，二人挪用受害者资金来支付个人开支。】

• 2023年12月15日消息，美国司法部披露四人因加密货币诈骗和洗钱被指控，造成超8000万美元损失。【根据法庭文件，Lu Zhang、Justin Walker、Joseph Wong和Hailong Zhu涉嫌合谋开设空壳公司和银行账户，以清洗加密货币投资骗局（也称为“杀猪盘”）和其他欺诈计划的受害者收益。】

• 2023年12月30日，广西公安破获涉虚拟货币的直播带货APP传销案，涉案金额超3亿元。【广西河池市公安局破获一起涉虚拟货币的直播带货 APP 传销案，犯罪嫌疑人利用一款名为维度的APP建群及直播带货，制定了拉人头发展层级、线上注册返利的传销模式，通过软件的内购功能推销虚拟服务并发放平台设置的奖励维度币，同时在宣传中不断地打着电子商务、虚拟货币、国字号项目等旗号和标签大肆鼓吹，掩盖其通过发展下线牟利的本质】

2023年12月，各类安全事件损失金额相比11月有所下降。12月因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额约2494万美元。

鉴于各类安全事件频发，零时科技安全团队提出以下安全建议：

1. 项目方建立严格私钥管理流程，采用多签机制，禁止在联网环境中使用私钥。

2. 在项目上线之前，找专业的第三方安全企业进行全面的安全审计，而且可以找多家进行交叉审计。

3. 项目方可以发布漏洞赏金计划，发送社区白帽子帮助找问题，先于黑客找到漏洞。

4. 加强对项目的安全监测和预警，尽量做到在黑客发动攻击之前发布预警从而保护项目安全。

5. 智能合约开发者应该重视合约中的代码逻辑必须严谨，避免历史漏洞重现，加强代码安全性。

6. 用户仔细进行项目背景调查，不要轻信未开源的项目合约，查看相关审计报告，避免资产损失。

7. 用户要提高反诈意识，若不幸被骗，留存好证据，尽快向警方立案。