撰文：慢雾科技

概览

2024 年 8 月，Web3 安全事件总损失约 3.16 亿美元。其中，据慢雾区块链被黑档案库 (https://hacked.slowmist.io) 统计，被黑事件共发生 28 起，导致损失约 2.53 亿美元，有 1358 万美元得到返还，事件原因涉及合约漏洞、账号被黑和前端攻击等。此外，据 Web3 反诈骗平台 Scam Sniffer 统计，本月有 9145 名钓鱼事件受害者，总损失达 6293 万美元。

(https://dune.com/scam-sniffer/august-scam-sniffer-2024-phishing-report)

主要事件

Convergence Finance

2024 年 8 月 1 日，Convergence Finance 被攻击，攻击者铸造并出售了 5800 万个 CVG 代币，约 21 万美元（相当于专门用于质押发放的全部代币份额）。此外，来自 Convex 的约 2 千美元未领取的奖励也被盗。根据 Convergence Finance 发布的事故分析报告，此次事件的根本原因是奖励分配合约的 `claimMultipleStaking` 函数缺乏对用户输入的验证。

(https://medium.com/@cvg_wireshark/post-mortem-08-01-2024-e80a49d108a0)

Ronin

2024 年 8 月 6 日，游戏区块链 Ronin 遭攻击，Ronin Bridge 项目出现异常提取跨链资产的行为。据慢雾安全团队分析，此次攻击是由于权重被修改为意外值，资金无需经过任何多重签名阈值检查即可提取。攻击者从桥中提取了约 4000 枚 ETH 和 200 万枚 USDC，价值约 1200 万美元。截至 8 月 7 日，白帽归还了价值 1200 万美元的资产，并获得 50 万美元的漏洞赏金。

(https://x.com/slowmist_team/status/1820783952145355247?s=46&t=DLwbX9Nw4QECiyZQ0av-fg)

Nexera

2024 年 8 月 7 日，一名外部攻击者获得了管理 Nexera Fundrs 平台智能合约的凭证。利用这些凭证，攻击者从以太坊上的 Fundrs 质押合约中转移了 NXRA 代币，导致约 183 万美元的损失。在被盗的 4724 万 NXRA 代币中，攻击者只售出了 1475 万代币（约合 44.9 万美元）。Nexera 成功从攻击者的钱包中移除了剩余的 3250 万 NXRA 余额，防止了进一步的损失。

Vow

2024 年 8 月 13 日，Vow 因合约漏洞遭攻击，损失约 120 万美元。据 VOW 消息，当时团队正在测试 v$ 合约的 USD 汇率设置功能，以便为新的借贷池和预言机功能铸造 v$。攻击者利用了短暂的时间窗口和汇率变动，购买并发送了大量 VOW 代币到合约中，导致生成了近 20 亿 v$，并将其卖回 Uniswap 池中，从而获利。