撰文：Beosin

前言

本研究报告由区块链安全联盟发起，由联盟成员 Beosin、Footprint Analytics 共同创作，旨在全面探讨 2024 年全球区块链安全态势发展。通过对全球区块链安全现状的分析和评估，报告将揭示当前面临的安全挑战和威胁，并提供解决方案和最佳实践。

通过这份报告，读者将能够更全面地了解 Web3 区块链安全态势的动态演变。这将有助于读者评估和应对区块链领域所面临的安全挑战。此外，读者还可以从报告中获得有关安全措施和行业发展方向的有益建议，以帮助他们在这一新兴领域中做出明智的决策和行动。区块链安全和监管是 Web3 时代发展的关键问题。通过深入研究和探讨，我们可以更好地理解和应对这些挑战，推动区块链技术的安全性和可持续发展。

1、2024 年 Web3 区块链安全态势综述

据安全审计公司 Beosin 旗下 Alert 平台监测，2024 年 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 25.13 亿美元。其中主要攻击事件 131 起，总损失金额约 17.92 亿美元；项目方 Rug Pull 事件 68 起，总损失约 1.48 亿美元；钓鱼诈骗总损失金额约 5.74 亿美元。

2024 年，黑客攻击、钓鱼诈骗金额较 2023 年均有明显上升，其中钓鱼诈骗相比 2023 年激增 140.66%。项目方 Rug Pull 事件的损失金额显著下降，下降了约 61.94%。

2024 年被攻击的项目类型包括 DeFi、CEX、DEX、公链、跨链桥、钱包、支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV 机器人、TG 机器人等多种类型。DeFi 为被攻击频次最高的项目类型，75 次针对 DeFi 的攻击共造成损失约 3.90 亿美元。CEX 为总损失金额最高的项目类型，10 次针对 CEX 的攻击共造成损失约 7.24 亿美元。

2024 年发生攻击事件的公链类型更多，出现多起在多条链上被盗的安全事件。Ethereum 依旧是损失金额最高的公链，66 次 Ethereum 上的攻击事件造成了约 8.44 亿美元的损失，占到了全年总损失的 33.57 %。

从攻击手法来看，35 次私钥泄露事件共造成约 13.06 亿美元的损失，占总损失的 51.96 %，是造成损失最多的攻击方式。

合约漏洞利用是出现频次最高的攻击方式，131 起攻击事件里，有 76 次来自于合约漏洞利用，占比达到了 58.02 %。

全年约 5.31 亿美元的被盗资金被追回，占比约 21.13 %。全年约有 1.09 亿美元的被盗资金转入了混币器，约占总被盗资金的 4.34 %，相比 2023 年下降约 66.97 %。#p#分页标题#e#

2、2024 Web3 生态十大安全事件

2024 年共发生损失过亿的攻击事件 5 起：DMM Bitcoin（3.04 亿美元）、PlayDapp（2.90 亿美元）、WazirX（2.35 亿美元）、Gala Games（2.16 亿美元） 和 Chris Larsen 被盗（1.12 亿美元）。前 10 大安全事件总损失金额约为 14.17 亿美元，约占年度攻击事件总金额的 79.07 %。

No.1 DMM Bitcoin  

损失金额：3.04 亿美元

攻击方式：私钥泄露

2024 年 5 月 31 日，日本加密货币交易所 DMM Bitcoin 遭到攻击，价值超 3 亿美元的比特币被盗。黑客把盗取的资金分散到 10 多个地址试图清洗。

No.2 PlayDapp

损失金额：2.90 亿美元

攻击方式：私钥泄露

2024 年 2 月 9 日，区块链游戏平台 PlayDapp 遭到攻击，黑客铸造了 20 亿个 PLA 代币，价值 3650 万美元。在与 PlayDapp 的谈判失败后，2 月 12 日，黑客又铸造了 159 亿枚 PLA 代币，价值 2.539 亿美元，并向 Gate 交易所发送了部分资金。PlayDapp 项目团队随后暂停了 PLA 合约，并将 PLA 代币迁移至 PDA 代币。

No.3 WazirX

损失金额：2.35 亿美元

攻击方式：网络攻击与钓鱼

2024 年 7 月 18 日，印度加密货币交易所 WazirX 的一个多签钱包被盗超过 2.3 亿美元。该多签钱包为 Safe wallet 智能合约钱包。攻击者诱导多签签名者签署了合约升级交易，攻击者通过升级后的合约直接转移了钱包中的资产， 最终将约超过 2.3 亿美元的资产全部转出。

No.4 Gala Games

损失金额：2.16 亿美元

攻击方式：访问控制漏洞

2024 年 5 月 20 日，Gala Ga