Q3 安全季报揭秘｜全网链上损失席卷 7.4 亿美金，近五成源于钓鱼诈骗陷阱

时间：2025-02-25

2024年q3全网链上累计造成损失约7.43亿美元，环比上升 58%。发生主要攻击事件110起，其中诈骗与钓鱼事件共计61起，损失金额3.4亿美元，损失占比46.03%。

据 OKLink 数据统计，因私钥泄漏事件所造成的损失约2.7 亿美元，占比36.06%。REKT 事件损失约8,042 万美元，占比10.78%。RugPull 事件损失约461 万美元，占比0.62% 。

在 7 月和 8 月期间，每月均遭受了大约3 亿美元的重大损失，9 月总损失陡然下降57%，尽管如此，仍面临着钓鱼事件和私钥泄露等安全风险的挑战，这些安全事件具有高度的随机性，构成了不容忽视的威胁。OKLink 提醒大家务必提高安全防范意识，不要轻信任何未经验证的签名请求，尤其是在授权 “Permit” 或涉及资金转移时，一定要核实签名的真实性。

同时，妥善保管好您的私钥和助记词，切勿泄露给任何人，也不要通过截图或存储在不安全的设备上保存。

Q3 安全季报揭秘｜全网链上损失席卷 7.4 亿美金，近五成源于钓鱼诈骗陷阱

最大安全事件-钓鱼诈骗

8 月 19 日，一名潜在受害者疑似因钓鱼攻击损失了4,064 BTC，价值约2.38 亿美元。这笔巨额资金在被窃取后迅速通过 ThorChain、eXch、Kucoin、ChangeNow、Railgun 和 Avalanche Bridge 等多个平台进行了复杂的转移操作。

最大安全事件-私钥泄漏

7 月 18 日，WazirX 交易所因多签钱包私钥泄露，导致损失约2.35 亿美元。

最大安全事件-REKT

9 月 3 日，Penpie 因其奖励协议存在重入漏洞遭受攻击，导致损失约2,734 万美元。

最大安全事件-RugPull

7 月 21 日，ETHTrustFund 发生RugPull，并在 Base 窃取了价值约200 万美元的加密货币。

案例分析

9 月 3 日，Penpie 合约遭受重入攻击，攻击者在重入阶段向合约添加流动性来冒充奖励金额，从而获取合约内原有的奖励代币。资产损失高达2,734 万美元。

1、攻击者使用恶意的 SY_1 代币合约在 Pendle 协议上创建出恶意的 SY_1_PENDLE-LPT 市场。随后攻击者使用该恶意 SY_1_PENDLE-LPT 市场在 Penpie 上创建出新抵押池，并在该抵押池中存入了大量的 SY_1_PENDLE-LPT 代币；

Q3 安全季报揭秘｜全网链上损失席卷 7.4 亿美金，近五成源于钓鱼诈骗陷阱

2、攻击者闪电贷获取大量的 wstETH，sUSDe，egETH 和 rswETH 代币，并存入到 SY_1 代币合约，当作是 SY_1 代币合约产生的奖励。之后调用 Penpie.batchHarvestMarketRewards 函数，该函数会触发 SY_1 代币合约的 claimRewards 函数，期望从 SY_1 代币合约获取奖励代币；

Q3 安全季报揭秘｜全网链上损失席卷 7.4 亿美金，近五成源于钓鱼诈骗陷阱

3、但是，在 SY_1代币的claimRewards 函数中，攻击者利用 Penpie 协议的重入漏洞，将闪电贷获得的 wstETH，sUSDe，egETH 和 rswETH 代币存入到相应的 Pendle 市场，并将获得的 LP 代币存入到 Penpie 协议中。

由于该操作发生在 Penpie.batchHarvestMarketRewards 函数调用期间，Penpie 错误地将这些新存入的代币当作奖励代币，并将这些错误数量的奖励代币发送给 RewardDistributor 合约。因为攻击者是该恶意 Pendle 市场的唯一存款者，所以攻击者可以获得所有的奖励；

Q3 安全季报揭秘｜全网链上损失席卷 7.4 亿美金，近五成源于钓鱼诈骗陷阱