本文仅用于分析参考，不作为财务投资建议。

近年来，随着加密货币市场的蓬勃发展，相关的安全风险也日益增多，给投资者带来了严重的损失和困扰。

根据慢雾科技平台 (https://hacked.slowmist.io/) 的统计数据显示，2024 年 5 月发生了近 20 起黑客事件，总损失金额达到 1.26 亿美元左右，损失相当巨大。

其中有 3 起黑客事件的损失超过千万美元！分别是游戏平台 Gala Games因私钥泄露损失 2180 万美元、Sonne Finance因遭受闪电贷攻击损失 2000 万美元、某鲸鱼遭遇地址中毒攻击损失 7000 万美元。

在这些黑客事件中，所采用的攻击方式有 Rug Pull、地址投毒、安全漏洞、合约漏洞、闪电贷攻击、私钥泄露这几种，其中合约漏洞占比最高，为 37%，其次是 Rug Pull，为 26%。

为了帮助大家更好地了解链上的一些安全风险，接下来本文将通过具体的事件来进行进一步的分析和说明。

5 月 3 日，某鲸鱼遭遇地址中毒攻击，导致 1155 个 WBTC 损失，价值约 7000 万美元！此次事件造成的损失之大令人震惊。

这起事件中受害者的地址为 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5；其目标转账地址为 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91；钓鱼地址为 0xd9A1C3788D81257612E2581A6ea0aDa244853a91。我们可以看到，除去 0x 后的首 4 位及尾 6 位，剩下的和受害者目标转账地址完全一致！

黑客会事先生成大量钓鱼地址，分布式部署批量程序后，根据链上用户动态，向目标转账地址发起相同首尾号地址钓鱼攻击。

用户转账后，黑客立即使用碰撞出来的钓鱼地址（大概 3 分钟后）尾随一笔交易（钓鱼地址向用户地址转了 0ETH），经过这个步骤之后钓鱼地址就出现在了用户的交易记录里。

由于用户习惯从钱包历史记录里复制最近转账信息，看到了这笔尾随的钓鱼交易后没有仔细检查自己复制的地址是否正确，结果将 1155 枚 WBTC 误转给了钓鱼地址！

为了防止类似的事情发生，我们在进行任何操作前一定要仔细核对地址，也可以将目标地址保存到钱包的地址簿当中，下次转账可以从钱包的地址簿中找到目标地址。此外，最好是开启钱包的小额过滤功能，屏蔽此类零转账，减少被钓鱼风险。

当然了，如果你使用的钱包默认只显示首 4 位和尾 4 位地址，而你还要坚持用这个钱包的话，可以考虑先小额转账测试，倘若不幸中招，也是小伤。

Pump.fun 是一个基于 Solana 的 memecoin 生成器，5 月 16 日该项目遭攻击，损失约 190 万美元，攻击者随后开始将资金空投到一些随机的钱包中。Pump.fun 在推特上发布声明表示，此次攻击是由于一名前员工滥用其在公司的特权，非法获取提款权限，并获取了“被黑账户”的私钥，然后借助借贷协议实施了闪电贷攻击。

据悉，这位 Pump.fun 的前员工拥有 Pump 用于创建每个土狗 Raydium 交易对这个功能权限的钱包账户，这个我们称之为“被黑账户”，而在 Pump 上创建的土狗在未达到上 Raydium 标准前的所有 Bonding Curve LP 底池，我们称为“预备账户”。

然后这位前员工通过 Marginfi 借了一笔闪电贷，用来把所有已创建但尚未达到可以上 Raydium 状态的池子全部填满。本来的操作是把这些池子中的 $Sol 转移到“被黑账户”，因为达到了上 Raydium 的标准，但他在此时抽走了转入的 $Sol，导致这些本该上 Raydium 的 memecoin 都无法上 Raydium，因为池子没钱了。

而这位前员工之所以拥有“被黑账户”的私钥，很大一部分原因是团队管理不善。其次，我们可以猜测一下，这个填满池子的行为可能是他之前的工作之一，就像去年 Friendtech V1 推出时，最初几天有大量抢买你 Key 的机器人，这很可能是官方自己的，以起到为 Key 做市并引导最初热度的作用。我们还可以再大胆推测一下，当时 Pump 为了启动项目时，让这位员工负责用项目自己的资金去填满这些币的池子，目的是让它们能上 Raydium 然后拉盘制造关注度，只是没想到最后会成为内鬼的钥匙。

所以仿盘们一定要注意，不要轻易只抄袭表面，以为产品一上线就会有交易。在搞互助盘时，你必须提供初始的推动力。同时，务必做好权限管理，重视安全。

近日链游 Gala Games 再次遭受黑客攻击，暴露了严重的安全漏洞，有一名黑客通过平台的智能合约铸造 50 亿枚代币，价值 2.14 亿美元左右，导致代币价格暴跌 20%，给用户和平台带来了巨大的损失。

黑客是通过智能合约快速出售 5.92 亿代币，并成功兑换 5952ETH，相当于 2180 万美元，之后游戏团队立即采取行动，以最快的速度降低损失，将黑客的地址拉进黑名单，冻结关于更多代币出售的权限。

发布的声明当中表示已经对安全和透明度作出承诺，向所有的用户表示目前和相关的执法部门正在合作，进一步的彻查黑客。

Gala Games 这次被黑主要是因为一个安全漏洞存在于其系统中，这个漏洞允许攻击者获取管理员级别的权限，从而直接操作智能合约进行任意操作，使得黑客可以任意铸造代币的合约。这一次被黑客攻击之后，原本 Gala 价格是在 0.047 美元下跌到 0.038 美元，后来又回升到 0.04 美元左右。

通过被黑客攻击这件事情，反映出平台使用智能合约在安全方面仍然是面临着挑战，需要进行安全措施的加强。

从上述内容中，我们可以看到当前链上安全风险的严峻性，尽管风险存在，但还是有一些优质项目值得我们关注的，正好平复一下我们刚才的惊心动魄。

WOLF：Landwolf 是阿尔法狼的缩影，是狼群的领导者，是一支不可阻挡的力量，它是《男孩俱乐部》中的角色之一。截至目前它在 ETH 上市值为 $54.3M，近 24 小时交易额为 $2.1M。

ANDY：Andy 是漫画《男孩俱乐部》中 PEPE 的朋友之一，近期 PEPE 相关动漫的 meme 持续升温。截至目前该币在 ETH 上的市值达到 $282.9M，近 24 小时交易额为 $7.8M。

BRETT：在 Base 生态部署的 meme 币，Brett 也是漫画《男孩俱乐部》中的一个角色，它是一个热爱舞蹈、时尚和帽子的青蛙，该角色引起了全球粉丝的共鸣，他们欣赏他悠闲的态度和对电子游戏的热爱。截至目前该币市值达到了 $1.40B，近 24 小时交易额为 $8.4M。

Basenji：是 Base 生态上的 meme 币，它的名称来自非洲巴森吉犬，它是世界上最古老的犬种之一，象征着其独特的特性和品质，名字中正好含有“Base”，这为成为 Base 的狗提供了完美的契机。截至目前其市值为 $53.3M，近 24 小时交易额达 $3.4M。

GME：Reddit 平台显示，曾经帮助推动 GameStop 公司股价飙升的 YouTube 主播“Roaring Kitty”，6 月 3 日在该平台发贴，这是他时隔三年后的再次发帖，内容其拥有价值 6500 万美元的 Gamestop 股票看涨期权，执行价格为 21 美元，到期日为 6 月 21 日。截至目前 Sol 生态上 GME 市值为 $86M，近 24 小时成交额达 $15.8M。

MOTHER：是由澳大利亚说唱歌手兼模特 Iggy Azalea 推出的。自发布以来，Mother Iggy 已上涨超过 350%。截至目前该币的市值已达到 $217.4M，近 24 小时交易额为 $64M。

BEER：BeerCoin 生态系统在 Solana 区块链上推出了其原生代币 BEER，尽管首次亮相时遭遇了大幅下跌，但随后迅速展现出强劲的反弹势头。截至目前该币的市值为 $428.8M，近 24 小时成交额达到 $36.3M。

我们每周会更新一些“金狗”项目，如果大家有看到想交流的项目可以通过留言功能，或者关注推特@yiyun_dan1反馈。

本文参考来源：

https://www.chaincatcher.com/article/2123449

https://www.chaincatcher.com/article/2124697

https://www.qklw.com/news/20240521/369168.html