2023年12月，各类安全事件损失金额相比11月有所下降。12月因黑客攻击、钓鱼诈骗和RugPull造成的总损失金额约2494万美元。本月钓鱼诈骗事件依旧不减，用户还需要提高反诈意识。以下为典型安全事件信息2023年12月5日，Web3开发平台Thirdweb存在安全漏洞，影响多份智能

简单来说，TransitSwapRouterV5 合约中多路径兑换函数缺少兑换成功校验，导致多路径兑换中使用虚假的兑换金额在后续的兑换中换取真实资金并成功获利。

黑客通过闪电贷借了大量USDT，并兑换大量OKC，从而拉高了OKC的价格。并且由于OKC项目未设置LP奖励发放的锁仓要求，所以黑客在获取奖励后立刻撤回流动性，从而获取了项目方发放的流动性提供者的奖励

HopeLend是一个去中心化的虚拟货币借贷平台，能够在无需双方单独撮合的情况下，根据资金池状态实现即时贷款。

MEV全称是Miner Extractable Value，就是矿工可提取价值。可提取价值不是指矿工打包区块收取的手续费，因为这块的手续费是交易发起的用户同意的且矿工无法自行手续超额手续费。MEV是指矿工通过增加、删除、修改交易顺序获得的超额利润。

详细介绍抢跑者是如何进行攻击的。

最近，我们监控到了一笔抢跑的攻击事件，被攻击者是HopeLend

-建议在项目开发时选择稳定的技术栈以及对应版本，并对项目进行严格的测试，防止类似风险。

记一次隐蔽的恶意攻击事件追踪分析

本次攻击是由于项目新增合约时未进行安全审计，新增合约破坏原有合约权限认证机制，配合Updater 签名重放问题，从而导致这两个利用点被组合利用。