星期三，虚拟协议（Virtuals Protocol）作为一个基于人工智能的平台，遭遇了重大的安全漏洞，导致其Discord服务器被未经授权访问并发生网络钓鱼攻击。

黑客攻入虚拟协议的Discord服务器，同时冒充其官方网站的网络钓鱼链接在谷歌搜索中出现。

此次事件发生在平台解决其审计智能合约中的一个关键漏洞后的几天。

黑客如何利用虚拟协议的Discord服务器

虚拟团队报告称，漏洞发生是因为一位Discord管理员的私钥被泄露。

这使得攻击者获得了未经授权访问该通讯平台的权限。此问题现在已得到解决，虚拟团队已对服务器进行了安全防护。

除了Discord服务器的漏洞外，网络安全公司Scam Sniffer还在谷歌搜索中发现了三个冒充虚拟协议网站的恶意链接。

用户被警告避免与这些链接互动，并被敦促在点击之前验证官方网站的URL。

与此同时，虚拟协议本月早些时候还解决了另一个主要的安全问题。

在1月3日，团队修复了其审计智能合约中的一个漏洞，该漏洞是在安全研究员@lj1nu发现该平台在Uniswap V2上的代币启动机制的缺陷后被识别出的。

该漏洞源于AgentToken创建过程，使用了Clones库使代币地址可预测。

这种可预测性源于AgentFactoryV3合约的nonce。此外，AgentToken中的initialize函数未能检查Uniswap对是否已存在，存在事务回撤和被利用的风险。

@lj1nu通过Tenderly的概念验证展示了该漏洞的风险。在X上公开披露该缺陷后，虚拟协议确认并修复了该问题。

修复措施包括额外的验证步骤，以防止类似的缺陷。团队为最初的沟通不畅表示歉意，并在BaseScan和GitHub上发布了修复方案，并重新启动了其漏洞悬赏计划。

网络钓鱼诈骗和私钥泄漏主导2024年加密货币安全威胁

网络钓鱼诈骗和私钥泄漏依然是区块链和加密货币用户面临的主要担忧。

根据CertiK的Web3安全报告，2024年，网络钓鱼诈骗在296起事件中造成了超过10亿美元的损失，巩固其成为年度最昂贵的攻击向量的地位。

• 网络钓鱼事件：296起事件造成10亿美元的损失。
• 私钥泄漏：65起事件造成8550万美元的损失。

一个特别值得注意的案例发生在5月，一位交易者因地址污染诈骗损失了6800万美元。但攻击者在10天后归还了资金，可能是因为受到安全公司的压力。

私钥泄漏被认定为第二大威胁，造成了可观的财务损失。CertiK警告称，钓鱼手法在2025年可能会发生演变，受到人工智能进步的影响。

尽管面临威胁，整体加密黑客损失相比2022年下降了52%，当年损失35亿美元。

然而，根据Cyvers的数据，2024年黑客攻击仍然使该行业损失了23亿美元，比2023年的16.9亿美元增加了40%。