2024 年 1 月 16 日，Socket Tech遭到攻击，损失约 330 万美元。 攻击者利用了Socket某合约中数据验证环节的漏洞，通过恶意数据输入盗取了授权合约的用户资金。 这次攻击共给 230 个地址带来损失，最大的单地址损失约为 65.6 万美元。

跨链互操作性协议Socket针对黑客攻击事件公布客户补偿方案，将对所有受影响用户提供100%的补偿。 据悉，Socket所开发的桥接聚合器Bungee上周遭受黑客攻击，损失约330万美元。Socket统计后表示，该事件共影响了232名用户，涉及5种资产。本周早些时候，Socket已追回1032枚ETH，价值约220万美元，为了全额弥补用户损失，Socket自身还将拿出110万美元用于补偿。

跨链协议Socket在X平台发文表示，针对此前黑客攻击事件，已追回1032枚ETH被盗资金，将很快为用户发布恢复和分发计划。此前消息，Socket表示Bungee桥接聚合器遭攻击，导致330万美元资金被盗。1月17日，Socket在X平台发文表示，现已恢复运行。受影响的合约已暂停，损害已得到完全控制。Bungee桥接和其大多数合作伙伴前端的桥接已经恢复。Socket稍后将发布详细的事后分析报告和后续步骤。

跨链协议 Socket 在其社交平台表示，现已恢复运行。受影响的合约已暂停，损害已得到完全控制。和其大多数合作伙伴前端的桥接已经恢复。稍后将发布详细的事后分析和后续步骤。

据余烬监测，跨链协议 Socket 攻击者已将盗取的 USDC 和 USDT 稳定币兑换为 1137 枚 ETH，均价 2564 美元。

据Beosin旗下EagleEye安全风险监控、预警与阻断平台监测显示，Socket协议遭受攻击者call注入攻击，导致大量授权用户资金被盗。本次攻击主要是由于Socket合约的performAction函数存在不安全的call调用。 该函数功能是调用者可以将WETH兑换为ETH，并且调用者需要通过WETH的call将转入合约的WETH兑换为ETH，否则将不能通过余额检查。按理说函数中的call调用只能调用WETH合约的withdraw函数，但是项目方未考虑到调用者转入的WETH数量为0的情况，导致调用者可以在call中去调用其他指定函数，并且能通过余额检查。 攻击者通过构造calldata，调用任意代币的transferfrom，将其他用户授权给该合约的代币转移到攻击者地址。目前攻击者将被盗资金兑换为ETH，并保存在攻击者地址上，Beosin将对资金进行持续监控。

跨链协议 Socket 在其社交平台表示，已发现协议中的安全问题并已暂停受影响的合约。团队正在处理这一情况，并将定期向用户通报最新情况和后续步骤。

据派盾监测，跨链协议 Socket 被攻击，价值至少 330 万美元的资金被盗。黑客利用不良路由窃取 SocketGateway 合约的用户资金。