作者:Daniel Phillips���,coinmarketcap 翻譯:善歐巴,
隨著 2023 年接近尾聲�,比特幣和整個(gè)加密貨幣市場(chǎng)從殘酷的熊市中強(qiáng)勢(shì)復(fù)蘇,將被銘記為標(biāo)志性的一年���。然而����,加密貨幣盜竊事件仍然屢見不鮮�����,僅今年就有近 24 億美元的資金被盜。
根據(jù)區(qū)塊鏈安全和分析公司 Certik 的報(bào)告����,今年第三季度是加密貨幣盜竊事件最猖獗的時(shí)期,184 起已知的案例共造成近 7 億美元的損失����。僅第三季度,被盜金額就超過了第一和第二季度的總和���。
盡管這些數(shù)字令人震驚�,但與去年超過 35 億美元的總額相比�����,還是有所減少�����。
根據(jù) SlowMist 的數(shù)據(jù)��,截至目前�����,2023 年已確認(rèn)發(fā)生 450 起加密貨幣盜竊事件�����,其中以太坊和 BNB 智能鏈上的去中心化協(xié)議成為最常見的攻擊目標(biāo)�����。
許多區(qū)塊鏈平臺(tái)都建立在開源軟件之上�����,雖然這樣做有助于促進(jìn)透明度和社區(qū)協(xié)作����,但也可能暴露漏洞,被心懷不軌的人加以利用����。
在許多情況下,實(shí)施法律懲處的力度微乎其微���,甚至還有事后懸賞的可能性��,這讓擁有技術(shù)知識(shí)的人更有可能將自己的技能用于非法目的��。
不幸的是���,這種情況使得安全漏洞百出的加密貨幣交易所��、平臺(tái)����、協(xié)議以及最終承受這些攻擊后果的用戶�����,成為了明顯的攻擊目標(biāo)�。事實(shí)上,在下面列出的被盜事件中�����,大部分被盜資金很可能永遠(yuǎn)無法追回����。
讓我們深入探討 2023 年最嚴(yán)重的黑客攻擊事件�。
Kyber Network:5470 萬美元
2023 年 11 月發(fā)生了一場(chǎng)影響 Kyber Network 的安全事件����,攻擊者利用與流動(dòng)性相關(guān)的漏洞�,成功從 KyberSwap Elastic 竊取了約 5470 萬美元。
此次泄露針對(duì)的是 KyberSwap跨多個(gè)區(qū)塊鏈網(wǎng)絡(luò)的流動(dòng)性池�,包括Arbitrum、Ethereum�����、Optimism和Polygon��。黑客利用新代幣鑄幣功能中的重入漏洞�,導(dǎo)致資金重大損失,平臺(tái)鎖定總價(jià)值(TVL)下降 90%�����。
出乎意料的是����,黑客提出,如果滿足一系列要求����,他就會(huì)歸還被盜資金���。其中,攻擊者要求完全控制Kyber Network公司�,并完全交出所有鏈上和鏈下公司資產(chǎn)。
黑客要求在 12 月 10 日之前滿足他們的要求�����,否則條件作廢���。
來源:Etherscan
看來 Kyber 背后的團(tuán)隊(duì)并沒有向攻擊者屈服����,而是正在推進(jìn)一項(xiàng)補(bǔ)償計(jì)劃�����,其中包括向受影響的用戶提供財(cái)政撥款����。
Curve:7350萬美元
Curve 對(duì)黑客攻擊并不陌生,2023 年 7 月�,攻擊者利用其多個(gè) Vyper 0.02.15 穩(wěn)定幣池中的錯(cuò)誤遞歸鎖來耗盡資金,Curve 再次遭到利用����。
受攻擊影響的主要協(xié)議和池是 Alchemix、JPEG'd�����、MetronomeDAO����、deBridge、Ellipsis 和 CRV/ETH 池�。
事情往好的方向發(fā)展,在黑客接受了 10% 的追溯性白帽賞金后�,大部分被盜資金被返還給 Curve Finance。與此同時(shí)���,在多名白帽黑客的努力下���,Metronome 和 Alchemix 分別追回了 600 萬美元和 1300 萬美元。
黑客攻擊發(fā)生近兩周后�,Curve 承諾在評(píng)估損失后,將賠償仍受影響的人員��,以確保資源公平分配。
Euler Finance:1.97 億美元
今年 3 月���,Euler Finance 遭遇了 1.97 億美元的黑客攻擊��,成為年度加密貨幣圈最離奇事件之一�。
攻擊者利用了 Euler 智能合約的一個(gè)漏洞�,巧妙地發(fā)動(dòng)了閃電貸攻擊。通過這種方式�,攻擊者竊取了價(jià)值 1.97 億美元的各種加密貨幣,包括 DAI�、wBTC、stETH 和 USDC��,幾乎將協(xié)議資金洗劫一空�。
然而,Euler Finance 團(tuán)隊(duì)成功追蹤到了攻擊者并建立了溝通渠道�����。這似乎震懾到了攻擊者�����,讓他們做出了正確的選擇���,迅速將 "所有可追回資金" 歸還給了 Euler 協(xié)議金庫(kù)�����。
此后����,Euler 團(tuán)隊(duì)向公眾開放了贖回功能�����,允許用戶收回在攻擊中損失的資金�。Euler 協(xié)議目前仍處于停用狀態(tài),但團(tuán)隊(duì)暗示了即將推出一個(gè)新的模塊化開放借貸解決方案���。
Mixin Network:2 億美元
Mixin Network是一個(gè)去中心化網(wǎng)絡(luò)����,旨在促進(jìn)數(shù)字資產(chǎn)的高效跨鏈交易��。
2023 年 9 月�����,它遭受了基于云服務(wù)的災(zāi)難性攻擊,導(dǎo)致價(jià)值約 2 億美元的客戶資產(chǎn)被盜���。攻擊發(fā)生后不久�����,Mixin 網(wǎng)絡(luò)就暫停了�����。
根據(jù)官方公告��,Mixin 團(tuán)隊(duì)計(jì)劃盡最大努力將這些損失降到最低�����。
在隨后的直播中���,Mixin Network 創(chuàng)始人馮曉東表示,該平臺(tái)最多只能退還被盜資產(chǎn)的 50%����,其余部分最終將通過“代幣化責(zé)任索賠”來彌補(bǔ),Mixin 將嘗試用其未來的利潤(rùn)�。
正如這種規(guī)模的黑客攻擊之后所發(fā)生的情況一樣��,Mixin最初向黑客提供 2000 萬美元的追溯漏洞賞金��,前提是他們歸還剩余資金��。不幸的是����,這卻被置若罔聞�����,因?yàn)楣粽咭呀?jīng)將被盜的 USDT 兌換成 DAI��,以防止其在鏈上被凍結(jié)����。
Multichain:1.26 億美元
Multichain 作為當(dāng)時(shí)最流行的跨鏈橋接協(xié)議之一����,于 2023 年 7 月 7 日遭到黑客攻擊,導(dǎo)致價(jià)值 1.26 億美元的各種加密貨幣被盜��。
作為有記錄以來最大的加密貨幣黑客攻擊之一�,該攻擊涉及多個(gè)區(qū)塊鏈網(wǎng)絡(luò)���,包括 Fantom、Moonriver 和 Dogechain 以及多種加密資產(chǎn)�����。
迄今為止�����,黑客攻擊的根源仍未確定�����,但黑客有可能獲得對(duì) Multichain 的 MPC 密鑰的控制���。有人懷疑這次黑客攻擊可能是內(nèi)部人員所為(也稱為“rug pull”)��。
產(chǎn)生這種懷疑的部分原因是 Multichain 首席執(zhí)行官趙軍于 2023 年 5 月失蹤��,以及團(tuán)隊(duì)隨后無法對(duì)平臺(tái)進(jìn)行必要的技術(shù)維護(hù)���。
令人驚訝的是,多鏈前端至今仍在運(yùn)行。用戶可以為其資產(chǎn)初始化橋梁�����,但此傳輸永遠(yuǎn)不會(huì)完成���。該平臺(tái)背后的團(tuán)隊(duì)公開指出�,他們無法關(guān)閉該網(wǎng)站或服務(wù)���,因?yàn)樗麄儫o權(quán)訪問多鏈域帳戶��,并警告不要使用該服務(wù)。
Atomic Wallet:1億美元以上
2023 年 6 月����,當(dāng)時(shí)頗受歡迎的加密貨幣自我托管錢包 Atomic Wallet 遭遇重大安全漏洞,導(dǎo)致其約 0.1% 的用戶遭受超過 1 億美元的損失�。
據(jù)報(bào)道,此次攻擊源自臭名昭著的朝鮮黑客組織 Lazarus�,成為今年最令人意想不到的安全事件之一,因?yàn)樽晕彝泄芡ǔ1徽J(rèn)為比第三方托管更安全�����。
雖然漏洞的具體原因仍不明確,但提出了幾種可能性����,包括用于生成私鑰的熵不足(即私鑰可能被暴力破解)和供應(yīng)鏈攻擊。
事后��,至少有三起訴訟針對(duì) Atomic Wallet 及其開發(fā)公司 Atomic Systems 和所有者 Konstantin Gladych 展開����。該公司對(duì)幫助受影響用戶的計(jì)劃一直諱莫如深,并將調(diào)查漏洞根源描述為“復(fù)雜”��。
Stake:4100萬美元
2023 年 9 月����,知名加密賭博平臺(tái) Stake 遭遇了“精心策劃的入侵”,導(dǎo)致跨以太坊����、Polygon 和 BNB 智能鏈平臺(tái)損失了總價(jià)值 4100 萬美元的資產(chǎn)。
被盜資金包括 6001 個(gè) ETH��、390 萬 USDT�����、110 萬 USDC 和 90 萬 DAI。襲擊發(fā)生后不久�,攻擊者開始跨鏈轉(zhuǎn)移這些資金,其中大部分最終被兌換成原生比特幣 (BTC)�����。
這次襲擊����,再次被懷疑是臭名昭著的 Lazarus 黑客組織所為,與其他事件不同的是����,它沒有直接攻破 Stake 的熱錢包私鑰。根據(jù) Stake 創(chuàng)始人 Edward Craven 的說法�,黑客訪問了 Stake 的內(nèi)部交易審批系統(tǒng),從而能夠處理未經(jīng)授權(quán)的交易��。
與本列表上許多其他攻擊不同���,Stake 的這次襲擊并未影響客戶資金。相反�����,黑客攻破了一個(gè)專門用于支付巨額獎(jiǎng)金的熱錢包。
結(jié)語
作為一種分散的金融領(lǐng)域��,加密行業(yè)缺乏中央實(shí)體來強(qiáng)制財(cái)政責(zé)任����,因此,用戶主要依靠自我托管解決方案和最新的加密安全實(shí)踐知識(shí)來保護(hù)自己的資產(chǎn)�����。
遺憾的是�,仍有大量加密用戶,包括一些精通技術(shù)的人���,被各種黑客攻擊和騙局所害����。
