作者:Vishal Chawla,The Block;编译:松雪,金色财经
多年来,加密行业一直面临黑客和协议漏洞的挑战。
这种趋势一直持续到 2023 年。不过,有一个好消息:黑客数量同比下降了 50% 以上。
TRM Labs 的数据显示,今年黑客窃取的加密货币资金金额估计为 17 亿美元,不到 2022 年记录的 40 亿美元的一半。 尽管总体损失有所减少,但个别项目仍被盗走大笔资金。
今年发生了多起备受瞩目的黑客事件,影响了 Multichain、Euler Finance、Mixin Network 和 Atomic Wallet 等知名实体。
然后在 11 月份,与 Tron 创始人 Justin Sun 相关的三个加密项目——Poloniex、HTX 和 Heco Bridge——在一系列漏洞中总共损失了超过2 亿美元。
许多此类事件中反复出现的一个问题涉及私钥漏洞,使犯罪者能够获取用户资金。 全年,朝鲜黑客组织 Lazarus进行多次攻击,总共造成超过 3 亿美元的损失。
本篇文章深入研究了今年最大的加密货币盗窃案,研究了受影响的项目以及导致每次攻击的因素。
Mixin Network —— 2 亿美元
总部位于香港的加密项目 Mixin Network 遭受了今年最大的加密漏洞攻击。
9 月 23 日,黑客从用户的热钱包中盗取了惊人的 2 亿美元资金后,该公司不得不突然停止运营。
Mixin 报告称“其云服务提供商的数据库遭到黑客攻击”。 虽然该公司没有提供进一步的解释,但分析师认为受影响的数据库可能持有用户账户的私钥——解锁他们所持有的加密货币的助记短语。
Euler Finance — 1.97 亿美元
很少有事件能像 2023 年 3 月针对借贷协议 Euler 的攻击那样生动地体现了 DeFi 的大胆和脆弱性。 就在此时,价值 1.97 亿美元的加密货币因一种奇怪的伎俩消失了。
罪魁祸首是谁? 一名黑客通过操纵 Euler 发行的稳定币 eDAI 和 dDAI 之间的汇率来利用借贷协议上的漏洞。 通过使用 DAI 重复调用“donateToReserves”函数,攻击者能够抬高 eDAI/dDAI 费率。
他们利用闪电贷(一种在同一以太坊交易中偿还的贷款)来破坏持有这两种代币的流动性池的平衡。 这引发了以 dDAI 计价的借款人头寸的清算,以从协议中吸走资金。
但故事并没有就此结束。 后来,攻击者采取了一种被称为“白帽”的举动,返还了被盗资金。 除了一小部分战利品之外,几乎所有的赏金都返回给了团队,为受害者提供了救济。
Multichain——1.25 亿美元
据报道,7 月,跨链桥 Multichain 在其支持的不同区块链上被利用,价值 1.25 亿美元的加密货币被利用,其中 Fantom 获得的资金金额最大。 这发生在桥接因“由于不可预见的情况而出现多个问题”而被暂停后不久。
迄今为止,黑客攻击的确切原因仍不清楚,因为尚未提供结论性的事后分析报告。
正如安全公司 Halborn 所解释的,一个可能的因素表明,该桥智能合约的私钥因黑客利用其代码中的错误而受到损害。
有人担心该团队本身可能应对此次事件负责,而 Multichain 首席执行官赵军在黑客攻击前失踪,加剧了这种担忧。
在此活动之前,他被中国当局逮捕,据透露,他对该协议的资金拥有独家控制权,这与 Multichain 之前的去中心化主张相矛盾。 Multichain目前不再运行。
Poloniex —— 1.2 亿美元
2023 年 11 月,涉嫌朝鲜 Lazarus Group 的黑客从 Poloniex 的热钱包中窃取了惊人的 1.2 亿美元,很可能是通过获取私钥来实现的。
直接的后果是可以预见的:交易和提款停止。 该交易所表示将补偿受影响的用户。 Poloniex 自 2014 年以来一直作为中心化交易所运营。Tron 创始人孙宇晨 (Justin Sun) 于 2019 年收购了该交易所。
2023 年 6 月,加密钱包应用程序 Atomic 的用户钱包账户被清空。 黑客从大约 5,500 名用户那里窃取了价值超过 1 亿美元的资产。 由于 Atomic 尚未提供解释,该事件背后的主要原因仍不清楚。
人们怀疑该漏洞可能是由事件发生前一年 Least Authority 的安全分析师标记的代码漏洞造成的。 慢雾的分析师也发现了潜在的问题。
链上分析公司 Elliptic 追踪了超过 5,500 个攻击目标钱包,并表示朝鲜黑客协会 Lazarus Group 是此次攻击的幕后黑手。
8 月,俄罗斯的一群受害者对 Atomic 背后的公司提起集体诉讼,称其未能保护用户资产。 几个月后,该公司回复动议,要求美国法院驳回诉讼。
Heco Bridge,HTX — 9900 万美元
11 月,Heco(HTX 交易所建立的区块链)上的主要跨链桥出现了大规模漏洞。 犯罪者控制了跨链桥的主要智能合约或运营商账户,导致超过 8600 万美元的各种加密货币被盗。
初步分析表明,入侵者操纵了跨链桥的智能合约代码并规避了其安全协议。 这种操纵允许黑客铸造未经授权的代币(通过桥合约),然后将其兑换成以太坊并随后从跨链桥中转出。
HTX(原火币)的热钱包也损失了 1200 万美元。 HTX 顾问兼 Tron 创始人 Justin Sun 表示,已向攻击者提供白帽赏金奖励。 这一提议似乎被接受了,平台追回了 800 万美元(被盗的 1200 万美元)。
Curve——7300万美元
7 月,DeFi 最大的去中心化交易所之一 Curve Finance 遭到攻击。 由于其使用的 Vyper 编程语言存在漏洞,该平台上的多个流动性池被利用,导致黑客窃取了约 7300 万美元的各种加密资产。
安全漏洞允许攻击者利用其智能合约逻辑恶意耗尽资金。 这涉及重入攻击,黑客操纵智能合约快速连续提取资金。
Vyper 内部发生故障的再入防护装置促成了这次攻击。 在 Curve 工厂池之上构建的项目(包括 JPEG’d、Metronome 和 Alchemix)受到了影响。
Curve 团队迅速修复了该漏洞,最终追回了约 5000 万美元(占被盗资金的 70%),缓解了许多用户和利益相关者的担忧。 追回的资金要么由相关道德黑客直接返还,要么在 MEV 机器人运营商(例如 c0ffeebabe.eth)的帮助下保存。
CoinEx——5500万美元
9 月,总部位于香港的中心化加密货币交易所 CoinEx 报告了一次大规模黑客攻击。 黑客渗透了该交易所专为即时交易使用而设计的热钱包,并携带超过 5500 万美元的各种加密货币潜逃。
朝鲜团体Lazarus再次被怀疑参与了这起事件。 调查人员发现 CoinEx 黑客攻击与博彩平台 Stake.com 的另一起盗窃事件之间存在联系,美国联邦调查局称该平台与 Lazarus 黑客组织有关。 分析显示,从 Stake.com 接收被盗资金的钱包地址与 CoinEx 黑客的钱包有直接交互。
KyberSwap — 5400 万美元
去中心化交易所 (DEX) 聚合商 KyberSwap 通过对其 Elastic 平台的攻击而被利用,窃取了约5400 万美元的加密货币。
11 月 22 日的攻击源于 Kyber 中心化流动性池的刻度间隔边界中的漏洞,允许犯罪者人为地将流动性加倍并耗尽其价值。
在一次谈判尝试中,Kyber 向黑客提供了 10% 的白帽赏金,以换取黑客返还资金。 然而,黑客没有兴趣接受赏金,并在一条奇怪的链上消息中提出了其他要求,包括要求团队完全控制该项目。
该团队单独追回了 470 万美元的被第三方 MEV 机器人挪用的资金。
Stake.com — 4100 万美元
基于加密货币的博彩平台 Stake.com 成为其钱包可能被私钥利用的受害者。 2023 年 9 月 4 日,估计价值 4100 万美元的加密货币从该平台被盗。
FBI 在一份报告中根据对以太坊、BNB Chain 和 Polygon 网络上从 Stake.com 接收被盗资金的地址的分析,将此次攻击归咎于 Lazarus。