VanEck顾问:我们高估了B
2023年10大加密货币黑客攻击和漏洞利用事件盘点
2024.01.02
作者:Vishal Chawla,The Block;编译:松雪,金色财经
多年来,加密行业一直面临黑客和协议漏洞的挑战。
这种趋势一直持续到 2023 年。不过,有一个好消息:黑客数量同比下降了 50% 以上。
TRM Labs 的数据显示,今年黑客窃取的加密货币资金金额估计为 17 亿美元,不到 2022 年记录的 40 亿美元的一半。 尽管总体损失有所减少,但个别项目仍被盗走大笔资金。
今年发生了多起备受瞩目的黑客事件,影响了 Multichain、Euler Finance、Mixin Network 和 Atomic Wallet 等知名实体。
然后在 11 月份,与 Tron 创始人 Justin Sun 相关的三个加密项目——Poloniex、HTX 和 Heco Bridge——在一系列漏洞中总共损失了超过 2 亿美元。
许多此类事件中反复出现的一个问题涉及私钥漏洞,使犯罪者能够获取用户资金。 全年,朝鲜黑客组织 Lazarus进行多次攻击,总共造成超过 3 亿美元的损失。
本篇文章深入研究了今年最大的加密货币盗窃案,研究了受影响的项目以及导致每次攻击的因素。
Mixin Network —— 2 亿美元
总部位于香港的加密项目 Mixin Network 遭受了今年最大的加密漏洞攻击。
9 月 23 日,黑客从用户的热钱包中盗取了惊人的 2 亿美元资金后,该公司不得不突然停止运营。
Mixin 报告称“其云服务提供商的数据库遭到黑客攻击”。 虽然该公司没有提供进一步的解释,但分析师认为受影响的数据库可能持有用户账户的私钥——解锁他们所持有的加密货币的助记短语。
Euler Finance — 1.97 亿美元
很少有事件能像 2023 年 3 月针对借贷协议 Euler 的攻击那样生动地体现了 DeFi 的大胆和脆弱性。 就在此时,价值 1.97 亿美元的加密货币因一种奇怪的伎俩消失了。
罪魁祸首是谁? 一名黑客通过操纵 Euler 发行的稳定币 eDAI 和 dDAI 之间的汇率来利用借贷协议上的漏洞。 通过使用 DAI 重复调用“donateToReserves”函数,攻击者能够抬高 eDAI/dDAI 费率。
他们利用闪电贷(一种在同一以太坊交易中偿还的贷款)来破坏持有这两种代币的流动性池的平衡。 这引发了以 dDAI 计价的借款人头寸的清算,以从协议中吸走资金。
但故事并没有就此结束。 后来,攻击者采取了一种被称为“白帽”的举动,返还了被盗资金。 除了一小部分战利品之外,几乎所有的赏金都返回给了团队,为受害者提供了救济。
Multichain——1.25 亿美元
据报道,7 月,跨链桥 Multichain 在其支持的不同区块链上被利用,价值 1.25 亿美元的加密货币被利用,其中 Fantom 获得的资金金额最大。 这发生在桥接因“由于不可预见的情况而出现多个问题”而被暂停后不久。
迄今为止,黑客攻击的确切原因仍不清楚,因为尚未提供结论性的事后分析报告。
正如安全公司 Halborn 所解释的,一个可能的因素表明,该桥智能合约的私钥因黑客利用其代码中的错误而受到损害。
有人担心该团队本身可能应对此次事件负责,而 Multichain 首席执行官赵军在黑客攻击前失踪,加剧了这种担忧。
在此活动之前,他被中国当局逮捕,据透露,他对该协议的资金拥有独家控制权,这与 Multichain 之前的去中心化主张相矛盾。 Multichain目前不再运行。
Poloniex —— 1.2 亿美元
2023 年 11 月,涉嫌朝鲜 Lazarus Group 的黑客从 Poloniex 的热钱包中窃取了惊人的 1.2 亿美元,很可能是通过获取私钥来实现的。
直接的后果是可以预见的:交易和提款停止。 该交易所表示将补偿受影响的用户。 Poloniex 自 2014 年以来一直作为中心化交易所运营。Tron 创始人孙宇晨 (Justin Sun) 于 2019 年收购了该交易所。
2023 年 6 月,加密钱包应用程序 Atomic 的用户钱包账户被清空。 黑客从大约 5,500 名用户那里窃取了价值超过 1 亿美元的资产。 由于 Atomic 尚未提供解释,该事件背后的主要原因仍不清楚。
人们怀疑该漏洞可能是由事件发生前一年 Least Authority 的安全分析师标记的代码漏洞造成的。 慢雾的分析师也发现了潜在的问题。
链上分析公司 Elliptic 追踪了超过 5,500 个攻击目标钱包,并表示朝鲜黑客协会 Lazarus Group 是此次攻击的幕后黑手。
8 月,俄罗斯的一群受害者对 Atomic 背后的公司提起集体诉讼,称其未能保护用户资产。 几个月后,该公司回复动议,要求美国法院驳回诉讼。
Heco Bridge,HTX — 9900 万美元
11 月,Heco(HTX 交易所建立的区块链)上的主要跨链桥出现了大规模漏洞。 犯罪者控制了跨链桥的主要智能合约或运营商账户,导致超过 8600 万美元的各种加密货币被盗。
