摘要:儘管這些安全事件的累計損失金額達到數十億美元,但絕大多數被盜項目的用戶損失得到補償。
儘管這些安全事件的累計損失金額達到數十億美元,但絕大多數被盜項目的用戶損失得到補償。
整理:餅乾,鏈捕手
3月底,著名鏈遊Axie Infinity旗下側鍊網絡Ronin Network在黑客攻擊事件中損失約6.2億美元資產,成為迄今為止最嚴重的一次DeFi黑客攻擊,進一步加深了公眾對加密世界安全性的擔憂。
近兩年來,巨額資金持續流入加密行業,但其安全性仍然是非常脆弱,來自中心化交易所和DeFi項目的諸多代碼漏洞屢屢遭到黑客的攻擊,各類安全事故的數量、頻次、規模等層面均在迅速增長。
據慢霧統計,2021年區塊鏈安全事件累計導致損失超98億美元,涉及231起安全事故,儘管相當部分的損失被追回或由項目方進行補償,但仍然令加密行業受傷頗深。
根據專業加密安全網站rekt數據以及其它公開資料,鏈捕手按照黑客攻擊中受影響金額的大小盤點前20的黑客攻擊事件。 (截止至2022年4月前)
1、 Ronin Network,6.24 億美元
2022年3月29日,Ronin官方稱其跨鏈橋遭到黑客攻擊,173,600個ETH 和2550 萬USDC 被盜,累計價值約6.2 億美元。
官方表示,該項目被盜原因係五個驗證者私鑰被盜。去年11 月Sky Mavis 和Axie DAO 以減輕用戶成本的初衷建立了一個無Gas RPC 節點,這需要Axie DAO 成為Sky Mavis 驗證者,雖然該RPC節點只持續了一個月,但白名單訪問權限從未被撤銷,從而攻擊者有機會盜取Axie DAO 簽名,集齊5個驗證者共識換成私鑰來偽造假提款。
目前,Axie Infinity 聯合創始人Aleksander L. Larsen 已在推特上發文表示,Axie Infinity 團隊正在努力與黑客溝通挽回損失,以確定最佳補償方案。
2、Poly Network,6.11 億美元
2021年8月10日,跨鏈互操作性協議Poly Network在以太坊、BSC與Polygon部署的智能合約同時遭到黑客攻擊,價值超過6.1億美元資產被盜。
據慢霧團隊分析稱,攻擊者利用特定函數傳入精心構造的數據來修改EthCrossChainData合約的keeper,替換keeper角色的地址後,便可以隨意構造交易,從合約中提取任意數量的資金。
經過多方與黑客的鏈上溝通,黑客最終向項目方歸還了所有盜取的資產,所有用戶都沒有產生實際損失。
3、Wormhole,3.26 億美元
今年2月3日,跨鏈協議Wormhole 遭黑客攻擊,官方確認本次攻擊事件中損失達12 萬枚ETH(約合3.26 億美元)。
根據調查,此次事件的漏洞是Solana 端核心Wormhole 合約的簽名驗證代碼存在錯誤,允許攻擊者偽造來自「監護人」的消息來鑄造whETH。攻擊者通過在Solana 上無限鑄造的whETH (Wormhole ETH)等價物,再通過Wormhole 轉移120,000真實的ETH 到以太坊上。
事件發生後,黑客並未回复項目方的溝通,Wormhole 母公司Jump Trading 旗下Jump Crypto 迅速決定“自掏腰包”向該跨鏈橋智能合約補充了12 萬枚ETH,幫助Wormhole 橋重新上線。
4、BitMart,1.96 億美元
2021年12月5日,加密交易平台BitMart 的以太坊和BSC 熱錢包被盜約1.96 億美元,其中在以太坊上總計約1 億美元,在BSC 上總計約9600 萬美元。
據了解,攻擊者將BitMart 資金從熱錢包轉移到自己錢包,並把大部分幣種通過1inch 交易為ETH 和BNB,然後通過TornadoCash 進行混幣,最終逍遙法外。部分資產則通過與項目方合作得以追回。
此後,BitMart 創始人Sheldon Xia 宣布將使用平台的資金來補償受影響的用戶,並很快開放存取款。
5、Vulcan Forged,1.4 億美元
2021年12月13日,鏈遊項目Vulcan Forged稱148個持有PYR的錢包遭到入侵,超過450萬PYR已被盜,損失總價值超1.4億美元。事後,項目團隊決定將金庫中的PYR用戶補償受影響的用戶錢包。
6、Cream Finance,1.3 億美元
2021年10月27日,抵押借貸平台Cream Finance 遭受閃電貸攻擊,損失約1.3 億美元。
據了解,此次攻擊混合了經濟攻擊和預言機攻擊,攻擊者從MakerDAO 閃電貸出DAI 來創建大量yUSD 代幣,同時通過操縱多資產流動性池,利用價格預言機計算yUSD 價格,yUSD 價格升高後,攻擊者的yUSD 頭寸增加,創造了足夠的借入限額來抵消Cream 以太坊v1 市場的流動性。
11月13日,Cream Financ公佈了對受影響用戶的賠償方案,將利用其金庫的剩餘代幣,並移除項目團隊剩餘的全部Cream代幣分配,向受影響用戶發放1453415枚Cream代幣。
7、Badger 1.2 億美元
2021年12月2日,Badger 用戶界面被黑客攻擊並植入惡意錢包請求,總損失約為2100 BTC 和151 ETH,約合1.2億美元。
此次事件屬於網絡釣魚攻擊,由運行在Badger云網絡上的應用平台Cloudflare的“惡意注入片段”引起的。黑客利用Badger工程師不知情或未授權情況下創建的受損API密鑰,定期注入惡意代碼,獲取到用戶錢包無限授權的批註。
事後,Badger宣布聘請網絡安全公司Mandiant和區塊鏈分析公司Chainalysis來調查這一攻擊事件,並正在與兩家公司以及美國和加拿大的當局合作,以追回任何可能的資金。同時,該項目通過社區投票,決定將部分金庫資產以及部分協議收入在補償受影響的用戶,週期約為一年。
8、Qubit Finance,8000 萬美元
2022年1月28日,BSC借貸項目Qubit疑似遭到黑客攻擊,黑客鑄造大量xETH抵押品並盜取了資金池中約8000萬美元資產。
本次攻擊的主要原因在於在充值普通代幣與native 代幣分開實現的情況下,在對白名單內的代幣進行轉賬操作時未對其是否是0 地址再次進行檢查,導致本該通過native 充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。
Team Mound 是Qubit Finance 的開發團隊,在攻擊事件發生後決定重組並發布補償計劃,將放棄其所有代幣以補償社區。
9、AscendEX,7700 萬美元
2021年12月12日,加密貨幣交易所AscendEX 的以太坊、BSC與Polygon熱錢包累計被盜或超7700萬美元的資產。
事件發生後,該交易所表示將進行全面的安全檢查,如果任何用戶的資金受到此次事件影響,由AscendEX 進行100%賠付。
10、EasyFi,5900 萬美元
2021年4月20日,Layer 2 DeFi 借貸協議EasyFi 創始人Ankitt Gaur 稱協議流動池被轉移了600 萬美元的穩定幣和298 萬個EASY 代幣,總損失約5900萬美元。
據了解,該項目被盜原因為管理員的MetaMask 的助記詞短語密鑰遭到遠程攻擊,EasyFi 智能合約未被黑客攻擊。 EasyFi 已聯繫到Binance 和AscendEx 團隊,黑客並未將代幣從錢包中轉移出去,並且由於流動性限製而無法在DEX 中出售。
事後,該項目表示將按快照補償每個地址的貸方/存款人淨餘額的100%,用戶將分兩部分獲得資金,預先支付25%,剩餘75%以EZ支付,由EASY V2代幣EZ按1:1比例擔保。
11、Uranium Finance,5700 萬美元
2021年4月28日,幣安智能鏈上AMM 協議Uranium Finance 發推稱Uranium 遷移過程中被攻擊,損失金額約為5700 萬美元。
據了解,此次問題發生在Uranium 項目的pair 合約上,該合約的swap 函數部分邏輯參考了PancakeSwap 的邏輯,允許用戶進行閃電貸借出資金。但是該函數在根據恆定乘積公式檢查合約餘額時,存在精度處理錯誤的問題,導致最後合約中計算出的餘額比合約實際的餘額大100 倍,這種情況下,如果攻擊者使用閃電貸進行借款,只需要歸還借貸金額的1% 即可通過檢查,盜走剩餘的99% 的餘額,導致項目損失。
事後Uranium Finance 發表一篇漏洞分析文章並呼籲用戶盡快移走資金,不要再向合約中提供流動性。自此之後,Uranium Finance 的官方再無更新,疑似已停止運營。
12、bZx,5500 萬美元
2021年11月6日,去中心化借貸協議bZx 在Polygon 和BSC 鏈上因私鑰洩露導致超5500 萬美元資產被盜。
據了解,此次事故不是針對協議本身漏洞的黑客攻擊,而是對bZx 開發者的網絡釣魚攻擊,開發人員收到了一封網絡釣魚電子郵件,其中附有包含惡意宏的Word 文檔。打開此文檔會導致開發人員的個人錢包密鑰被盜。黑客能夠控制合約並將其從BZRX中提取出來。
13、Cashio ,4800 萬美元
2022年3月23日,Solana 生態算法穩定幣Cashio 發推警示用戶不要鑄造任何代幣,盡快從池中提取資金。該協議出現一個無限鑄造漏洞,損失約4800萬美元。
Cashio Dollar 是一種由USDT-USDC LP 代幣支持的算法穩定幣,黑客通過繞過一個未被驗證的賬號,非法增發了20億個CASH代幣,並通過多個應用將CASH代幣轉化為UST、 USDC 和USDT-USDC LP,獲利總價值約為4800萬美元。
項目方在遭遇黑客攻擊之後表示沒有足夠的資金償還用戶損失,如果攻擊者退還資金,願意提供100 萬USDC 作為賞金。而攻擊者通過鏈上留言表示,將向10萬美元損失以下的受害者退款。
14、PancakeBunny,4600 萬美元
2021年5月20日,幣安智能鏈BSC上的收益聚合器PancakeBunny 疑似遭遇攻擊,損失約4600萬美元。
這是一次典型的閃電貸攻擊,關鍵點是WBNB-BUNNY LP 的價格計算存在缺陷,而BunnyMinterV2 合約鑄造的BUNNY 數量依賴於此存在缺陷的LP 價格計算方式,最終導致攻擊者利用閃電貸操控了WBNB-BUNNY 池子從而拉高了LP 的價格,使得BunnyMinterV2 合約鑄造了大量的BUNNY 代幣給攻擊者。
PancakeBunny團隊在遭受閃電貸攻擊後發布評估和補償計劃,將通過發行新代幣pBUNNY並創建補償池,補償池由績效費(團隊直接貢獻),從漏洞利用中收回的資金以及QFI代幣空投提供資金。 90天后,原始持有者將以低於市場價的折扣用pBUNNY交換為BUNNY。
15、Kucoin,4500 萬美元
2020年9月20日,Kucoin 熱錢包受到攻擊,損失超2.8 億美元。
此後,Kucoin CEO Johnny Lyu 表示,通過與交易所和項目方合作追回2.22 億美元資金(佔78%),與執法和安全機構進一步合作追回1745 萬美元(佔6%)。最後KuCoin 用保險基金支付了剩餘的資金損失,約4500 萬美元( 16%),在這次事件中沒有用戶遭受損失。
16、Secretswap ,超4000 萬美元
2021年9月14日,基於隱私公鏈Secret Network的DEX項目Secretswap遭到黑客攻擊,流動性池中超4000萬美元資金被黑客取出,事件發生後該項目暫停了Secretswap與Secret Network跨鏈橋的使用,以防止黑客將資產從跨鏈橋轉移至以太坊網絡。
事後調查顯示,該漏洞涉及與SecretSwap獎勵質押相關的單一LP合約,沒有被盜的資金離開網絡,沒有橋樑/代幣合約被攻擊,網絡本身也沒有被攻擊。
數天后,Secret Network通過硬分叉回滾網絡,將被盜資產返還至用戶的流動性資金池,並恢復跨鏈橋的使用。
17、Alpha Finance,3700 萬美元
2021年2月13日,Alpha Finance Lab在官方推特稱黑客利用Alpha Homora V2漏洞,從Iron Bank(Cream V2)借出ETH、DAI、USDC等資產,導致Alpha Homora v2 與Cream v2 之間產生債務關係,損失約3700萬美元。
Alpha團隊的還款方式為:將攻擊者存入Alpha Homora V2 部署器合約的1000 ETH 支付欠款;將攻擊者存入Cream V2 部署器合約中的1000 ETH 支付欠款;Tornado Cash 基金會將會把攻擊者支付的100 ETH 捐款還給Alpha Homora 以支付欠款;Alpha 將承諾使用Alpha Homora V1 和V2 儲備金的20% 償還剩餘的資金,按月向Cream V2 Iron Bank 支付,直至新增債務全部還清。
18、Vee Finance 3700 萬美元
2021年9月21日,雪崩生態借貸平台Vee Finance智能合約被攻擊,損失約3700萬美元。
據了解,導致該漏洞的主要原因是用戶在創建槓桿交易訂單的過程中,預言機僅使用Pangolin pool 的價格作為價格饋送源,而該池價格波動超過3%。預言機會刷新價格,導致攻擊者操縱了Pangolin pool的價格。而操縱Vee Finance預言機價格和收購預言機價格沒有進行小數處理,導致掉期前預期的滑點檢查沒有起作用。
此後,Vee.Finance宣布懸賞50萬美元追查攻擊者,並將承擔全部損失,用平台收入以及儲備中的VEE代幣補償所有貸方和存款用戶,在全部償還之前團隊代幣將不再釋放。
19、Crypto.com 3300 萬美元
2022年1月18日,加密貨幣交易所Crypto.com 的部分賬戶疑似遭遇黑客攻擊,損失約3300萬美元。
據了解,黑客通過繞過現有的2FA驗證,成為提現白名單,其中共有483個賬戶被破解,被盜取4836枚ETH和444枚比特幣,ETH 被發送到Tornado Cash進行混幣。
事件發生後,Crypto.com 表示已經賠償所有用戶的損失,將賬戶內的資產恢復原位。
20、MonoX Finance 3100 萬美元
2021年11月30日,自動做市商協議MonoX 遭到閃電貸攻擊,以太坊和Polygon 上價值約3100 萬美元的加密貨幣被黑客盜走。
據了解,攻擊者利用掉期合約進行操作,將MONO 的價格推高至天價後使用MONO 購買池中所有其他資產。
此後,該項目團隊表示將為所有被盜資產發行債務代幣dMONO並部署dMONO保險庫,將使用我們的收入回購MONO並將MONO發送到這個金庫,任何dMONO持有者都可以隨時通過銷毀他們的dMONO來並獲取MONO來退出金庫,但如果用戶選擇在dMONO達到所欠價值之前提取它,則意味著正在免除剩餘的債務。
進一步統計可以發現,儘管這些安全事件的累計損失金額達到數十億美元,但多數被盜項目的用戶損失得到全額賠付,其中Poly Network、Secretswap 的被盜資產全部找回,Wormhole等8個項目由項目方進行了原幣賠付,其餘項目多數由項目以自身代幣的形式進行賠付,但往往會由於代幣價格下跌,實際賠付金額低於損失金額,僅Uranium Finance 未對用戶進行任何賠付。
由此可以看出,黑客攻擊並沒有想像中那麼可怕,重要的是項目方資源背景以及對用戶的責任感,加密用戶在對任何資金操作保持謹慎的同時,盡可能優先參與具有較強實力的項目與平台,在自身承受範圍內進行相關投資與挖礦行為,以確保資金安全度。
