作者:Daniel Phillips,coinmarketcap 翻譯:善歐巴,金色財經
隨著2023 年接近尾聲,比特幣和整個加密貨幣市場從殘酷的熊市中強勢復甦,將被銘記為標誌性的一年。然而,加密貨幣竊盜事件仍然屢見不鮮,光是今年就有近24 億美元的資金被盜。
根據區塊鏈安全和分析公司Certik 的報告,今年第三季是加密貨幣竊盜事件最猖獗的時期,184 起已知的案例共造成近7 億美元的損失。光是第三季度,被盜金額就超過了第一季和第二季的總和。
儘管這些數字令人震驚,但與去年超過35 億美元的總額相比,還是有所減少。
根據SlowMist 的數據,截至目前,2023 年已確認發生450 起加密貨幣盜竊事件,其中以太坊和BNB 智慧鏈上的去中心化協議成為最常見的攻擊目標。
許多區塊鏈平台都建立在開源軟體之上,雖然這樣做有助於促進透明度和社群協作,但也可能暴露漏洞,被心懷不軌的人加以利用。
在許多情況下,實施法律懲處的力度微乎其微,甚至還有事後懸賞的可能性,這讓擁有技術知識的人更有可能將自己的技能用於非法目的。
不幸的是,這種情況使得安全漏洞百出的加密貨幣交易所、平台、協議以及最終承受這些攻擊後果的用戶,成為了明顯的攻擊目標。事實上,在下面列出的被盜事件中,大部分被盜資金很可能永遠無法追回。
讓我們深入探討2023 年最嚴重的駭客攻擊事件。
Kyber Network:5,470 萬美元
2023 年11 月發生了一場影響Kyber Network 的安全事件,攻擊者利用與流動性相關的漏洞,成功從KyberSwap Elastic 竊取了約5,470 萬美元。
這次洩漏針對的是KyberSwap跨多個區塊鏈網路的流動性池,包括Arbitrum、Ethereum、Optimism和Polygon。駭客利用新代幣鑄幣功能中的重入漏洞,導致資金重大損失,平台鎖定總價值(TVL)下降90%。
出乎意料的是,駭客提出,如果滿足一系列要求,他就會歸還被盜資金。其中,攻擊者要求完全控制Kyber Network公司,並完全交出所有鏈上和鏈下公司資產。
駭客要求在12 月10 日之前滿足他們的要求,否則條件作廢。
來源:Etherscan
看來Kyber 背後的團隊並沒有向攻擊者屈服,而是正在推進一項補償計劃,其中包括向受影響的用戶提供財政撥款。
Curve:7,350萬美元
Curve 對駭客攻擊並不陌生,2023 年7 月,攻擊者利用其多個Vyper 0.02.15 穩定幣池中的錯誤遞歸鎖來耗盡資金,Curve 再次遭到利用。
受攻擊影響的主要協定和池是Alchemix、JPEG’d、MetronomeDAO、deBridge、Ellipsis 和CRV/ETH 池。
事情往好的方向發展,在駭客接受了10% 的追溯性白帽賞金後,大部分被盜資金被返還給Curve Finance。同時,在多名白帽駭客的努力下,Metronome 和Alchemix 分別追回了600 萬美元和1,300 萬美元。
在駭客攻擊發生近兩週後,Curve 承諾在評估損失後,將賠償仍受影響的人員,以確保資源公平分配。
Euler Finance:1.97 億美元
今年3 月,Euler Finance 遭遇了1.97 億美元的駭客攻擊,成為年度加密貨幣圈最離奇事件之一。
攻擊者利用了Euler 智能合約的漏洞,巧妙地發動了閃電貸攻擊。透過這種方式,攻擊者竊取了價值1.97 億美元的各種加密貨幣,包括DAI、wBTC、stETH 和USDC,幾乎將協議資金洗劫一空。
然而,Euler Finance 團隊成功追蹤到了攻擊者並建立了溝通管道。這似乎震懾到了攻擊者,讓他們做出了正確的選擇,迅速將”所有可追回資金” 歸還給了Euler 協議金庫。
此後,Euler 團隊向公眾開放了贖回功能,允許用戶收回攻擊中損失的資金。 Euler 協議目前仍處於停用狀態,但團隊暗示了即將推出一個新的模組化開放借貸解決方案。
Mixin Network:2 億美元
Mixin Network是一個去中心化網絡,旨在促進數位資產的高效跨鏈交易。
2023 年9 月,它遭受了基於雲端服務的災難性攻擊,導致價值約2 億美元的客戶資產被盜。攻擊發生後不久,Mixin 網路就暫停了。
根據官方公告,Mixin 團隊計劃盡最大努力將這些損失降到最低。
在隨後的直播中,Mixin Network 創始人馮曉東表示,該平台最多只能退還被盜資產的50%,其餘部分最終將透過「代幣化責任索賠」來彌補,Mixin 將嘗試用其未來的利潤。
正如這種規模的駭客攻擊之後所發生的情況一樣,Mixin最初向駭客提供2000 萬美元的追溯漏洞賞金,前提是他們歸還剩餘資金。不幸的是,這卻被置若罔聞,因為攻擊者已經將被盜的USDT 兌換成DAI,以防止其在鏈上被凍結。
Multichain:1.26 億美元
Multichain 作為當時最受歡迎的跨鏈橋接協議之一,於2023 年7 月7 日遭到駭客攻擊,導致價值1.26 億美元的各種加密貨幣被盜。
作為有史以來最大的加密貨幣駭客攻擊之一,該攻擊涉及多個區塊鏈網絡,包括Fantom、Moonriver 和Dogechain 以及多種加密資產。
迄今為止,駭客攻擊的根源仍未確定,但駭客有可能獲得對Multichain 的MPC 金鑰的控制。有人懷疑這次駭客攻擊可能是內部人員所為(也稱為「rug pull」)。
產生這種懷疑的部分原因是Multichain 執行長趙軍於2023 年5 月失踪,以及團隊隨後無法對平台進行必要的技術維護。
令人驚訝的是,多鏈前端至今仍在運作。使用者可以為其資產初始化橋樑,但此傳輸永遠不會完成。該平台背後的團隊公開指出,他們無法關閉該網站或服務,因為他們無法存取多鏈網域帳戶,並警告不要使用該服務。
Atomic Wallet:1億美元以上
2023 年6 月,當時頗受歡迎的加密貨幣自我託管錢包Atomic Wallet 遭遇重大安全漏洞,導致其約0.1% 的用戶遭受超過1 億美元的損失。
據報道,這次攻擊源自臭名昭著的北韓駭客組織Lazarus,成為今年最令人意想不到的安全事件之一,因為自我託管通常被認為比第三方託管更安全。
雖然漏洞的具體原因仍不明確,但提出了幾種可能性,包括用於產生私鑰的熵不足(即私鑰可能被暴力破解)和供應鏈攻擊。
事後,至少有三起訴訟針對Atomic Wallet 及其開發公司Atomic Systems 和所有者Konstantin Gladych 展開。該公司對幫助受影響用戶的計劃一直諱莫如深,並將調查漏洞根源描述為「複雜」。
Stake:4100萬美元
2023 年9 月,知名加密賭博平台Stake 遭遇了“精心策劃的入侵”,導致跨以太坊、Polygon 和BNB 智慧鏈平台損失了總價值4,100 萬美元的資產。
被竊資金包括6001 個ETH、390 萬USDT、110 萬USDC 和90 萬DAI。攻擊發生後不久,攻擊者開始跨鏈轉移這些資金,其中大部分最終被兌換成原生比特幣(BTC)。
這次襲擊,再次被懷疑是臭名昭著的Lazarus 駭客組織所為,與其他事件不同的是,它沒有直接攻破Stake 的熱錢包私鑰。根據Stake 創始人Edward Craven 的說法,駭客訪問了Stake 的內部交易審批系統,從而能夠處理未經授權的交易。
與本列表上許多其他攻擊不同,Stake 的這次襲擊並未影響客戶資金。相反,駭客攻破了一個專門用於支付巨額獎金的熱錢包。
結語
作為一種分散的金融領域,加密產業缺乏中央實體來強制財政責任,因此,使用者主要依靠自我託管解決方案和最新的加密安全實踐知識來保護自己的資產。
遺憾的是,仍有大量加密用戶,包括一些精通技術的人,被各種駭客攻擊和騙局所害。