2023年10大加密货币黑客攻击和漏洞利用事件盘点
作者:Vishal Chawla,The Block;编译:松雪,金色财经
多年来,加密行业一直面临黑客和协议漏洞的挑战。
这种趋势一直持续到 2023 年。不过,有一个好消息:黑客数量同比下降了 50% 以上。
TRM Labs 的数据显示,今年黑客窃取的加密货币资金金额估计为 17 亿美元,不到 2022 年记录的 40 亿美元的一半。 尽管总体损失有所减少,但个别项目仍被盗走大笔资金。
今年发生了多起备受瞩目的黑客事件,影响了 Multichain、Euler Finance、Mixin Network 和 Atomic Wallet 等知名实体。
然后在 11 月份,与 Tron 创始人 Justin Sun 相关的三个加密项目——Poloniex、HTX 和 Heco Bridge——在一系列漏洞中总共损失了超过 2 亿美元。
许多此类事件中反复出现的一个问题涉及私钥漏洞,使犯罪者能够获取用户资金。 全年,朝鲜黑客组织 Lazarus进行多次攻击,总共造成超过 3 亿美元的损失。
本篇文章深入研究了今年最大的加密货币盗窃案,研究了受影响的项目以及导致每次攻击的因素。
总部位于香港的加密项目 Mixin Network 遭受了今年最大的加密漏洞攻击。
9 月 23 日,黑客从用户的热钱包中盗取了惊人的 2 亿美元资金后,该公司不得不突然停止运营。
Mixin 报告称“其云服务提供商的数据库遭到黑客攻击”。 虽然该公司没有提供进一步的解释,但分析师认为受影响的数据库可能持有用户账户的私钥——解锁他们所持有的加密货币的助记短语。
很少有事件能像 2023 年 3 月针对借贷协议 Euler 的攻击那样生动地体现了 DeFi 的大胆和脆弱性。 就在此时,价值 1.97 亿美元的加密货币因一种奇怪的伎俩消失了。
罪魁祸首是谁? 一名黑客通过操纵 Euler 发行的稳定币 eDAI 和 dDAI 之间的汇率来利用借贷协议上的漏洞。 通过使用 DAI 重复调用“donateToReserves”函数,攻击者能够抬高 eDAI/dDAI 费率。
他们利用闪电贷(一种在同一以太坊交易中偿还的贷款)来破坏持有这两种代币的流动性池的平衡。 这引发了以 dDAI 计价的借款人头寸的清算,以从协议中吸走资金。
但故事并没有就此结束。 后来,攻击者采取了一种被称为“白帽”的举动,返还了被盗资金。 除了一小部分战利品之外,几乎所有的赏金都返回给了团队,为受害者提供了救济。
据报道,7 月,跨链桥 Multichain 在其支持的不同区块链上被利用,价值 1.25 亿美元的加密货币被利用,其中 Fantom 获得的资金金额最大。 这发生在桥接因“由于不可预见的情况而出现多个问题”而被暂停后不久。
迄今为止,黑客攻击的确切原因仍不清楚,因为尚未提供结论性的事后分析报告。
正如安全公司 Halborn 所解释的,一个可能的因素表明,该桥智能合约的私钥因黑客利用其代码中的错误而受到损害。
有人担心该团队本身可能应对此次事件负责,而 Multichain 首席执行官赵军在黑客攻击前失踪,加剧了这种担忧。
在此活动之前,他被中国当局逮捕,据透露,他对该协议的资金拥有独家控制权,这与 Multichain 之前的去中心化主张相矛盾。 Multichain目前不再运行。
2023 年 11 月,涉嫌朝鲜 Lazarus Group 的黑客从 Poloniex 的热钱包中窃取了惊人的 1.2 亿美元,很可能是通过获取私钥来实现的。
直接的后果是可以预见的:交易和提款停止。 该交易所表示将补偿受影响的用户。 Poloniex 自 2014 年以来一直作为中心化交易所运营。Tron 创始人孙宇晨 (Justin Sun) 于 2019 年收购了该交易所。
2023 年 6 月,加密钱包应用程序 Atomic 的用户钱包账户被清空。 黑客从大约 5,500 名用户那里窃取了价值超过 1 亿美元的资产。 由于 Atomic 尚未提供解释,该事件背后的主要原因仍不清楚。
人们怀疑该漏洞可能是由事件发生前一年 Least Authority 的安全分析师标记的代码漏洞造成的。 慢雾的分析师也发现了潜在的问题。
链上分析公司 Elliptic 追踪了超过 5,500 个攻击目标钱包,并表示朝鲜黑客协会 Lazarus Group 是此次攻击的幕后黑手。
8 月,俄罗斯的一群受害者对 Atomic 背后的公司提起集体诉讼,称其未能保护用户资产。 几个月后,该公司回复动议,要求美国法院驳回诉讼。
11 月,Heco(HTX 交易所建立的区块链)上的主要跨链桥出现了大规模漏洞。 犯罪者控制了跨链桥的主要智能合约或运营商账户,导致超过 8600 万美元的各种加密货币被盗。
初步分析表明,入侵者操纵了跨链桥的智能合约代码并规避了其安全协议。 这种操纵允许黑客铸造未经授权的代币(通过桥合约),然后将其兑换成以太坊并随后从跨链桥中转出。
HTX(原火币)的热钱包也损失了 1200 万美元。 HTX 顾问兼 Tron 创始人 Justin Sun 表示,已向攻击者提供白帽赏金奖励。 这一提议似乎被接受了,平台追回了 800 万美元(被盗的 1200 万美元)。
7 月,DeFi 最大的去中心化交易所之一 Curve Finance 遭到攻击。 由于其使用的 Vyper 编程语言存在漏洞,该平台上的多个流动性池被利用,导致黑客窃取了约 7300 万美元的各种加密资产。
安全漏洞允许攻击者利用其智能合约逻辑恶意耗尽资金。 这涉及重入攻击,黑客操纵智能合约快速连续提取资金。
Vyper 内部发生故障的再入防护装置促成了这次攻击。 在 Curve 工厂池之上构建的项目(包括 JPEG’d、Metronome 和 Alchemix)受到了影响。
Curve 团队迅速修复了该漏洞,最终追回了约 5000 万美元(占被盗资金的 70%),缓解了许多用户和利益相关者的担忧。 追回的资金要么由相关道德黑客直接返还,要么在 MEV 机器人运营商(例如 c0ffeebabe.eth)的帮助下保存。
9 月,总部位于香港的中心化加密货币交易所 CoinEx 报告了一次大规模黑客攻击。 黑客渗透了该交易所专为即时交易使用而设计的热钱包,并携带超过 5500 万美元的各种加密货币潜逃。
朝鲜团体Lazarus再次被怀疑参与了这起事件。 调查人员发现 CoinEx 黑客攻击与博彩平台 Stake.com 的另一起盗窃事件之间存在联系,美国联邦调查局称该平台与 Lazarus 黑客组织有关。 分析显示,从 Stake.com 接收被盗资金的钱包地址与 CoinEx 黑客的钱包有直接交互。
去中心化交易所 (DEX) 聚合商 KyberSwap 通过对其 Elastic 平台的攻击而被利用,窃取了约 5400 万美元的加密货币。
11 月 22 日的攻击源于 Kyber 中心化流动性池的刻度间隔边界中的漏洞,允许犯罪者人为地将流动性加倍并耗尽其价值。
在一次谈判尝试中,Kyber 向黑客提供了 10% 的白帽赏金,以换取黑客返还资金。 然而,黑客没有兴趣接受赏金,并在一条奇怪的链上消息中提出了其他要求,包括要求团队完全控制该项目。
该团队单独追回了 470 万美元的被第三方 MEV 机器人挪用的资金。
基于加密货币的博彩平台 Stake.com 成为其钱包可能被私钥利用的受害者。 2023 年 9 月 4 日,估计价值 4100 万美元的加密货币从该平台被盗。
FBI 在一份报告中根据对以太坊、BNB Chain 和 Polygon 网络上从 Stake.com 接收被盗资金的地址的分析,将此次攻击归咎于 Lazarus。