2023年10大加密貨幣黑客攻擊和漏洞利用事件盤點(diǎn)

作者：Vishal Chawla，The Block；編譯：松雪，

多年來，加密行業(yè)一直面臨黑客和協(xié)議漏洞的挑戰(zhàn)。

這種趨勢一直持續(xù)到 2023 年。不過，有一個(gè)好消息：黑客數(shù)量同比下降了 50% 以上。

TRM Labs 的數(shù)據(jù)顯示，今年黑客竊取的加密貨幣資金金額估計(jì)為 17 億美元，不到 2022 年記錄的 40 億美元的一半。盡管總體損失有所減少，但個(gè)別項(xiàng)目仍被盜走大筆資金。

今年發(fā)生了多起備受矚目的黑客事件，影響了 Multichain、Euler Finance、Mixin Network 和 Atomic Wallet 等知名實(shí)體。

然后在 11 月份，與 Tron 創(chuàng)始人 Justin Sun 相關(guān)的三個(gè)加密項(xiàng)目——Poloniex、HTX 和 Heco Bridge——在一系列漏洞中總共損失了超過 2 億美元。

許多此類事件中反復(fù)出現(xiàn)的一個(gè)問題涉及私鑰漏洞，使犯罪者能夠獲取用戶資金。全年，朝鮮黑客組織 Lazarus進(jìn)行多次攻擊，總共造成超過 3 億美元的損失。

本篇文章深入研究了今年最大的加密貨幣盜竊案，研究了受影響的項(xiàng)目以及導(dǎo)致每次攻擊的因素。

Mixin Network —— 2 億美元

總部位于香港的加密項(xiàng)目 Mixin Network 遭受了今年最大的加密漏洞攻擊。

9 月 23 日，黑客從用戶的熱錢包中盜取了驚人的 2 億美元資金后，該公司不得不突然停止運(yùn)營。

Mixin 報(bào)告稱“其云服務(wù)提供商的數(shù)據(jù)庫遭到黑客攻擊”。 雖然該公司沒有提供進(jìn)一步的解釋，但分析師認(rèn)為受影響的數(shù)據(jù)庫可能持有用戶賬戶的私鑰——解鎖他們所持有的加密貨幣的助記短語。

Euler Finance — 1.97 億美元

很少有事件能像 2023 年 3 月針對借貸協(xié)議 Euler 的攻擊那樣生動(dòng)地體現(xiàn)了 DeFi 的大膽和脆弱性。 就在此時(shí)，價(jià)值 1.97 億美元的加密貨幣因一種奇怪的伎倆消失了。

罪魁禍?zhǔn)资钦l？ 一名黑客通過操縱 Euler 發(fā)行的穩(wěn)定幣 eDAI 和 dDAI 之間的匯率來利用借貸協(xié)議上的漏洞。 通過使用 DAI 重復(fù)調(diào)用“donateToReserves”函數(shù)，攻擊者能夠抬高 eDAI/dDAI 費(fèi)率。

他們利用閃電貸（一種在同一以太坊交易中償還的貸款）來破壞持有這兩種代幣的流動(dòng)性池的平衡。 這引發(fā)了以 dDAI 計(jì)價(jià)的借款人頭寸的清算，以從協(xié)議中吸走資金。

但故事并沒有就此結(jié)束。 后來，攻擊者采取了一種被稱為“白帽”的舉動(dòng)，返還了被盜資金。 除了一小部分戰(zhàn)利品之外，幾乎所有的賞金都返回給了團(tuán)隊(duì)，為受害者提供了救濟(jì)。

Multichain——1.25 億美元

據(jù)報(bào)道，7 月，跨鏈橋 Multichain 在其支持的不同區(qū)塊鏈上被利用，價(jià)值 1.25 億美元的加密貨幣被利用，其中 Fantom 獲得的資金金額最大。 這發(fā)生在橋接因“由于不可預(yù)見的情況而出現(xiàn)多個(gè)問題”而被暫停后不久。

迄今為止，黑客攻擊的確切原因仍不清楚，因?yàn)樯形刺峁┙Y(jié)論性的事后分析報(bào)告。

正如安全公司 Halborn 所解釋的，一個(gè)可能的因素表明，該橋智能合約的私鑰因黑客利用其代碼中的錯(cuò)誤而受到損害。

有人擔(dān)心該團(tuán)隊(duì)本身可能應(yīng)對此次事件負(fù)責(zé)，而 Multichain 首席執(zhí)行官趙軍在黑客攻擊前失蹤，加劇了這種擔(dān)憂。

在此活動(dòng)之前，他被中國當(dāng)局逮捕，據(jù)透露，他對該協(xié)議的資金擁有獨(dú)家控制權(quán)，這與 Multichain 之前的去中心化主張相矛盾。 Multichain目前不再運(yùn)行。

Poloniex —— 1.2 億美元

2023 年 11 月，涉嫌朝鮮 Lazarus Group 的黑客從 Poloniex 的熱錢包中竊取了驚人的 1.2 億美元，很可能是通過獲取私鑰來實(shí)現(xiàn)的。

直接的后果是可以預(yù)見的：交易和提款停止。 該交易所表示將補(bǔ)償受影響的用戶。 Poloniex 自 2014 年以來一直作為中心化交易所運(yùn)營。Tron 創(chuàng)始人孫宇晨 (Justin Sun) 于 2019 年收購了該交易所。

2023 年 6 月，加密錢包應(yīng)用程序 Atomic 的用戶錢包賬戶被清空。 黑客從大約 5,500 名用戶那里竊取了價(jià)值超過 1 億美元的資產(chǎn)。 由于 Atomic 尚未提供解釋，該事件背后的主要原因仍不清楚。

人們懷疑該漏洞可能是由事件發(fā)生前一年 Least Authority 的安全分析師標(biāo)記的代碼漏洞造成的。 慢霧的分析師也發(fā)現(xiàn)了潛在的問題。

鏈上分析公司 Elliptic 追蹤了超過 5,500 個(gè)攻擊目標(biāo)錢包，并表示朝鮮黑客協(xié)會(huì) Lazarus Group 是此次攻擊的幕后黑手。

8 月，俄羅斯的一群受害者對 Atomic 背后的公司提起集體訴訟，稱其未能保護(hù)用戶資產(chǎn)。 幾個(gè)月后，該公司回復(fù)動(dòng)議，要求美國法院駁回訴訟。

Heco Bridge，HTX — 9900 萬美元

11 月，Heco（HTX 交易所建立的區(qū)塊鏈）上的主要跨鏈橋出現(xiàn)了大規(guī)模漏洞。 犯罪者控制了跨鏈橋的主要智能合約或運(yùn)營商賬戶，導(dǎo)致超過 8600 萬美元的各種加密貨幣被盜。

初步分析表明，入侵者操縱了跨鏈橋的智能合約代碼并規(guī)避了其安全協(xié)議。 這種操縱允許黑客鑄造未經(jīng)授權(quán)的代幣（通過橋合約），然后將其兌換成以太坊并隨后從跨鏈橋中轉(zhuǎn)出。

HTX（原火幣）的熱錢包也損失了 1200 萬美元。 HTX 顧問兼 Tron 創(chuàng)始人 Justin Sun 表示，已向攻擊者提供白帽賞金獎(jiǎng)勵(lì)。 這一提議似乎被接受了，平臺(tái)追回了 800 萬美元（被盜的 1200 萬美元）。

Curve——7300萬美元

7 月，DeFi 最大的去中心化交易所之一 Curve Finance 遭到攻擊。 由于其使用的 Vyper 編程語言存在漏洞，該平臺(tái)上的多個(gè)流動(dòng)性池被利用，導(dǎo)致黑客竊取了約 7300 萬美元的各種加密資產(chǎn)。

安全漏洞允許攻擊者利用其智能合約邏輯惡意耗盡資金。 這涉及重入攻擊，黑客操縱智能合約快速連續(xù)提取資金。

Vyper 內(nèi)部發(fā)生故障的再入防護(hù)裝置促成了這次攻擊。 在 Curve 工廠池之上構(gòu)建的項(xiàng)目（包括 JPEG’d、Metronome 和 Alchemix）受到了影響。

Curve 團(tuán)隊(duì)迅速修復(fù)了該漏洞，最終追回了約 5000 萬美元（占被盜資金的 70%），緩解了許多用戶和利益相關(guān)者的擔(dān)憂。 追回的資金要么由相關(guān)道德黑客直接返還，要么在 MEV 機(jī)器人運(yùn)營商（例如 c0ffeebabe.eth）的幫助下保存。

CoinEx——5500萬美元

9 月，總部位于香港的中心化加密貨幣交易所 CoinEx 報(bào)告了一次大規(guī)模黑客攻擊。 黑客滲透了該交易所專為即時(shí)交易使用而設(shè)計(jì)的熱錢包，并攜帶超過 5500 萬美元的各種加密貨幣潛逃。

朝鮮團(tuán)體Lazarus再次被懷疑參與了這起事件。 調(diào)查人員發(fā)現(xiàn) CoinEx 黑客攻擊與博彩平臺(tái) Stake.com 的另一起盜竊事件之間存在聯(lián)系，美國聯(lián)邦調(diào)查局稱該平臺(tái)與 Lazarus 黑客組織有關(guān)。 分析顯示，從 Stake.com 接收被盜資金的錢包地址與 CoinEx 黑客的錢包有直接交互。

KyberSwap — 5400 萬美元

去中心化交易所 (DEX) 聚合商 KyberSwap 通過對其 Elastic 平臺(tái)的攻擊而被利用，竊取了約 5400 萬美元的加密貨幣。

11 月 22 日的攻擊源于 Kyber 中心化流動(dòng)性池的刻度間隔邊界中的漏洞，允許犯罪者人為地將流動(dòng)性加倍并耗盡其價(jià)值。

在一次談判嘗試中，Kyber 向黑客提供了 10% 的白帽賞金，以換取黑客返還資金。 然而，黑客沒有興趣接受賞金，并在一條奇怪的鏈上消息中提出了其他要求，包括要求團(tuán)隊(duì)完全控制該項(xiàng)目。

該團(tuán)隊(duì)單獨(dú)追回了 470 萬美元的被第三方 MEV 機(jī)器人挪用的資金。

Stake.com — 4100 萬美元

基于加密貨幣的博彩平臺(tái) Stake.com 成為其錢包可能被私鑰利用的受害者。 2023 年 9 月 4 日，估計(jì)價(jià)值 4100 萬美元的加密貨幣從該平臺(tái)被盜。

FBI 在一份報(bào)告中根據(jù)對以太坊、BNB Chain 和 Polygon 網(wǎng)絡(luò)上從 Stake.com 接收被盜資金的地址的分析，將此次攻擊歸咎于 Lazarus。