一文盘点 2023 年最严重的加密黑客攻击事件
作者:Daniel Phillips,coinmarketcap 翻译:善欧巴,金色财经
随着 2023 年接近尾声,比特币和整个加密货币市场从残酷的熊市中强势复苏,将被铭记为标志性的一年。然而,加密货币盗窃事件仍然屡见不鲜,仅今年就有近 24 亿美元的资金被盗。
根据区块链安全和分析公司 Certik 的报告,今年第三季度是加密货币盗窃事件最猖獗的时期,184 起已知的案例共造成近 7 亿美元的损失。仅第三季度,被盗金额就超过了第一和第二季度的总和。
尽管这些数字令人震惊,但与去年超过 35 亿美元的总额相比,还是有所减少。
根据 SlowMist 的数据,截至目前,2023 年已确认发生 450 起加密货币盗窃事件,其中以太坊和 BNB 智能链上的去中心化协议成为最常见的攻击目标。
许多区块链平台都建立在开源软件之上,虽然这样做有助于促进透明度和社区协作,但也可能暴露漏洞,被心怀不轨的人加以利用。
在许多情况下,实施法律惩处的力度微乎其微,甚至还有事后悬赏的可能性,这让拥有技术知识的人更有可能将自己的技能用于非法目的。
不幸的是,这种情况使得安全漏洞百出的加密货币交易所、平台、协议以及最终承受这些攻击后果的用户,成为了明显的攻击目标。事实上,在下面列出的被盗事件中,大部分被盗资金很可能永远无法追回。
让我们深入探讨 2023 年最严重的黑客攻击事件。
Kyber Network:5470 万美元
2023 年 11 月发生了一场影响 Kyber Network 的安全事件,攻击者利用与流动性相关的漏洞,成功从 KyberSwap Elastic 窃取了约 5470 万美元。
此次泄露针对的是 KyberSwap跨多个区块链网络的流动性池,包括Arbitrum、Ethereum、Optimism和Polygon。黑客利用新代币铸币功能中的重入漏洞,导致资金重大损失,平台锁定总价值(TVL)下降 90%。
出乎意料的是,黑客提出,如果满足一系列要求,他就会归还被盗资金。其中,攻击者要求完全控制Kyber Network公司,并完全交出所有链上和链下公司资产。
黑客要求在 12 月 10 日之前满足他们的要求,否则条件作废。
来源:Etherscan
看来 Kyber 背后的团队并没有向攻击者屈服,而是正在推进一项补偿计划,其中包括向受影响的用户提供财政拨款。
Curve:7350万美元
Curve 对黑客攻击并不陌生,2023 年 7 月,攻击者利用其多个 Vyper 0.02.15 稳定币池中的错误递归锁来耗尽资金,Curve 再次遭到利用。
受攻击影响的主要协议和池是 Alchemix、JPEG'd、MetronomeDAO、deBridge、Ellipsis 和 CRV/ETH 池。
事情往好的方向发展,在黑客接受了 10% 的追溯性白帽赏金后,大部分被盗资金被返还给 Curve Finance。与此同时,在多名白帽黑客的努力下,Metronome 和 Alchemix 分别追回了 600 万美元和 1300 万美元。
黑客攻击发生近两周后,Curve 承诺在评估损失后,将赔偿仍受影响的人员,以确保资源公平分配。
Euler Finance:1.97 亿美元
今年 3 月,Euler Finance 遭遇了 1.97 亿美元的黑客攻击,成为年度加密货币圈最离奇事件之一。
攻击者利用了 Euler 智能合约的一个漏洞,巧妙地发动了闪电贷攻击。通过这种方式,攻击者窃取了价值 1.97 亿美元的各种加密货币,包括 DAI、wBTC、stETH 和 USDC,几乎将协议资金洗劫一空。
然而,Euler Finance 团队成功追踪到了攻击者并建立了沟通渠道。这似乎震慑到了攻击者,让他们做出了正确的选择,迅速将 "所有可追回资金" 归还给了 Euler 协议金库。
此后,Euler 团队向公众开放了赎回功能,允许用户收回在攻击中损失的资金。Euler 协议目前仍处于停用状态,但团队暗示了即将推出一个新的模块化开放借贷解决方案。
Mixin Network:2 亿美元
Mixin Network是一个去中心化网络,旨在促进数字资产的高效跨链交易。
2023 年 9 月,它遭受了基于云服务的灾难性攻击,导致价值约 2 亿美元的客户资产被盗。攻击发生后不久,Mixin 网络就暂停了。
根据官方公告,Mixin 团队计划尽最大努力将这些损失降到最低。
在随后的直播中,Mixin Network 创始人冯晓东表示,该平台最多只能退还被盗资产的 50%,其余部分最终将通过“代币化责任索赔”来弥补,Mixin 将尝试用其未来的利润。
正如这种规模的黑客攻击之后所发生的情况一样,Mixin最初向黑客提供 2000 万美元的追溯漏洞赏金,前提是他们归还剩余资金。不幸的是,这却被置若罔闻,因为攻击者已经将被盗的 USDT 兑换成 DAI,以防止其在链上被冻结。
Multichain:1.26 亿美元
Multichain 作为当时最流行的跨链桥接协议之一,于 2023 年 7 月 7 日遭到黑客攻击,导致价值 1.26 亿美元的各种加密货币被盗。
作为有记录以来最大的加密货币黑客攻击之一,该攻击涉及多个区块链网络,包括 Fantom、Moonriver 和 Dogechain 以及多种加密资产。
迄今为止,黑客攻击的根源仍未确定,但黑客有可能获得对 Multichain 的 MPC 密钥的控制。有人怀疑这次黑客攻击可能是内部人员所为(也称为“rug pull”)。
产生这种怀疑的部分原因是 Multichain 首席执行官赵军于 2023 年 5 月失踪,以及团队随后无法对平台进行必要的技术维护。
令人惊讶的是,多链前端至今仍在运行。用户可以为其资产初始化桥梁,但此传输永远不会完成。该平台背后的团队公开指出,他们无法关闭该网站或服务,因为他们无权访问多链域帐户,并警告不要使用该服务。
Atomic Wallet:1亿美元以上
2023 年 6 月,当时颇受欢迎的加密货币自我托管钱包 Atomic Wallet 遭遇重大安全漏洞,导致其约 0.1% 的用户遭受超过 1 亿美元的损失。
据报道,此次攻击源自臭名昭著的朝鲜黑客组织 Lazarus,成为今年最令人意想不到的安全事件之一,因为自我托管通常被认为比第三方托管更安全。
虽然漏洞的具体原因仍不明确,但提出了几种可能性,包括用于生成私钥的熵不足(即私钥可能被暴力破解)和供应链攻击。
事后,至少有三起诉讼针对 Atomic Wallet 及其开发公司 Atomic Systems 和所有者 Konstantin Gladych 展开。该公司对帮助受影响用户的计划一直讳莫如深,并将调查漏洞根源描述为“复杂”。
Stake:4100万美元
2023 年 9 月,知名加密赌博平台 Stake 遭遇了“精心策划的入侵”,导致跨以太坊、Polygon 和 BNB 智能链平台损失了总价值 4100 万美元的资产。
被盗资金包括 6001 个 ETH、390 万 USDT、110 万 USDC 和 90 万 DAI。袭击发生后不久,攻击者开始跨链转移这些资金,其中大部分最终被兑换成原生比特币 (BTC)。
这次袭击,再次被怀疑是臭名昭著的 Lazarus 黑客组织所为,与其他事件不同的是,它没有直接攻破 Stake 的热钱包私钥。根据 Stake 创始人 Edward Craven 的说法,黑客访问了 Stake 的内部交易审批系统,从而能够处理未经授权的交易。
与本列表上许多其他攻击不同,Stake 的这次袭击并未影响客户资金。相反,黑客攻破了一个专门用于支付巨额奖金的热钱包。
结语
作为一种分散的金融领域,加密行业缺乏中央实体来强制财政责任,因此,用户主要依靠自我托管解决方案和最新的加密安全实践知识来保护自己的资产。
遗憾的是,仍有大量加密用户,包括一些精通技术的人,被各种黑客攻击和骗局所害。