2024年对于加密货币用户和公司来说,仍然是一个充满挑战的年份,尤其是在网络安全方面,发生了几起显著的黑客事件。
根据Chainalysis的数据,到2024年12月,黑客盗取的加密货币接近22亿美元。这一数字较2023年的18亿美元有所上升,表明黑客事件的数量同比增长超过22%。
在2024年,大型攻击主要针对DMM Bitcoin、WazirX和BingX等中心化交易所。DeFi协议设计中的缺陷仍然是攻击者关注的另一个焦点,他们利用这些缺陷 siphon 资金。
虽然经济利益仍然是大多数加密货币黑客攻击的主要动机,但其他因素也起到了一定作用。例如,归因于所谓的拉撒路集团在WazirX和Radiant Capital的事件暗示了国家支持的攻击。
本文探讨了2024年最显著的加密货币黑客事件,分析了其背后的原因和黑客使用的策略。
2024年5月,日本加密货币交易所DMM Bitcoin遭遇了年度最大黑客攻击,损失超过4500 BTC,当时价值超过3亿美元。
尽管DMM Bitcoin攻击的确切原因尚不清楚,但专家们提出了潜在的漏洞,例如被盗的私钥或地址中毒。后者是一种欺骗性策略,攻击者向受害者的钱包发送少量加密货币,制造虚假的交易历史,以混淆用户并可能诱使他们将资金发送到错误的地址。
该事件是有史以来第八大加密货币盗窃事件,也是自FTX 4.77亿美元黑客事件以来最大的攻击。
12月,DMM Bitcoin宣布已与日本SBI集团达成协议,计划在2025年3月之前将客户账户和保管资产转移给后者。
2024年7月18日,印度最大的加密货币交易所之一WazirX遭遇了一次大规模黑客攻击,损失约2.3亿美元的投资者资金。
黑客利用复杂的方案攻破了WazirX的多重签名钱包,该钱包需要多个签名来授权交易。通过利用Liminal界面(WazirX使用的加密托管平台)上交易显示的差异,攻击者能够欺骗授权签署人批准恶意交易。这使他们能够绕过安全措施,抽走交易所的加密货币钱包中的资金。
专家怀疑拉撒路集团——一个因参与之前高调加密盗窃而臭名昭著的朝鲜黑客组织——可能参与了此次事件。
WazirX立即采取措施减轻损失,包括暂时停止加密货币和法币的提现。
目前对该黑客事件的调查正在进行中。
2024年3月,基于Blast Layer 2区块链的玩赚游戏Munchables成为了一次重大安全漏洞的受害者。一名未知攻击者利用游戏智能合约中的关键漏洞, siphon 了价值6250万美元的加密货币。该项目的智能合约赋予了相关开发者随意转移资金的权力——这一能力被滥用。
攻击的核心是该项目使用了可升级的代理合约。虽然这种类型的合约提供了灵活性,但如果处理不当,也可能引入漏洞,Halborn的安全分析师Rob Behnke解释说。在这种情况下,恶意开发者控制了智能合约的部署地址,从而获得了更改合约代码的权力。
利用这一特权,攻击者巧妙地在合约中插入了一个恶意后门。随着时间的推移,他们等待大量以太币被存入合约。当时机成熟时,他们触发了漏洞, siphon 了数百万美元的加密货币。
后来,Munchables更新了我们,开发者已同意无条件放弃持有Munchables资产的钱包的私钥,导致资产的完全恢复。攻击者为何决定这样做尚不完全清楚。
在8月,一位加密货币鲸鱼成为了一次复杂钓鱼攻击的受害者,导致损失了价值$5500万的Dai稳定币。
攻击者利用一个漏洞访问了受害者的加密钱包账户,也称为外部拥有账户,该账户控制了Maker协议上的一个金库。这种类型的金库允许用户通过存入抵押品来借入Dai稳定币。
通过利用被攻破的EOA,攻击者将受害者的去中心化服务代理(DSProxy)的所有权转移到一个他们控制的新地址。DSProxy是一个智能合约,使用户能够在单个交易中执行多个合约调用。
DSProxy是自动化复杂交易的工具,是鲸鱼数字金库的关键。通过控制DSProxy,攻击者获得了操纵鲸鱼Maker金库的能力。在控制DSProxy后,黑客将自己设为协议的所有者地址,并将55,473,618个Dai稳定币铸造到他们的钱包中。
安全公司Halborn解释说,攻击者可能对鲸鱼进行了钓鱼攻击,诱使他们签署一笔将代理所有权转移给他们的交易。另一种可能性是,钓鱼攻击破坏了控制DSProxy的钱包账户的私钥。
2024年10月,Radiant Capital在一年内遭遇了第二次严重攻击,导致损失约$5100万。
最初的事件是一次闪电贷攻击,剥夺了该协议大约450万美元。然而,与后来的更复杂攻击相比,这一事件显得微不足道。随后的攻击针对了协议的多重签名机制中的一个缺陷,利用了一种高度复杂的策略。Radiant Capital使用了一个3-of-11的多重签名设置,需要三个私钥来批准关键交易。
尽管如此,攻击者被认为与朝鲜的拉撒路集团有关,绕过了这一安全特性。攻击者操纵了签名过程,欺骗签署人批准看似合法的恶意交易。这种操纵涉及复杂的恶意软件,改变了在Gnosis Safe钱包界面上显示的交易数据。相反,恶意交易被转发到硬件钱包进行签名和实施。
攻击者利用了偶尔的交易失败,这通常被视为正常情况。通过将恶意交易嵌入这些失败中,他们获得了有效的签名而没有引起任何人的警觉。
一旦这些恶意交易获得批准,攻击者便控制了Radiant的一个智能合约,该合约负责管理各种借贷池。这一漏洞使他们能够用恶意版本替换池合约,从而访问用户资金。
在另一起突显中心化加密货币交易所脆弱性的令人担忧的事件中,总部位于新加坡的BingX成为了一次大型安全漏洞的受害者。此次攻击发生在2024年9月20日,导致交易所的热钱包受到影响。
尽管BingX将此事件淡化为“轻微”,但安全分析师估计总损失约为$4300万。被盗资金分多次转移,表明这是一次协调良好的攻击。
这一事件是2024年困扰加密货币行业的CEX黑客攻击令人不安的趋势的一部分。在此次事件中,攻击者未经授权访问了多个区块链,并使用多个漏洞地址收集各种加密货币。随后,这些被盗资金被转换为以太币,这在朝鲜的拉撒路集团中是一种常见做法。
在2024年9月,Penpie协议,一个在Pendle Finance上运营的收益农业平台,遭到攻击,导致损失约2700万美元。
Penpie黑客攻击的根本原因是一个被称为重入攻击的关键漏洞。这种类型的漏洞允许恶意行为者操纵智能合约的执行流程,导致意想不到的后果。
通过在Pendle上构建一个欺骗性的市场,攻击者创建了Pendle“标准化收益”代币的假版本,并将其与Pendle的“流动性提供者”代币关联。这种操纵使攻击者能够重复调用一个脆弱的函数,利用这些伪造的代币膨胀他们的奖励余额。由于智能合约缺乏强有力的验证机制,错误地接受了这些假代币,使攻击者能够抽走大量资金。
尽管攻击的严重性,Penpie团队向攻击者伸出了橄榄枝,提供赏金以换取被盗资金的归还。攻击者选择无视这一请求,并通过Tornado Cash混合器洗钱。
在2024年6月,去中心化借贷平台UwU Lend因其价格预言机的缺陷遭受了$2000万的攻击,该预言机依赖于Curve Finance流动性池的实时数据。攻击者利用这一漏洞,通过一系列精心计算的交易操纵了与美元挂钩的稳定币sUSDE的价格。
攻击开始时,攻击者进行了大额闪电贷,并在Curve池中将大量资产兑换为sUSDE,极大地降低了其价格。随后,攻击者从UwU Lend借入大量被低估的sUSDE代币,使用其他加密货币作为抵押。接着,攻击者在Curve池中交易,将sUSDE的价格恢复到正常水平,从而提升了他们持有资产的价值。
攻击者平仓这些头寸以重新获得最初借入的加密货币,而这些加密货币现在更有价值,并将sUSDE重新存入UwU Lend以借入更多,最终获利1930万美元的以太币。此事件突显了在去中心化金融预言机中使用现货价格的关键漏洞。
在2024年5月,Sonne Finance,一个在Optimism Layer 2链上运营的去中心化借贷协议,因其系统中的一个漏洞遭遇了$2000万的攻击,该漏洞源于Compound v2的分叉。该漏洞通常针对协议的设计缺陷,尤其是在流动性低或新建立的市场中。
在像Sonne这样的Compound v2分叉上创建一个新市场需要初始流动性以防止价格操纵。如果没有这一点,市场就容易受到攻击。智能合约计算中的精度或舍入错误,特别是小数值,可以被操纵。
在Sonne Finance的案例中,攻击者向一个空市场注入了一小部分基础资产,显著改变了基础资产与其代币化对应物之间的汇率。
这导致了一个舍入错误,Sonne Finance的攻击者利用这一点提取了比最初存入的更多基础资产,造成了约2000万美元的总损失。此事件突显了Compound v2分叉的一个反复出现的问题,这在类似的攻击中被利用于像Hundred Finance和Onyx Protocol等平台。
在10月,总部位于阿联酋的M2加密货币交易所成为了一次网络攻击的受害者,导致价值1370万美元的加密货币被盗。
恶意行为者利用了交易所安全系统中的漏洞,未经授权访问了多个“热钱包”——与互联网连接并用于频繁交易的数字钱包。黑客通过破坏这些钱包可以 siphon off 大量加密货币。
事件发生后,M2承认了安全漏洞,并向用户保证情况“已完全解决”。然而,交易所选择使用自己的资产来恢复客户余额,而不是追回被盗资金。
免责声明:The Block是一个独立的媒体机构,提供新闻、研究和数据。截至2023年11月,Foresight Ventures是The Block的主要投资者。Foresight Ventures还投资于加密领域的其他公司。加密交易所Bitget是Foresight Ventures的主要LP。The Block继续独立运营,提供关于加密行业的客观、重要和及时的信息。以下是我们当前的财务披露。
© 2024 The Block. 保留所有权利。本文仅供信息参考。并不提供或意图作为法律、税务、投资、财务或其他建议。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
