作者:Vishal Chawla,The Block;编译:松雪,金色财经
多年来,加密职业一向面临黑客和协议缝隙的挑战。
这种趋势一向持续到 2023 年。不过,有一个好消息:黑客数量同比下降了 50% 以上。
TRM Labs 的数据显现,本年黑客盗取的加密钱银资金金额估量为 17 亿美元,不到 2022 年记载的 40 亿美元的一半。 尽管总体丢失有所减少,但单个项目仍被盗走大笔资金。
本年发生了多起备受瞩目的黑客事情,影响了 Multichain、Euler Finance、Mixin Network 和 Atomic Wallet 等知名实体。
然后在 11 月份,与 Tron 创始人 Justin Sun 相关的三个加密项目——Poloniex、HTX 和 Heco Bridge——在一系列缝隙中一共丢失了超越 2 亿美元。
许多此类事情中重复出现的一个问题触及私钥缝隙,使犯罪者能够获取用户资金。 全年,朝鲜黑客安排 Lazarus进行多次进犯,一共形成超越 3 亿美元的丢失。
本篇文章深入研究了本年最大的加密钱银盗窃案,研究了受影响的项目以及导致每次进犯的要素。
Mixin Network —— 2 亿美元
总部坐落香港的加密项目 Mixin Network 遭受了本年最大的加密缝隙进犯。
9 月 23 日,黑客从用户的热钱包中盗取了惊人的 2 亿美元资金后,该公司不得不忽然停止运营。
Mixin 陈述称“其云服务供给商的数据库遭到黑客进犯”。 尽管该公司没有供给进一步的解说,但剖析师以为受影响的数据库或许持有用户账户的私钥——解锁他们所持有的加密钱银的助记短语。
Euler Finance — 1.97 亿美元
很少有事情能像 2023 年 3 月针对假贷协议 Euler 的进犯那样生动地表现了 DeFi 的大胆和脆弱性。 就在此时,价值 1.97 亿美元的加密钱银因一种古怪的手段消失了。
罪魁祸首是谁? 一名黑客经过操作 Euler 发行的安稳币 eDAI 和 dDAI 之间的汇率来运用假贷协议上的缝隙。 经过运用 DAI 重复调用“donateToReserves”函数,进犯者能够抬高 eDAI/dDAI 费率。
他们运用闪电贷(一种在同一以太坊交易中偿还的贷款)来破坏持有这两种代币的流动性池的平衡。 这引发了以 dDAI 计价的借款人头寸的清算,以从协议中吸走资金。
但故事并没有就此结束。 后来,进犯者采取了一种被称为“白帽”的举动,返还了被盗资金。 除了一小部分战利品之外,简直所有的赏金都回来给了团队,为受害者供给了救助。
Multichain——1.25 亿美元
据报道,7 月,跨链桥 Multichain 在其支撑的不同区块链上被运用,价值 1.25 亿美元的加密钱银被运用,其中 Fantom 获得的资金金额最大。 这发生在桥接因“因为不行预见的状况而出现多个问题”而被暂停后不久。
迄今为止,黑客进犯的确切原因仍不清楚,因为尚未供给结论性的事后剖析陈述。
正如安全公司 Halborn 所解说的,一个或许的要素标明,该桥智能合约的私钥因黑客运用其代码中的过错而受到危害。
有人忧虑该团队本身或许应对此次事情担任,而 Multichain 首席执行官赵军在黑客进犯前失踪,加剧了这种担忧。
在此活动之前,他被我国当局拘捕,据泄漏,他对该协议的资金具有独家操控权,这与 Multichain 之前的去中心化建议相矛盾。 Multichain目前不再运行。
Poloniex —— 1.2 亿美元
2023 年 11 月,涉嫌朝鲜 Lazarus Group 的黑客从 Poloniex 的热钱包中盗取了惊人的 1.2 亿美元,很或许是经过获取私钥来完成的。
直接的结果是能够预见的:交易和提款停止。 该交易所标明将补偿受影响的用户。 Poloniex 自 2014 年以来一向作为中心化交易所运营。Tron 创始人孙宇晨 (Justin Sun) 于 2019 年收购了该交易所。
2023 年 6 月,加密钱包应用程序 Atomic 的用户钱包账户被清空。 黑客从大约 5,500 名用户那里盗取了价值超越 1 亿美元的财物。 因为 Atomic 尚未供给解说,该事情背面的主要原因仍不清楚。
人们置疑该缝隙或许是由事情发生前一年 Least Authority 的安全剖析师标记的代码缝隙形成的。 慢雾的剖析师也发现了潜在的问题。
链上剖析公司 Elliptic 追寻了超越 5,500 个进犯方针钱包,并标明朝鲜黑客协会 Lazarus Group 是此次进犯的幕后黑手。
8 月,俄罗斯的一群受害者对 Atomic 背面的公司提起集体诉讼,称其未能维护用户财物。 几个月后,该公司回复动议,要求美国法院驳回诉讼。
Heco Bridge,HTX — 9900 万美元
11 月,Heco(HTX 交易所建立的区块链)上的主要跨链桥出现了大规模缝隙。 犯罪者操控了跨链桥的主要智能合约或运营商账户,导致超越 8600 万美元的各种加密钱银被盗。
初步剖析标明,入侵者操作了跨链桥的智能合约代码并规避了其安全协议。 这种操作答应黑客铸造未经授权的代币(经过桥合约),然后将其兑换成以太坊并随后从跨链桥中转出。
HTX(原火币)的热钱包也丢失了 1200 万美元。 HTX 参谋兼 Tron 创始人 Justin Sun 标明,已向进犯者供给白帽赏金奖赏。 这一提议似乎被接受了,渠道追回了 800 万美元(被盗的 1200 万美元)。
Curve——7300万美元
7 月,DeFi 最大的去中心化交易所之一 Curve Finance 遭到进犯。 因为其运用的 Vyper 编程语言存在缝隙,该渠道上的多个流动性池被运用,导致黑客盗取了约 7300 万美元的各种加密财物。
安全缝隙答应进犯者运用其智能合约逻辑歹意耗尽资金。 这触及重入进犯,黑客操作智能合约快速接连提取资金。
Vyper 内部发生故障的再入防护设备促成了这次进犯。 在 Curve 工厂池之上构建的项目(包含 JPEG’d、Metronome 和 Alchemix)受到了影响。
Curve 团队敏捷修复了该缝隙,最终追回了约 5000 万美元(占被盗资金的 70%),缓解了许多用户和利益相关者的担忧。 追回的资金要么由相关品德黑客直接返还,要么在 MEV 机器人运营商(例如 c0ffeebabe.eth)的帮助下保存。
CoinEx——5500万美元
9 月,总部坐落香港的中心化加密钱银交易所 CoinEx 陈述了一次大规模黑客进犯。 黑客渗透了该交易所专为即时交易运用而设计的热钱包,并携带超越 5500 万美元的各种加密钱银潜逃。
朝鲜团体Lazarus再次被置疑参加了这起事情。 查询人员发现 CoinEx 黑客进犯与博彩渠道 Stake.com 的另一起盗窃事情之间存在联系,美国联邦查询局称该渠道与 Lazarus 黑客安排有关。 剖析显现,从 Stake.com 接纳被盗资金的钱包地址与 CoinEx 黑客的钱包有直接交互。
KyberSwap — 5400 万美元
去中心化交易所 (DEX) 聚合商 KyberSwap 经过对其 Elastic 渠道的进犯而被运用,盗取了约 5400 万美元的加密钱银。
11 月 22 日的进犯源于 Kyber 中心化流动性池的刻度间隔边界中的缝隙,答应犯罪者人为地将流动性加倍并耗尽其价值。
在一次商洽测验中,Kyber 向黑客供给了 10% 的白帽赏金,以交换黑客返还资金。 然而,黑客没有爱好接受赏金,并在一条古怪的链上消息中提出了其他要求,包含要求团队完全操控该项目。
该团队单独追回了 470 万美元的被第三方 MEV 机器人移用的资金。
Stake.com — 4100 万美元
依据加密钱银的博彩渠道 Stake.com 成为其钱包或许被私钥运用的受害者。 2023 年 9 月 4 日,估量价值 4100 万美元的加密钱银从该渠道被盗。
FBI 在一份陈述中依据对以太坊、BNB Chain 和 Polygon 网络上从 Stake.com 接纳被盗资金的地址的剖析,将此次进犯归咎于 Lazarus。
此时快讯
【ORDI短时突破92美元,日内涨幅18.24%】金色财经报道,行情数据显示,ORDI短时突破92美元,现报89.65美元,24小时涨幅达到18.24%,行情波动较大,请做好风险控制。
