2023年10大加密貨幣黑客攻擊和漏洞利用事件盤點

作者：Vishal Chawla，The Block；編譯：松雪，金色財經

多年來，加密行業一直面臨黑客和協議漏洞的挑战。

這種趨勢一直持續到 2023 年。不過，有一個好消息：黑客數量同比下降了 50% 以上。

TRM Labs 的數據顯示，今年黑客竊取的加密貨幣資金金額估計爲 17 億美元，不到 2022 年記錄的 40 億美元的一半。 盡管總體損失有所減少，但個別項目仍被盜走大筆資金。

今年發生了多起備受矚目的黑客事件，影響了 Multichain、Euler Finance、Mixin Network 和 Atomic Wallet 等知名實體。

然後在 11 月份，與 Tron 創始人 Justin Sun 相關的三個加密項目——Poloniex、HTX 和 Heco Bridge——在一系列漏洞中總共損失了超過 2 億美元。

許多此類事件中反復出現的一個問題涉及私鑰漏洞，使犯罪者能夠獲取用戶資金。 全年，朝鮮黑客組織 Lazarus進行多次攻擊，總共造成超過 3 億美元的損失。

本篇文章深入研究了今年最大的加密貨幣盜竊案，研究了受影響的項目以及導致每次攻擊的因素。

Mixin Network —— 2 億美元

總部位於香港的加密項目 Mixin Network 遭受了今年最大的加密漏洞攻擊。

9 月 23 日，黑客從用戶的熱錢包中盜取了驚人的 2 億美元資金後，該公司不得不突然停止運營。

Mixin 報告稱“其雲服務提供商的數據庫遭到黑客攻擊”。 雖然該公司沒有提供進一步的解釋，但分析師認爲受影響的數據庫可能持有用戶账戶的私鑰——解鎖他們所持有的加密貨幣的助記短語。

Euler Finance — 1.97 億美元

很少有事件能像 2023 年 3 月針對借貸協議 Euler 的攻擊那樣生動地體現了 DeFi 的大膽和脆弱性。 就在此時，價值 1.97 億美元的加密貨幣因一種奇怪的伎倆消失了。

罪魁禍首是誰？ 一名黑客通過操縱 Euler 發行的穩定幣 eDAI 和 dDAI 之間的匯率來利用借貸協議上的漏洞。 通過使用 DAI 重復調用“donateToReserves”函數，攻擊者能夠擡高 eDAI/dDAI 費率。

他們利用閃電貸（一種在同一以太坊交易中償還的貸款）來破壞持有這兩種代幣的流動性池的平衡。 這引發了以 dDAI 計價的借款人頭寸的清算，以從協議中吸走資金。

但故事並沒有就此結束。 後來，攻擊者採取了一種被稱爲“白帽”的舉動，返還了被盜資金。 除了一小部分战利品之外，幾乎所有的賞金都返回給了團隊，爲受害者提供了救濟。

Multichain——1.25 億美元

據報道，7 月，跨鏈橋 Multichain 在其支持的不同區塊鏈上被利用，價值 1.25 億美元的加密貨幣被利用，其中 Fantom 獲得的資金金額最大。 這發生在橋接因“由於不可預見的情況而出現多個問題”而被暫停後不久。

迄今爲止，黑客攻擊的確切原因仍不清楚，因爲尚未提供結論性的事後分析報告。

正如安全公司 Halborn 所解釋的，一個可能的因素表明，該橋智能合約的私鑰因黑客利用其代碼中的錯誤而受到損害。

有人擔心該團隊本身可能應對此次事件負責，而 Multichain 首席執行官趙軍在黑客攻擊前失蹤，加劇了這種擔憂。

在此活動之前，他被中國當局逮捕，據透露，他對該協議的資金擁有獨家控制權，這與 Multichain 之前的去中心化主張相矛盾。 Multichain目前不再運行。

Poloniex —— 1.2 億美元

2023 年 11 月，涉嫌朝鮮 Lazarus Group 的黑客從 Poloniex 的熱錢包中竊取了驚人的 1.2 億美元，很可能是通過獲取私鑰來實現的。

直接的後果是可以預見的：交易和提款停止。 該交易所表示將補償受影響的用戶。 Poloniex 自 2014 年以來一直作爲中心化交易所運營。Tron 創始人孫宇晨 (Justin Sun) 於 2019 年收購了該交易所。

2023 年 6 月，加密錢包應用程序 Atomic 的用戶錢包账戶被清空。 黑客從大約 5,500 名用戶那裏竊取了價值超過 1 億美元的資產。 由於 Atomic 尚未提供解釋，該事件背後的主要原因仍不清楚。

人們懷疑該漏洞可能是由事件發生前一年 Least Authority 的安全分析師標記的代碼漏洞造成的。 慢霧的分析師也發現了潛在的問題。

鏈上分析公司 Elliptic 追蹤了超過 5,500 個攻擊目標錢包，並表示朝鮮黑客協會 Lazarus Group 是此次攻擊的幕後黑手。

8 月，俄羅斯的一群受害者對 Atomic 背後的公司提起集體訴訟，稱其未能保護用戶資產。 幾個月後，該公司回復動議，要求美國法院駁回訴訟。

Heco Bridge，HTX — 9900 萬美元

11 月，Heco（HTX 交易所建立的區塊鏈）上的主要跨鏈橋出現了大規模漏洞。 犯罪者控制了跨鏈橋的主要智能合約或運營商账戶，導致超過 8600 萬美元的各種加密貨幣被盜。

初步分析表明，入侵者操縱了跨鏈橋的智能合約代碼並規避了其安全協議。 這種操縱允許黑客鑄造未經授權的代幣（通過橋合約），然後將其兌換成以太坊並隨後從跨鏈橋中轉出。

HTX（原火幣）的熱錢包也損失了 1200 萬美元。 HTX 顧問兼 Tron 創始人 Justin Sun 表示，已向攻擊者提供白帽賞金獎勵。 這一提議似乎被接受了，平台追回了 800 萬美元（被盜的 1200 萬美元）。

Curve——7300萬美元

7 月，DeFi 最大的去中心化交易所之一 Curve Finance 遭到攻擊。 由於其使用的 Vyper 編程語言存在漏洞，該平台上的多個流動性池被利用，導致黑客竊取了約 7300 萬美元的各種加密資產。

安全漏洞允許攻擊者利用其智能合約邏輯惡意耗盡資金。 這涉及重入攻擊，黑客操縱智能合約快速連續提取資金。

Vyper 內部發生故障的再入防護裝置促成了這次攻擊。 在 Curve 工廠池之上構建的項目（包括 JPEG’d、Metronome 和 Alchemix）受到了影響。

Curve 團隊迅速修復了該漏洞，最終追回了約 5000 萬美元（佔被盜資金的 70%），緩解了許多用戶和利益相關者的擔憂。 追回的資金要么由相關道德黑客直接返還，要么在 MEV 機器人運營商（例如 c0ffeebabe.eth）的幫助下保存。

CoinEx——5500萬美元

9 月，總部位於香港的中心化加密貨幣交易所 CoinEx 報告了一次大規模黑客攻擊。 黑客滲透了該交易所專爲即時交易使用而設計的熱錢包，並攜帶超過 5500 萬美元的各種加密貨幣潛逃。

朝鮮團體Lazarus再次被懷疑參與了這起事件。 調查人員發現 CoinEx 黑客攻擊與博彩平台 Stake.com 的另一起盜竊事件之間存在聯系，美國聯邦調查局稱該平台與 Lazarus 黑客組織有關。 分析顯示，從 Stake.com 接收被盜資金的錢包地址與 CoinEx 黑客的錢包有直接交互。

KyberSwap — 5400 萬美元

去中心化交易所 (DEX) 聚合商 KyberSwap 通過對其 Elastic 平台的攻擊而被利用，竊取了約 5400 萬美元的加密貨幣。

11 月 22 日的攻擊源於 Kyber 中心化流動性池的刻度間隔邊界中的漏洞，允許犯罪者人爲地將流動性加倍並耗盡其價值。

在一次談判嘗試中，Kyber 向黑客提供了 10% 的白帽賞金，以換取黑客返還資金。 然而，黑客沒有興趣接受賞金，並在一條奇怪的鏈上消息中提出了其他要求，包括要求團隊完全控制該項目。

該團隊單獨追回了 470 萬美元的被第三方 MEV 機器人挪用的資金。

Stake.com — 4100 萬美元

基於加密貨幣的博彩平台 Stake.com 成爲其錢包可能被私鑰利用的受害者。 2023 年 9 月 4 日，估計價值 4100 萬美元的加密貨幣從該平台被盜。

FBI 在一份報告中根據對以太坊、BNB Chain 和 Polygon 網絡上從 Stake.com 接收被盜資金的地址的分析，將此次攻擊歸咎於 Lazarus。