駭客Summer,盤點2022至今十大Crypto攻擊事件

2022 以來,加密行業駭客攻擊事件頻發。根據慢霧發布的一份報告顯示,2022 年上半年,加密駭客攻擊安全事件共計 187 起,損失高達近 20 億美元。加密 KOL Sabo 在個人社交媒體平台上梳理了 2022 年至今十大 Crypto 駭客攻擊事件,BlockBeats 對其整理翻譯如下:

1. Crypto.com(1 月 17 日,3500 萬美元)

一名駭客禁用了該加密交易平台的雙重身份驗證(2FA),導致客戶資金損失共計 4,836 枚以太坊和 443 枚比特幣。所有受影響客戶最終都得到了全額損失補償。

2. Qubit(1 月 27 日,8000 萬美元)

駭客通過一個智能合約漏洞從 Qubit 的 QBridge 協議中竊取 206,809 枚 BNB,這些資產被盜時價值超過 8000 萬美元。開發團隊被迫解散,協議變更為由 DAO 進行管理。

3. Wormhole(2 月 2 日,3.25 億美元)

Wormhole 事件中駭客利用 SOL-ETH 跨鏈橋上的智能合約,在未存入任何抵押品的情況下提取現金。損失的資金由加密風投 Jump Crypto 補足。

4. IRA FT(2 月 8 日,3700 萬美元)

IRA Financial Trust 是一個以加密貨幣為重點的退休和養老金平台。駭客以某種方式掌握了「萬能鑰匙」後入侵 IRA。IRA 的客戶帳戶由 Gemini 保管,IRA 就駭客攻擊事件向 Gemini 提起訴訟,指控其涉嫌疏忽對客戶的資產保護。

5. Cashio(3 月 22 日,5200 萬美元)

駭客用無價值的抵押品「無限」鑄造 Cashio 的 Stablecoin CASH。CASH 發生嚴重脫錨,至今未恢復。



6. Axie Infinity(3 月 28 日,6.25 億美元)

Ronin 橋駭客事件是有史以來以法幣計最大的加密駭客事件。駭客們控制了大部分的加密密鑰。當一個 Axie 的開發者點擊了一個假的 offer PDF 文件時,4/9 的驗證節點密鑰被盜。



7. Beanstalk(4 月 17 日,1.82 億美元)

駭客使用「閃電貸」來接管 Stablecoin 的治理協議。資金在同一交易中不斷被借入和償還。駭客通過了一個向烏克蘭捐贈資金的提案,並偷走了剩餘的抵押品。

8. Fei Protocol(4 月 30 日,8000 萬美元)

借貸協議代碼中的一個 bug 允許駭客在貸款的同時收回貸款的抵押物。Fei DAO 替駭客償還了這筆壞帳。Stablecoin FEI 保持了 1 美元的錨定。

9. Harmony(6 月 23 日,1 億美元)

臭名昭著的朝鮮駭客組織 Lazarus 掌握了 2/5 的安全密鑰並拿來批准交易。資產從 Horizon 橋上被盜,這座跨鏈橋讓資產能夠在 Harmony 與以太坊和 BNB Chain 之前流動。

10. Nomad(8 月 1 日,1.9 億美元)

Nomad 一個智能合約的更新使用戶很容易進行欺騙交易,從 Nomad 橋上取錢。白帽駭客已經歸還了價值 3330 萬美元的資金。

反思

去年,我們面臨的更多是社會工程攻擊。但在 2022 年,我們轉向了更多的代碼漏洞和閃光貸款。攻擊者不再依賴大量的人上當受騙,而是能夠直接攻擊 DeFi 協議。

沒有一條鏈能夠處理全球所有交易量。因此,儘管還沒有到達大規模採用的時機,我們似乎正不可避免地走向多鏈未來。這解釋了對跨鏈橋的需求,以及為什麼我們需要保護它們。

2022 年最大的駭客攻擊源自攻擊者發現跨鏈橋和閃電貸協議的漏洞。未來,有必要對每一行代碼進行智能合約審計,包括在啟動前或任何時候改動代碼。

2022 年也是迄今為止朝鮮駭客組織收穫頗豐的一年。隨著 Tornado Cash 制裁在加密行業開創先例,駭客們將會轉向何處?下一個承受美國乃至全球監管機構怒火的又會是誰?

原文連結