今年,黑客攻击和加密货币欺诈已造成超过 23 亿美元的损失,凸显了该行业安全漏洞的持续存在。这一数字涵盖了 165 起事件,比上一年增加了 40%。
虽然总损失少于 2022 年的 37 亿美元,但攻击的持续增加表明该行业针对高级威胁的防御措施仍然不足。
以太坊和访问控制缺陷主导损失
根据 Cyvers 的年度报告,访问控制漏洞是主要的损失因素之一,占被盗资金总额的 81%。
尽管这些事件仅占案例的 41.6%,但其巨大的影响反映了安全协议管理不善的危险。以太坊是今年受影响最严重的区块链,损失超过 12 亿美元。
2022 年至 2024 年加密货币黑客的主要攻击媒介。来源:Cyvers
今年一个非常令人不安的趋势是“杀猪”诈骗盛行。这些精心策划的欺诈计划已从毫无戒心的用户那里骗取了超过 36 亿美元,其中大部分活动集中在以太坊区块链上。
访问控制违规和生猪屠宰等复杂骗局的增加凸显了实施基于人工智能的风险评估、交易验证和异常检测工具的重要性。 Cyvers 告诉 BeInCrypto,安全性必须不断发展,以应对日益复杂和协调的攻击。
此外,智能合约中的漏洞主导了攻击领域,尤其是在 DeFi 领域。 2024 年第三季度损失最严重,同期损失达 7.9 亿美元。
如果加密平台想要避免成为黑客的下一个受害者,他们需要部署强大的检测和预防系统,并将其整合到危机应对机制中。 Cyvers 的数据显示,被黑客攻击的智能合约十分之九已经过审计,其中许多都经过了严格的渗透测试。 Cyvers 研究人员指出,这显然还不够。
相比之下,第四季度的活动明显减少,表明恶意操作暂时停止。
每个季度因加密货币黑客攻击而损失的资金。资料来源:Cyvers
2024 年最大的加密货币黑客攻击
今年最大的单一事件清楚地提醒人们加密生态系统中存在的漏洞。
7 月,印度加密货币交易所 WazirX 遭遇毁灭性黑客攻击,损失约 2.349 亿美元。攻击者利用交易所多重签名 (multisig) 钱包中的弱点,未经授权访问资金。
多重签名钱包需要多个私钥来进行交易批准,通常被认为更安全。然而,这一事件表明,此类系统实施不当可能会导致灾难性的违规行为。
此外,WazirX 暂时停止交易和提现以遏制损害,并启动了全面的安全审计。尽管做出了这些努力,该交易所在寻求监管部门批准恢复运营期间仍处于离线状态。
我们正在努力在最短的时间内获得法院对该计划的批准。 WazirX 最近在 X(前身为 Twitter)上写道,根据法律和监管要求,该平台将在该计划生效后恢复交易。
11 月,印度当局逮捕了一名与此次黑客攻击有关的嫌疑人,但主谋仍逍遥法外。调查人员批评负责保护 WazirX 数字钱包的 Liminal Custody 公司未能在调查期间提供关键信息。
著名的区块链贷款机构 Radiant Capital 是今年另一个备受瞩目的受害者。 10 月份,该平台在多链攻击中损失超过 5000 万美元。
据报道,黑客获得了该平台的三个私钥,使他们能够跨多个网络窃取资产,包括 Arbitrum、币安智能链、Base 和以太坊。
黑客已在 Radiant Capital 团队成员的计算机上部署了木马,诱骗硬件钱包签署恶意转账。资料来源:丹尼尔·冯·范格
攻击和安全漏洞震动了该行业
这次攻击是由朝鲜支持的攻击者所为,他们越来越多地利用先进的策略瞄准加密货币行业。 Radiant Capital 的泄露事件反映出跨链操作的高风险以及对更好的私钥管理的迫切需要。
与此同时,日本加密货币交易所 DMM Bitcoin 面临 2024 年最严重的事件之一。5 月份,在攻击者泄露私钥后,该平台损失了约 4,502.9 个比特币,当时价值 3.2 亿美元。尽管为追回被盗资产并安抚客户做出了长期努力,DMM Bitcoin 还是于 12 月宣布关闭。
该交易所开始将用户账户转移到 SBI VC Trade,这标志着其运营结果严峻。该事件凸显了密钥安全性不足的破坏性影响,尤其是对于中心化平台而言。
CeFi 风险和先进技术带来的新威胁
中心化金融平台(CeFi)继续面临重大挑战。单点故障,例如集中储备和密钥管理监督不足,使这些平台成为攻击者的有吸引力的目标。
事实证明,多重签名投资组合在某些条件下很脆弱,对多重签名投资组合的依赖进一步加剧了这些风险。包括量子计算和人工智能在内的新兴技术预计将通过日益复杂的攻击方法来加剧威胁。
这些发展需要采取主动的安全措施来跟上不断变化的威胁形势。专家指出,通过使用主动威胁监控解决方案,可以防止 WazirX 和 Radiant Capital 违规等事件。
Cyvers 告诉 BeInCrypto,我们可以肯定地说,如果这些公司使用了此类解决方案,那么像 2.35 亿美元的 WazirX 黑客攻击和 5000 万美元的 Radiant Capital 黑客攻击这样的重大攻击是可以避免的,并且 100% 的资金可以被保存。
今年恶意活动的急剧增加反映出整个加密货币生态系统迫切需要加强防御。没有实时监控和预防性安全工具的平台仍然很容易遭到破坏,使用户的资金面临风险。
该行业必须优先采用先进的安全措施,并促进利益相关者之间加强合作,以有效应对这些威胁。
零日攻击是不可预测的,并且不基于已知的先前实践。 Cyvers 专家指出,如果没有实时监控和检测机制以及预防工具,加密平台就无法实时面对和预防此类攻击。
然而,随着加密货币行业的不断发展,寻求利用其漏洞的攻击者的聪明才智也会随之增长。今年发生的事件清楚地表明,被动措施已经不够了。
这篇文章《2024 年加密货币欺诈和攻击中被盗的金额超过 23 亿美元》首先出现在 BeInCrypto Brasil 上。