今年,黑客攻擊和加密貨幣欺詐已造成超過 23 億美元的損失,凸顯了該行業安全漏洞的持續存在。這一數字涵蓋了 165 起事件,比上一年增加了 40%。
雖然總損失少於 2022 年的 37 億美元,但攻擊的持續增加表明該行業針對高級威脅的防禦措施仍然不足。
以太坊和訪問控制缺陷主導損失
根據 Cyvers 的年度報告,訪問控制漏洞是主要的損失因素之一,佔被盜資金總額的 81%。
儘管這些事件僅佔案例的 41.6%,但其巨大的影響反映了安全協議管理不善的危險。以太坊是今年受影響最嚴重的區塊鏈,損失超過 12 億美元。
2022 年至 2024 年加密貨幣黑客的主要攻擊媒介。來源:Cyvers
今年一個非常令人不安的趨勢是“殺豬”詐騙盛行。這些精心策劃的欺詐計劃已從毫無戒心的用戶那裏騙取了超過 36 億美元,其中大部分活動集中在以太坊區塊鏈上。
訪問控制違規和生豬屠宰等複雜騙局的增加凸顯了實施基於人工智能的風險評估、交易驗證和異常檢測工具的重要性。 Cyvers 告訴 BeInCrypto,安全性必須不斷髮展,以應對日益複雜和協調的攻擊。
此外,智能合約中的漏洞主導了攻擊領域,尤其是在 DeFi 領域。 2024 年第三季度損失最嚴重,同期損失達 7.9 億美元。
如果加密平臺想要避免成爲黑客的下一個受害者,他們需要部署強大的檢測和預防系統,並將其整合到危機應對機制中。 Cyvers 的數據顯示,被黑客攻擊的智能合約十分之九已經過審計,其中許多都經過了嚴格的滲透測試。 Cyvers 研究人員指出,這顯然還不夠。
相比之下,第四季度的活動明顯減少,表明惡意操作暫時停止。
每個季度因加密貨幣黑客攻擊而損失的資金。資料來源:Cyvers
2024 年最大的加密貨幣黑客攻擊
今年最大的單一事件清楚地提醒人們加密生態系統中存在的漏洞。
7 月,印度加密貨幣交易所 WazirX 遭遇毀滅性黑客攻擊,損失約 2.349 億美元。攻擊者利用交易所多重簽名 (multisig) 錢包中的弱點,未經授權訪問資金。
多重簽名錢包需要多個私鑰來進行交易批准,通常被認爲更安全。然而,這一事件表明,此類系統實施不當可能會導致災難性的違規行爲。
此外,WazirX 暫時停止交易和提現以遏制損害,並啓動了全面的安全審計。儘管做出了這些努力,該交易所在尋求監管部門批准恢復運營期間仍處於離線狀態。
我們正在努力在最短的時間內獲得法院對該計劃的批准。 WazirX 最近在 X(前身爲 Twitter)上寫道,根據法律和監管要求,該平臺將在該計劃生效後恢復交易。
11 月,印度當局逮捕了一名與此次黑客攻擊有關的嫌疑人,但主謀仍逍遙法外。調查人員批評負責保護 WazirX 數字錢包的 Liminal Custody 公司未能在調查期間提供關鍵信息。
著名的區塊鏈貸款機構 Radiant Capital 是今年另一個備受矚目的受害者。 10 月份,該平臺在多鏈攻擊中損失超過 5000 萬美元。
據報道,黑客獲得了該平臺的三個私鑰,使他們能夠跨多個網絡竊取資產,包括 Arbitrum、幣安智能鏈、Base 和以太坊。
黑客已在 Radiant Capital 團隊成員的計算機上部署了木馬,誘騙硬件錢包簽署惡意轉賬。資料來源:丹尼爾·馮·範格
攻擊和安全漏洞震動了該行業
這次攻擊是由朝鮮支持的攻擊者所爲,他們越來越多地利用先進的策略瞄準加密貨幣行業。 Radiant Capital 的泄露事件反映出跨鏈操作的高風險以及對更好的私鑰管理的迫切需要。
與此同時,日本加密貨幣交易所 DMM Bitcoin 面臨 2024 年最嚴重的事件之一。5 月份,在攻擊者泄露私鑰後,該平臺損失了約 4,502.9 個比特幣,當時價值 3.2 億美元。儘管爲追回被盜資產並安撫客戶做出了長期努力,DMM Bitcoin 還是於 12 月宣佈關閉。
該交易所開始將用戶賬戶轉移到 SBI VC Trade,這標誌着其運營結果嚴峻。該事件凸顯了密鑰安全性不足的破壞性影響,尤其是對於中心化平臺而言。
CeFi 風險和先進技術帶來的新威脅
中心化金融平臺(CeFi)繼續面臨重大挑戰。單點故障,例如集中儲備和密鑰管理監督不足,使這些平臺成爲攻擊者的有吸引力的目標。
事實證明,多重簽名投資組合在某些條件下很脆弱,對多重簽名投資組合的依賴進一步加劇了這些風險。包括量子計算和人工智能在內的新興技術預計將通過日益複雜的攻擊方法來加劇威脅。
這些發展需要採取主動的安全措施來跟上不斷變化的威脅形勢。專家指出,通過使用主動威脅監控解決方案,可以防止 WazirX 和 Radiant Capital 違規等事件。
Cyvers 告訴 BeInCrypto,我們可以肯定地說,如果這些公司使用了此類解決方案,那麼像 2.35 億美元的 WazirX 黑客攻擊和 5000 萬美元的 Radiant Capital 黑客攻擊這樣的重大攻擊是可以避免的,並且 100% 的資金可以被保存。
今年惡意活動的急劇增加反映出整個加密貨幣生態系統迫切需要加強防禦。沒有實時監控和預防性安全工具的平臺仍然很容易遭到破壞,使用戶的資金面臨風險。
該行業必須優先採用先進的安全措施,並促進利益相關者之間加強合作,以有效應對這些威脅。
零日攻擊是不可預測的,並且不基於已知的先前實踐。 Cyvers 專家指出,如果沒有實時監控和檢測機制以及預防工具,加密平臺就無法實時面對和預防此類攻擊。
然而,隨着加密貨幣行業的不斷髮展,尋求利用其漏洞的攻擊者的聰明才智也會隨之增長。今年發生的事件清楚地表明,被動措施已經不夠了。
這篇文章《2024 年加密貨幣欺詐和攻擊中被盜的金額超過 23 億美元》首先出現在 BeInCrypto Brasil 上。
