根據 Chainalysis 的數據,2024 年是加密行業艱難的一年,黑客攻擊和漏洞利用造成的損失飆升至 22 億美元。
這比 2023 年被盜的 18 億美元增長了 21.07%。中心化交易所和去中心化金融 (DeFi) 協議都經常成爲攻擊目標,因爲黑客繼續利用安全系統和協議設計中的漏洞。
有些攻擊是出於經濟動機,而其他攻擊,例如與朝鮮有關的拉撒路集團 (Lazarus Group) 發起的攻擊,似乎是國家支持的活動的一部分。
在下面,我們審視了 2024 年影響加密領域的一些最顯著事件。
中心化交易所受到嚴重打擊
DMM Bitcoin 在年度最大黑客攻擊中損失了 3 億美元
在 5 月,日本交易所 DMM Bitcoin 遭遇了 2024 年最大的加密貨幣黑客攻擊。此次攻擊導致超過 4500 BTC 被盜,價值約 3 億美元。安全分析師認爲,這一漏洞可能是由於私鑰被盜或“地址中毒”計劃造成的。
地址中毒涉及創建虛假的交易歷史,以誤導用戶將資金髮送到欺詐地址。該事件被列爲有史以來第八大加密盜竊案件,並引發了對中心化交易所安全的嚴重擔憂。
在事件發生後,DMM Bitcoin 宣佈計劃在 2025 年初將客戶賬戶和保管資產轉移至日本的 SBI Group,以重建信任。
WazirX 多簽名錢包漏洞導致 2.3 億美元損失
在 7 月,印度加密貨幣交易所 WazirX 成爲一起復雜攻擊的受害者,該攻擊利用了其多簽名錢包系統中的漏洞。攻擊者操縱了第三方保管平臺,欺騙授權簽署人批准惡意交易。
此次泄露使攻擊者能夠繞過關鍵安全措施, siphon 價值 2.3 億美元的投資者資金。專家懷疑 Lazarus 組織參與了此次攻擊,考慮到該組織歷史上攻擊加密貨幣平臺的記錄。
事件發生後,WazirX 暫時暫停了提款,並啓動調查以查明根本原因。
BingX 熱錢包泄露損失 4300 萬美元
在 9 月,總部位於新加坡的交易所 BingX 遭遇了一次針對其熱錢包基礎設施的泄露,損失了 4300 萬美元。資金在多次交易中被盜,顯示出這是一次精心策劃的攻擊。被盜資產據報道已被轉換爲以太幣,這是網絡犯罪分子用來掩蓋被盜資金來源的常用策略。
儘管 BingX 將此次黑客攻擊稱爲小事件,但分析師認爲這是 2024 年中心化交易所遭受攻擊的更廣泛趨勢的一部分。
DeFi 協議漏洞導致重大損失
Munchables 遊戲漏洞導致 6200 萬美元被盜
在 3 月,基於 Blast Layer 2 區塊鏈構建的遊戲 Munchables 被利用,損失達到 6250 萬美元。攻擊者利用遊戲可升級代理智能合約中的漏洞來操控代碼並 siphon 資金。
該漏洞使攻擊者能夠在智能合約中引入惡意後門,從而控制用戶存入的資金。令人驚訝的是,被盜資金在流氓開發者自願交出被泄露的錢包私鑰後被追回。
Penpie 協議因重入攻擊損失 2700 萬美元
在 9 月,收益農場平臺 Penpie 因重入攻擊遭受 2700 萬美元的損失。這種方法使攻擊者能夠反覆調用一個脆弱的智能合約功能,創建僞造的代幣並排空資金。
攻擊者在 Pendle Finance 上創建了一個僞造的市場,連接到 Penpie,並利用其來利用代幣驗證過程中的缺陷。儘管 Penpie 團隊努力協商資金的歸還,但攻擊者通過 Tornado Cash 洗錢,導致協議用戶遭受重大損失。
UwU Lend 預言機操控造成 1950 萬美元損失
在 6 月,去中心化借貸平臺 UwU Lend 成爲一起利用其價格預言機缺陷的攻擊的目標。攻擊者操控了 Curve Finance 流動性池中 sUSDE 穩定幣的價格,借入被低估的代幣並從價格調整中獲利。
警報我們的系統檢測到涉及 @UwU_Lend 的一系列可疑交易!攻擊者已執行了 3 筆交易,併成功獲取了約 1950 萬美元。但黑客攻擊仍在進行中!金額可能會增加。現在攻擊者正在將被盜數字資產交換爲 $ETH… https://t.co/8cAB2NWwKV pic.twitter.com/V2RrqYagD2
— Cyvers Alerts (@CyversAlerts) 2024 年 6 月 10 日
該漏洞涉及使用閃電貸款暫時降低穩定幣的價格,使攻擊者能夠在歸還借入資產之前從 UwU Lend 中抽走資金。此事件強調了使用依賴於流動性池實時數據的預言機的風險。
個體和協議特定攻擊
Dai 大戶在 5500 萬美元的網絡釣魚計劃中成爲目標
在 8 月,一名控制 5500 萬美元 Dai 穩定幣的加密大戶成爲網絡釣魚攻擊的目標。攻擊者訪問了受害者的智能合約代理並轉移了他們 Maker Vault 的所有權。這使得攻擊者能夠將 5500 萬 Dai 鑄造成他們的錢包。
該網絡釣魚計劃可能涉及欺騙大戶簽署惡意交易或泄露與其賬戶相關的私鑰。安全專家建議使用硬件錢包,並仔細驗證交易以避免類似攻擊。
Radiant Capital 在一年內遭遇兩次重大黑客攻擊
Radiant Capital 是一個去中心化借貸協議,在 2024 年遭遇了兩次重大攻擊。第一次是在 4 月,造成了 450 萬美元的損失。第二次是在 10 月,涉及對協議多簽名錢包系統的更復雜攻擊,導致損失 5100 萬美元。
警報我們的系統在多個鏈上檢測到涉及 @RDNTCapital 的可疑交易。平臺似乎遭遇了私鑰泄露,導致正在進行的攻擊。惡意行爲者控制了多簽名錢包,並已經抽走了…… pic.twitter.com/Hf9qy4O0E8
— Cyvers Alerts (@CyversAlerts) 2024 年 10 月 16 日
在第二次攻擊中,黑客操縱了顯示給錢包簽署者的交易數據,欺騙他們批准惡意交易。一旦獲得批准,攻擊者便用更改版本替換了借貸池的智能合約,從而獲得了用戶資金的訪問權限。
Sonne Finance 被攻擊損失 2000 萬美元
在 5 月,基於 Optimism Layer 2 網絡的 Sonne Finance 因其基於 Compound v2 分叉設計的漏洞損失了 2000 萬美元。攻擊者利用一個低流動性市場中的取整錯誤,提取了超過存入的資產。
這種類型的漏洞影響了多個具有類似設計的平臺,並突顯了使用遺留系統而沒有足夠保護措施的 DeFi 協議所面臨的持續風險。
Lazarus 組織與更廣泛的安全挑戰
與多個攻擊相關的 Lazarus 組織
Lazarus 組織是一個與朝鮮有關的黑客組織,被懷疑參與了 2024 年幾起最大的加密貨幣盜竊事件,包括針對 WazirX、Radiant Capital 和 BingX 的攻擊。該組織與許多高調的網絡犯罪活動有關,並被認爲利用被盜的加密貨幣爲國家活動提供資金。
專家觀察到該組織戰術的演變,從利用多簽名錢包系統到使用惡意軟件操控交易界面。活動的增加促使人們呼籲在加密貨幣行業加強網絡安全措施。
中心化和去中心化平臺的風險上升
2024 年的攻擊揭示了加密貨幣生態系統中的脆弱性。中心化交易所因其資金集中度高而成爲黑客的主要目標,而 DeFi 協議則面臨來自設計不良的智能合約、審計不足和可利用的價格預言機的風險。
安全公司和區塊鏈開發者正在努力解決這些問題,強調增強錢包安全性、定期審計和更好用戶教育的重要性。隨着行業的增長,採用強有力的網絡安全措施的重要性變得愈發明顯。
2024 年的事件強調了在加密貨幣領域持續保持警惕的必要性。隨着黑客不斷完善他們的方法並利用新的漏洞,公司和投資者必須優先考慮安全,以保護他們的資產免受未來威脅。
文章《2024 年加密貨幣黑客攻擊:在網絡威脅上升的一年中盜取超過 22 億美元》首次出現在 Coinfomania。
