上一篇我們主要解讀了朝鮮黑客 Lazarus Group、主要釣魚團伙及部分洗錢工具在 2023 年的動態。本篇主要聚焦於 2023 年十大攻擊事件。
十大攻擊事件
(2023 損失 Top10 的安全攻擊事件)
Mixin
2023 年 9 月 23 日,Mixin Network 雲服務提供商數據庫遭到攻擊,導致主網部分資產丟失,涉及資金約 2 億美元,是 2023 年損失最大的攻擊事件。隨後,Mixin 官推稱,已聯繫谷歌和慢霧安全團隊協助調查。官方表示將最多賠付 50% 的損失,剩餘部分以債券代幣形式賠付,並用利潤進行回購。
(https://twitter.com/SlowMist_Team/status/1706133260869468503)
(https://twitter.com/MixinKernel/status/1706139175018529139)
Euler Finance
2023 年 3 月 13 日,DeFi 借貸協議 Euler Finance 遭到攻擊,攻擊者獲利約 1.97 億美元。據慢霧安全團隊分析,攻擊者的整個攻擊流程主要是利用閃電貸的資金去存款,之後在兩次疊加槓桿借貸後通過將資金直接捐贈給儲備地址來觸發清算邏輯,最後通過軟清算自己來套利出之前剩餘的所有資金。攻擊的主要原因有兩點:第一點是將資金捐贈給儲備地址後沒有檢查自身是否處於爆倉狀態,導致能直接觸發軟清算的機制,第二點是由於高倍槓桿觸發軟清算邏輯時,yield 數值會增大,導致清算者只需轉移一部分的負債到自身即可獲得被清算人的大部分抵押資金,由於抵押資金的價值是大於負債的價值(負債因爲軟清算只轉移了一部分),所以清算者可以成功通過自身的健康係數檢查而提取獲得的資金。4 月 4 日,Euler Labs 在推特上表示,經過成功協商,攻擊者已歸還 3 月 13 日從協議中盜取的所有資金。
2024 年 1 月 10 日,Euler Labs 的 CEO Michael Bentley 發佈名爲《戰爭與和平》的博客,其中記述了這起攻擊事件的背景、處理過程等細節。(https://medium.com/eulerfinance/war-peace-ab2670711175)
(https://twitter.com/euler_mab/status/1745079435332550836)
Poloniex
2023 年 11 月 10 日,Poloniex 交易所遭黑客攻擊,造成的損失約爲 1.3 億美元。據慢霧安全團隊分析,從攻擊者這種迅速、專業的手法來看,猜測是典型的 APT 攻擊,攻擊者或爲朝鮮黑客組織 Lazarus Group。孫宇晨表示:"Poloniex 團隊已成功識別並凍結了與黑客地址相關的部分資產。目前,損失在可控範圍內,Poloniex 的營業收入可以彌補這些損失,將全額償還受影響的資金。”
(https://twitter.com/SlowMist_Team/status/1723006264693657708)
BonqDAO & AllianceBlock
2023 年 2 月 2 日,非託管借貸平臺 BonqDAO 和加密基礎設施平臺 AllianceBlock 因 BonqDAO 的智能合約漏洞而被黑客攻擊,損失約 1.2 億美元。其中黑客從 BonqDAO 的一個金庫中移除了大約 1.14 億 WALBT(1100 萬美元)、AllianceBlock 的包裝原生代幣和 9800 萬 BEUR 代幣(1.08 億美元)。據慢霧安全團隊分析,此次攻擊的根本原因在於攻擊者利用預言機報價所需抵押物的成本遠低於攻擊獲得利潤從而通過惡意提交錯誤的價格操控市場並清算其他用戶。此外 AllianceBlock 表示該事件與 BonqDAO 金庫無關,沒有智能合約被破壞,兩個團隊都致力於消除流動性,以減輕黑客將被盜代幣轉換爲其他資產的行爲。詳情可見 AllianceBlock 迴應 BonqDAO 黑客攻擊的聲明。
(https://medium.com/allianceblock/allianceblock-issues-statement-in-response-to-bonqdao-hack-6510a61fcf5c)
HTX & Heco Bridge
2023 年 11 月 22 日,HTX(原 Huobi)及其相關的 Heco 跨鏈橋被黑客攻擊,總金額達 1.133 億美元。孫宇晨於推特迴應了此次攻擊事件:“HTX 和 Heco 跨鏈橋遭受黑客攻擊。HTX 將全額補償 HTX 熱錢包損失。暫停充值和提現。請社區放心, HTX 所有資金安全。我們正在調查黑客攻擊的具體原因。一旦我們完成調查並查明原因,我們將恢復服務。”
(https://twitter.com/justinsuntron/status/1727304656622326180)
Atomic Wallet
2023 年 6 月 3 日,多名 Atomic Wallet 用戶在社交媒體發文稱自己的錢包資產被盜。Atomic 表示目前不到 1% 的月活用戶受到影響/已上報。據慢霧安全團隊分析,Atomic 錢包官方緊急下線 cloudflare 的下載站點與 sha256sum 驗證站點,由此猜測可能是在歷史版本下載這個環節上出現了安全問題。預計造成至少 1 億美元的損失。
Orbit Chain
2023 年 12 月 31 日,跨鏈橋協議 Orbit Chain 遭黑客攻擊,損失 8160 萬美元。Orbit Chain 發推表示,團隊已要求全球主要加密貨幣交易平臺凍結被盜資產。2024 年 1 月 11 日,Orbit Chain 推特更新稱將向決定性情報提供者發放最高 800 萬美元賞金。
(https://twitter.com/Orbit_Chain/status/1745331289098711041)
Curve Finance 及相關事件
2023 年 7 月 30 日,Curve Finance 推特稱,由於遞歸鎖出現故障,許多使用 Vyper 0.2.15 的穩定幣池(alETH/msETH/pETH) 遭到攻擊。crvUSD 合約和其它資金池不受影響。截至目前,Curve Finance 穩定幣池黑客攻擊事件已造成 Alchemix、JPEG'd、MeTRONomeDAO、deBridge、Ellipsis 和 CRV/ETH 池累計損失 7350 萬美元。8 月 6 日, Alchemix 發推表示,Curve Finance 黑客已將 Alchemix 在 Curve 池中的資金全部歸還。8 月 19 日,MeTRONomeDAO 表示名爲 "c0ffeebabe" 的 MEV bot 已收回大部分被盜資金並歸還給了 MeTRONome。
CoinEx
2023 年 9 月 12 日,加密貨幣交易所 CoinEx 遭遇黑客攻擊,初步確定事件原因爲熱錢包私鑰泄露,造成的損失預計已達 7000 萬美元,影響波及多個區塊鏈。CoinEx 推特稱,已識別並隔離與黑客攻擊相關的可疑錢包地址,存取款服務已暫停。9 月 13 日,慢霧安全團隊在分析過程中發現 CoinEx 黑客與 Stake.com 黑客、Alphapo 黑客存在關聯,CoinEx 黑客或爲朝鮮黑客團伙 Lazarus Group。
(https://twitter.com/SlowMist_Team/status/1701919426009035190)
Alphapo
2023 年 7 月 23 日,加密貨幣支付服務商 Alphapo 熱錢包被盜,損失約 6000 萬美元,包括 Ethereum、TRON 和 BTC。被盜資金首先被在以太坊上交換爲 ETH,然後跨鏈到 Avalanche 和 BTC 網絡。Alphapo 處理許多博彩服務的支付,比如 HypeDrop、Bovada 和 Ignition。此次黑客攻擊很可能是由 Lazarus Group 完成。
總結
2023 年十大攻擊事件導致共計約 11.45 億美元的損失,其中 Euler Finance 的被盜資金成功全部收回,Curve Finance 及相關事件收回了部分被盜資金。慢霧安全團隊建議項目方進行全面的審計,及時發現並修復潛在的安全漏洞;建立健全的應急計劃,以便在遭受攻擊時能夠快速、有效地應對;在安全事件發生後,主動披露,承擔責任,並採取切實可行的補救措施,控制影響範圍和程度。
完整報告下載:
https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(CN).pdf