回顧剛剛過去的 2022 年,加密圈動蕩不安,黑天鵝事件頻出,其中僅安全攻擊事件就發生了近 300 起,至少造成 36 億美元損失,其中僅前十大主要攻擊事件就讓攻擊者賺取了超過 20 億美元。另據 WEEX 唯客社群消息,近日有傳聞稱,又有一家合約交易平台的錢包私鑰丢失,并且平台已經欠薪裁員。可見,安全是生命線,任何時候都不能放松警惕。
以下是 WEEX 唯客社群對 2022 年加密圈主要安全事件的盤點,希望通過一個個觸目驚心的數字,引起更多使用者對加密資産安全的重視,共建安全、健康的 Web3 良性發展生态。
中心化機構安全事件
1 月 7 日,數字資産服務商 StoboxCompany 表示,Stobox Token 的部署者位址被駭客入侵,由于 ETH 和 BSC 的部署者位址相同,是以所有儲備資金都已被盜或清算。提醒使用者停止購買 / 出售,官方将把 STBU 快照恢複到駭客攻擊前的最後一筆交易。此次私鑰洩露事件,一度導緻 Stobox 的 Token 下跌 96.93%。
1 月 17 日,加密貨币交易所 Crypto.com 被盜 3500 萬美元。一名黑客關閉了該平台的雙重身份驗證(2FA),導緻客戶損失 4836 個 ETH 和 443 個比特币。最終,所有受影響的客戶都得到了全額補償。
2 月 8 日,美國南達科他州提供自主終身俸帳戶的 IRA Financial Trust 被盜 3700 萬美元。黑客以某種方式掌握了一把「萬能鑰匙」,入侵了該平台。IRA 的客戶帳戶由 Gemini 保管,IRA 就駭客攻擊事件向 Gemini 提起訴訟,指控其涉嫌疏忽對客戶的資産保護。
6 月 1 日,LCX 交易所發推表示平台發生安全事件,已經停止提款功能。據派盾公布的 LCX 交易所與黑客位址,标記為「LCX 2」的位址自 6:29(UTC+8)起陸續将 ETH、LCX 等數十項資産轉移至「0x1654」開頭的黑客位址,大部分資産均已出售為 ETH 并通過 Tornado.Cash 轉移,累計損失價值或超過 600 萬美元。
9 月 21 日,總部位于英國的加密貨币做市商 Wintermute 的熱錢包遭到入侵,黑客從錢包中轉出價值約 1.625 億美元的代币。
11 月 11-12 日,在 FTX 破産程式開始期間,該平台發生了一系列未經授權的交易,Elliptic 表示價值約 4.77 億美元的加密貨币被盜。SBF 在 11 月 16 日的一次采訪中說,他認為這是「前雇員或某人在前雇員的計算機上安裝惡意軟體的地方」,并且在他被關閉之前将肇事者縮小到 8 個人公司的系統。
去中心化平台安全事件
1 月 9 日,去中心化的土地所有權實驗 CityDAO 發推稱,CityDAO Discord 管理者帳戶被黑客入侵。攻擊者從管理者的被盜賬戶中釋出虛假的土地空投消息,29.67 ETH(95,000 美元)資金已被盜,受攻擊的管理者「Lyons800」在推特上表示,這次攻擊是「來自 Discord 的荒謬安全漏洞」。
1 月 11 日消息,體育 NFT 平台 Lympo 遭遇熱錢包安全漏洞,在黑客攻擊時損失了 1.652 億個 LMT 代币,價值 1870 萬美元。攻擊中破壞了 10 個不同的項目錢包,大部分被盜代币都被發送到一個位址,在 Uniswap 和 Sushiswap 上換成 ETH,然後發送到其他位址。在黑客轉移并出售項目熱錢包中的「戰利品」後,LMT 價格暴跌 92% 至 0.0093 美元。
1 月 18 日消息,去中心化交易平台 Crosswise 遭遇攻擊,在近一小時内損失約 87.9 萬美元。黑客利用了一個公開暴露的特權函數,然後利用該函數設定 trustedForwarder,并進一步劫持 Crosswise 的所有者特權。
1 月 27 日,币安智能鍊(BNB Smart Chain)上的 DeFi 協定 Qubit Finance 擁有價值超過 8000 萬美元的 BNB 在橋接漏洞中被盜。攻擊者欺騙協定的智能合約,使其相信他們已經存入抵押品,允許他們鑄造代表橋接 ETH 的資産。他們多次重複這一過程,并以無後盾的橋接 ETH 為抵押借入了多種加密貨币,耗盡了協定的資金。最終,開發團隊被迫解散,協定變更為由 DAO 進行管理。
2 月 2 日,跨鍊協定 Wormhole 遭黑客攻擊,價值 3.21 億美元的 120,000 個 Wrapped Ether(wETH)代币被盜。Wormhole 允許使用者在多個區塊鍊之間發送和接收加密貨币,攻擊者在協定的智能合約中發現了一個漏洞,并能夠在 Solana 上鑄造 120,000 wETH,在沒有存入任何抵押品的情況下将其換成 ETH 進行套現。
3 月 22 日,Cashio 被盜 5200 萬美元。黑客用無價值的抵押品「無限」鑄造 Cashio 的穩定币 CASH,導緻 CASH 發生嚴重脫錨,暴跌至~0,此後一直沒有恢複。
3 月 29 日,鍊遊項目 Axie Infinity 側鍊 Ronin 遭遇黑客攻擊,損失 6.2 億美元。Ronin 側鍊由 9 個驗證節點組成,确認存、取款必須取得 5 個驗證者簽名,攻擊事件發生時,有 5 個驗證節點的私鑰被盜,這些私鑰随後被駭客用于僞造假提款最終,攻擊者竊取了 173,600 枚 ETH 和 2550 萬枚 USDC,總損失高達 6.2 億美元。攻擊者後來被美國執法部門确認為某國政府資助的 Lazarus Group。這是以法币計算的有史以來最大的加密貨币黑客事件。
4 月 17 日,算法穩定币項目 Beanstalk Farms 遭受了 7600 萬美元的攻擊。駭客使用「閃電貸」來接管 Stablecoin 的治理協定,購買治理代币,資金在同一交易中不斷被借入和償還。由于 Beanstalk 耗盡了所有抵押品,該漏洞最初被認為耗資約 1.82 億美元,但最終,攻擊者隻成功拿走了不到一半的資金。
4 月 30 日,Fei Protocol 被盜 8000 萬美元。該借貸協定的一個代碼錯誤允許黑客在貸款的同時提取了這筆貸款的抵押品。最終,Fei DAO 代黑客償還了這筆損失,穩定币 FEI 仍然保持 1 美元挂鈎。
同日,另一個名為 Rari Capital 的 DeFi 協定被利用,損失金額約 7930 萬美元。攻擊者利用協定的 Rar Fuse 流動性池智能合約中的重入漏洞,使它們調用惡意合約的函數來耗盡所有加密貨币池。
6 月 23 日,Horizon Bridge 被盜 1 億美元。區塊鍊驗證公司 Elliptic 将黑客攻擊歸咎于某國網絡犯罪集團 Lazarus Group。據了解,Lazarus 以 Harmony 員工以登入憑據為目标,破壞了該平台的安全系統,掌握了 2/5 的安全密鑰,并在部署自動洗錢程式以轉移其不義之财之前獲得對該協定的控制權。Horizon Bridge 是連接配接以太坊、比特币的跨鍊橋,可讓資産能夠在 Harmony 與以太坊和 BNB Chain 之間流動。
8 月 1 日,允許使用者跨多個區塊鍊交換加密貨币的 Nomad 跨鍊橋的一個漏洞被利用,被盜資産價值超 1.9 億美元。Nomad 對智能合約的更新導緻攻擊者能夠欺騙交易,能夠從 Nomad 橋上提款。相關報告稱,大約 88% 的參與利用的位址被确定為「模仿者」。此後,白帽黑客已經歸還了價值 3330 萬美元的資金。
8 月 3 日,Solana 發生大規模盜币事件,總損失約 800 萬美元,大量使用者在不知情的情況下被清空錢包中的代币。
8 月 14 日,Polkadot 生态項目 Acala 因 iBTC/aUSD 池的漏洞遭黑客攻擊,增發超 12 億生态穩定币 AUSD,導緻 AUSD 嚴重脫錨,價格下跌 70%。
10 月 7 日,BNB Chain 跨鍊橋 BSC Token Hub 遭黑客攻擊,損失約 1 億美元。最初,人們認為攻擊者能夠獲得大約 6 億美元,因為該漏洞允許建立大約 200 萬個 BNB。不過,币安方面在區塊鍊上當機了大約超過 4 億美元的數字資産,而且可能還有更多資産被困在 BNB 區塊鍊端的跨鍊橋中。
10 月 12 日,基于 Solana 的 DeFi 平台 Mango Markets 因攻擊者的市場操縱損失超 1 億美元。
12 月 26 日,多鍊錢包 BitKeep 發生大規模黑客攻擊事件。PeckShield 監測顯示,價值 800 萬美元的資産被盜,包括 4373 枚 BNB、540 萬枚 USDT、19.6 萬枚 DAI 和 1233.21 枚 ETH。BitKeep 官方表示,部分使用者使用的 BitKeep APK 包下載下傳被黑客劫持,使用者使用的錢包已不是官方釋出的版本;已當機部分黑客轉移資金,同時,BitKeep 将上線賠付申請頁面。針對本次黑客攻擊事件已完成立案,并由當地警方聯合網絡安全技術專家成立專案組,BitKeep 将積極配合專案組調查,全力推進被盜資金追回工作。
以上隻是 WEEX 唯客社群梳理的 2022 年主要安全事件。據 OKLink 鍊上衛士盤點,僅 2022 年 12 月就發生 15 起安全事件,造成約 8327 萬美元損失,還不包括前述 BitKeep 被盜事件:
● 12 月 2 日,Ankr 遭黑客攻擊。
● 12 月 2 日,AVAX 鍊上的 overnight.fi 項目遭到攻擊。
● 12 月 6 日,Roast Football(RFB) 項目疑似遭到交易復原攻擊。
● 12 月 10 日,AVAX 鍊項目 MU 和 MUG 項目代币疑似遭遇閃電貸攻擊。
● 12 月 10 日,TiFi Token 遭攻擊。
● 12 月 11 日,BSC 上 TRQ 項目遭閃電貸攻擊。
● 同日,基于 Arbitrum 的 DeFi 協定 Lodestar Finance 遭到攻擊。
● 12 月 13 日,去中心化交易所 ElasticSwap 被攻擊。
● 12 月 14 日,BNB Chain 上項目 NimbusPlatform 遭到攻擊。
● 12 月 16 日,Solana 上的 Raydium 項目遭到攻擊。
● 12 月 6 日,如果使用者将 APE 質押在 NFT 池中,一旦出售該 NFT,使用者将同時失去質押的 APE 所有權。
● 12 月 23 日,Avalanche 生态原生穩定币項目 Defrost Finance 協定 V2 遭遇重入攻擊。
● 12 月 25 日,Rubic 跨鍊聚合器項目遭到攻擊。
● 12 月 26 日,Amun 的産品——PECO 和 DFI 遭到破壞。
● 12 月 29 日,以太坊上 JAY 項目遭遇閃電貸攻擊。
OKLink 的報告稱,2022 年監測到區塊鍊生态相關安全事件至少 290 起。另據安全審計公司 Beosin 截止 2022 年 12 月 30 日的不完全資料統計,2022 年整個區塊鍊生态因各類攻擊造成的損失超 36 億美元,較 2021 年攻擊類損失增長了 47.4%;其中,攻擊事件主要發生在 DeFi 領域,占比 67.6%,導緻 9.47 億美元損失。
WEEX 唯客緊急設立1000BTC安全保護基金
雖然區塊鍊安全攻擊事件主要發生在 DeFi 領域,但中心化平台的安全形勢同樣十分嚴峻。根據 WEEX 唯客社群不完全統計,2022 年中心化平台發生的安全事件共有 6 起,造成的損失至少超過 7.18 億美元。
然而對于安全攻擊事件,平台和使用者能做的隻有加強安全保障,盡可能降低發生的機率,但難以完全杜絕。是以,一旦出現安全損失,平台能不能承擔責任,賠付使用者也很關鍵。比如,前述 Crypto.com、Fei Protocol 都在攻擊發生後賠付了使用者損失,BitKeep 也宣布将上線賠付申請頁面。另一個賠付案例是合約交易平台 WEEX 唯客,雖然其使用者損失不是由安全攻擊事件所引發,但平台在事發後不推責,主動承擔客損賠償責任,同樣赢得了使用者的信賴。
WEEX 唯客作為一家主打安全易用合約交易所,将使用者資金安全放在首位,平台設立了 1000 BTC投資者保護基金,并公示資金池熱錢包位址。對于非使用者自身原因的情況下出現的使用者資産意外損失,WEEX 唯客不推責,主動承擔所有客損賠償責任。
2022 年 9 月 13 日晚間,因美國公布的 CPI 資料遠超市場預期,引發市場極端行情,WEEX 唯客部分地區 App 出現網絡異常以及短暫合約價格異常情況,導緻部分使用者倉位受損。對此,WEEX 唯客團隊在快速完成資料清點後,第一時間對受損使用者進行追蹤處理,賠付總金額超過百萬 U,全部由 WEEX 唯客投資者保護基金承擔。
除了設立安全保護基金,WEEX 唯客在保障系統穩定和資料安全方面也是未雨綢缪,「武裝到牙齒」。2022 年 12 月 18 日,因阿裡雲香港機房節點的一次故障,導緻多家交易所出現系統異常、充值提現不到賬,當機時間超過 24 小時。而 WEEX 唯客所有資料皆于海外資料庫嚴格儲存,伺服器多地部署和備份,并采用滿足軍事級、銀行級安全需求的亞馬遜 AWS,以分散風險和應對各種線路狀況,在本次事件中保持服務線路穩定。
盤點曆次安全事件,普通投資者永遠是最被動且受傷害最大的群體。低迷的市場中賺錢本來就不容易,若是本金受損無疑是晴天霹靂。是以,使用者在選擇交易平台時,一定要選擇安全保障措施充分、資金實力雄厚、負責任的平台,畢竟,保住本金安全永遠是頭等大事,而 WEEX 唯客憑借安全透明、全球合規化不斷提升使用者的信任。