回顾刚刚过去的2022年,加密圈动荡不安,黑天鹅事件频出,其中仅安全攻击事件就发生了近300起,至少造成36亿美元损失,其中仅前十大攻击事件就让攻击者赚取了超过20亿美元。另据WEEX唯客社区消息,近日有传闻称,又有一家合约交易平台的钱包私钥丢失,并且平台已经欠薪裁员。可见,安全是生命线,任何时候都不能放松警惕。
以下是WEEX唯客社区对2022年加密圈主要安全事件的盘点,希望通过一个个触目惊心的数字,引起更多用户对加密资产安全的重视,共建安全、健康的Web3良性发展生态。
中心化机构安全事件
1月7日,数字资产服务商StoboxCompany表示,Stobox Token的部署者地址被骇客入侵,由于ETH和BSC的部署者地址相同,因此所有储备资金都已被盗或清算。提醒用户停止购买/出售,官方将把STBU快照恢复到骇客攻击前的最后一笔交易。此次私钥泄露事件,一度导致Stobox的Token下跌96.93%。
1月17日,加密货币交易所Crypto.com被盗3500万美元。一名黑客关闭了该平台的双重身份验证(2FA),导致客户损失4836个ETH和443个比特币。最终,所有受影响的客户都得到了全额补偿。
2月8日,美国南达科他州提供自主退休金帐户的IRA Financial Trust被盗3700万美元。黑客以某种方式掌握了一把「万能钥匙」,入侵了该平台。IRA的客户帐户由Gemini保管,IRA就骇客攻击事件向Gemini提起诉讼,指控其涉嫌疏忽对客户的资产保护。
6月1日,LCX交易所发推表示平台发生安全事件,已经停止提款功能。据派盾公布的LCX交易所与黑客地址,标记为「LCX 2」的地址自6:29(UTC+8)起陆续将ETH、LCX等数十项资产转移至「0x1654」开头的黑客地址,大部分资产均已出售为ETH并通过Tornado.Cash转移,累计损失价值或超过600万美元。
9月21日,总部位于英国的加密货币做市商Wintermute的热钱包遭到入侵,黑客从钱包中转出价值约1.625亿美元的代币。
11月11-12日,在FTX破产程序开始期间,该平台发生了一系列未经授权的交易,Elliptic表示价值约4.77亿美元的加密货币被盗。SBF在11月16日的一次采访中说,他认为这是「前雇员或某人在前雇员的计算机上安装恶意软件的地方」,并且在他被关闭之前将肇事者缩小到8个人公司的系统。
去中心化平台安全事件
1月9日,去中心化的土地所有权实验CityDAO发推称,CityDAO Discord管理员帐户被黑客入侵。攻击者从管理员的被盗账户中发布虚假的土地空投消息,29.67 ETH(95,000美元)资金已被盗,受攻击的管理员「Lyons800」在推特上表示,这次攻击是「来自Discord的荒谬安全漏洞」。
1月11日消息,体育NFT平台Lympo遭遇热钱包安全漏洞,在黑客攻击时损失了1.652亿个LMT代币,价值1870万美元。攻击中破坏了10个不同的项目钱包,大部分被盗代币都被发送到一个地址,在Uniswap和Sushiswap上换成ETH,然后发送到其他地址。在黑客转移并出售项目热钱包中的「战利品」后,LMT价格暴跌92%至0.0093美元。
1月18日消息,去中心化交易平台Crosswise遭遇攻击,在近一小时内损失约87.9万美元。黑客利用了一个公开暴露的特权函数,然后利用该函数设置trustedForwarder,并进一步劫持Crosswise的所有者特权。
1月27日,币安智能链(BNB Smart Chain)上的DeFi协议Qubit Finance拥有价值超过8000万美元的BNB在桥接漏洞中被盗。攻击者欺骗协议的智能合约,使其相信他们已经存入抵押品,允许他们铸造代表桥接ETH的资产。他们多次重复这一过程,并以无后盾的桥接ETH为抵押借入了多种加密货币,耗尽了协议的资金。最终,开发团队被迫解散,协议变更为由DAO进行管理。
2月2日,跨链协议Wormhole遭黑客攻击,价值3.21亿美元的120,000个Wrapped Ether(wETH)代币被盗。Wormhole允许用户在多个区块链之间发送和接收加密货币,攻击者在协议的智能合约中发现了一个漏洞,并能够在Solana上铸造120,000 wETH,在没有存入任何抵押品的情况下将其换成ETH进行套现。
3月22日,Cashio被盗5200万美元。黑客用无价值的抵押品「无限」铸造Cashio的稳定币CASH,导致CASH发生严重脱锚,暴跌至~0,此后一直没有恢复。
3月29日,链游项目Axie Infinity侧链Ronin遭遇黑客攻击,损失6.2亿美元。Ronin侧链由9个验证节点组成,确认存、取款必须取得5个验证者签名,攻击事件发生时,有5个验证节点的私钥被盗,这些私钥随后被骇客用于伪造假提款最终,攻击者窃取了173,600枚ETH和2550万枚USDC,总损失高达6.2亿美元。攻击者后来被美国执法部门确认为朝鲜政府资助的Lazarus Group。这是以法币计算的有史以来最大的加密货币黑客事件。
4月17日,算法稳定币项目Beanstalk Farms遭受了7600万美元的攻击。骇客使用「闪电贷」来接管Stablecoin的治理协议,购买治理代币,资金在同一交易中不断被借入和偿还。由于Beanstalk耗尽了所有抵押品,该漏洞最初被认为耗资约1.82亿美元,但最终,攻击者只成功拿走了不到一半的资金。
4月30日,Fei Protocol被盗8000万美元。该借贷协议的一个代码错误允许黑客在贷款的同时提取了这笔贷款的抵押品。最终,Fei DAO代黑客偿还了这笔损失,稳定币FEI仍然保持1美元挂钩。
同日,另一个名为Rari Capital的DeFi协议被利用,损失金额约7930万美元。攻击者利用协议的Rar Fuse流动性池智能合约中的重入漏洞,使它们调用恶意合约的函数来耗尽所有加密货币池。
6月23日,Horizon Bridge被盗1亿美元。区块链取证公司Elliptic将黑客攻击归咎于朝鲜网络犯罪集团Lazarus Group。据了解,Lazarus以Harmony员工以登录凭据为目标,破坏了该平台的安全系统,掌握了2/5的安全密钥,并在部署自动洗钱程序以转移其不义之财之前获得对该协议的控制权。Horizon Bridge是连接以太坊、比特币的跨链桥,可让资产能够在Harmony与以太坊和BNB Chain之间流动。
8月1日,允许用户跨多个区块链交换加密货币的Nomad跨链桥的一个漏洞被利用,被盗资产价值超1.9亿美元。Nomad对智能合约的升级导致攻击者能够欺骗交易,能够从Nomad桥上提款。相关报告称,大约88%的参与利用的地址被确定为「模仿者」。此后,白帽黑客已经归还了价值3330万美元的资金。
8月3日,Solana发生大规模盗币事件,总损失约800万美元,大量用户在不知情的情况下被清空钱包中的代币。
8月14日,Polkadot生态项目Acala因iBTC/aUSD池的漏洞遭黑客攻击,增发超12亿生态稳定币AUSD,导致AUSD严重脱锚,价格下跌70%。
10月7日,BNB Chain跨链桥BSC Token Hub遭黑客攻击,损失约1亿美元。最初,人们认为攻击者能够获得大约6亿美元,因为该漏洞允许创建大约200万个BNB。不过,币安方面在区块链上冻结了大约超过4亿美元的数字资产,而且可能还有更多资产被困在BNB区块链端的跨链桥中。
10月12日,基于Solana的DeFi平台Mango Markets因攻击者的市场操纵损失超1亿美元。
12月26日,多链钱包BitKeep发生大规模黑客攻击事件。PeckShield监测显示,价值800万美元的资产被盗,包括4373枚BNB、540万枚USDT、19.6万枚DAI和1233.21枚ETH。BitKeep官方表示,部分用户使用的BitKeep APK包下载被黑客劫持,用户使用的钱包已不是官方发布的版本;已冻结部分黑客转移资金,同时,BitKeep将上线赔付申请页面。针对本次黑客攻击事件已完成立案,并由当地警方联合网络安全技术专家成立专案组,BitKeep将积极配合专案组调查,全力推进被盗资金追回工作。
以上只是WEEX唯客社区梳理的2022年主要安全事件。据OKLink链上卫士盘点,仅2022年12月就发生15起安全事件,造成约8327万美元损失,还不包括前述BitKeep被盗事件:
-
12月2日,Ankr遭黑客攻击。
-
12月2日,AVAX链上的overnight.fi项目遭到攻击。
-
12月6日,Roast Football(RFB)项目疑似遭到交易回滚攻击。
-
12月10日,AVAX链项目MU和MUG项目代币疑似遭遇闪电贷攻击。
-
12月10日,TiFi Token遭攻击。
-
12月11日,BSC上TRQ项目遭闪电贷攻击。
-
同日,基于Arbitrum的DeFi协议Lodestar Finance遭到攻击。
-
12月13日,去中心化交易所ElasticSwap被攻击。
-
12月14日,BNB Chain上项目NimbusPlatform遭到攻击。
-
12月16日,Solana上的Raydium项目遭到攻击。
-
12月6日,如果用户将APE质押在NFT池中,一旦出售该NFT,用户将同时失去质押的APE所有权。
-
12月23日,Avalanche生态原生稳定币项目Defrost Finance协议V2遭遇重入攻击。
-
12月25日,Rubic跨链聚合器项目遭到攻击。
-
12月26日,Amun的产品——PECO和DFI遭到破坏。
-
12月29日,以太坊上JAY项目遭遇闪电贷攻击。
OKLink的报告称,2022年监测到区块链生态相关安全事件至少290起。另据安全审计公司Beosin截止2022年12月30日的不完全数据统计,2022年整个区块链生态因各类攻击造成的损失超36亿美元,较2021年攻击类损失增长了47.4%;其中,攻击事件主要发生在DeFi领域,占比67.6%,导致9.47亿美元损失。
虽然区块链安全攻击事件主要发生在DeFi领域,但中心化平台的安全形势同样十分严峻。根据WEEX唯客社区不完全统计,2022年中心化平台发生的安全事件共有6起,造成的损失至少超过7.18亿美元。
然而对于安全攻击事件,平台和用户能做的只有加强安全保障,尽可能降低发生的概率,但难以完全杜绝。因此,一旦出现安全损失,平台能不能承担责任,赔付用户也很关键。比如,前述Crypto.com、Fei Protocol都在攻击发生后赔付了用户损失,BitKeep也宣布将上线赔付申请页面。另一个赔付案例是合约交易平台WEEX唯客,虽然其用户损失不是由安全攻击事件所引发,但平台在事发后不推责,主动承担客损赔偿责任,同样赢得了用户的信赖。
2022年9月13日晚间,因美国公布的CPI数据远超市场预期,引发市场极端行情,WEEX唯客部分地区App出现网络异常以及短暂合约价格异常情况,导致部分用户仓位受损。对此,WEEX唯客团队在快速完成数据清点后,第一时间对受损用户进行追踪处理,赔付总金额超过百万U,全部由WEEX唯客投资者保护基金承担。此前,WEEX唯客设立了1000 BTC+1000万USDT投资者保护基金,并公示资金池热钱包地址,以在非用户自身原因的情况下有效补偿用户资金出现的意外损失。
盘点历次安全事件,普通投资者永远是最被动且受伤害最大的群体。熊市中赚钱本来就不容易,若是本金受损无疑是晴天霹雳。因此,用户在选择交易平台时,一定要选择安全保障措施充分、资金实力雄厚、负责任的平台,毕竟,保住本金安全永远是头等大事。