本
文
摘
要
在因破产和倒闭而受损的一年中,仅前 10 大主要加密货币漏洞就为恶意行为者赚取了超过 20 亿美元。
对于加密货币行业来说,这是动荡的一年——市场价格大幅下跌,加密巨头倒闭,数十亿美元因加密漏洞和黑客攻击而被盗。
Chainalysis 宣布2022 年是“有史以来黑客活动最盛大的一年”时,甚至还不到 10 月的一半。
截至 12 月 29 日,2022 年 10 大漏洞已从加密协议中窃取了 21 亿美元。以下是这些漏洞利用和黑客攻击,从小到大排名。
10:Beanstalk Farms 漏洞——7600 万美元
4 月 18 日,稳定币协议 Beanstalk Farms遭受了 7600 万美元的攻击,攻击者使用闪电贷购买治理代币。这用于通过两个插入恶意智能合约的提案。
由于 Beanstalk 耗尽了所有抵押品,该漏洞最初被认为耗资约 1.82 亿美元 ,但最终,攻击者只成功逃脱了不到一半的损失。
9:Qubit Finance 桥接漏洞——8000 万美元
BNB Smart Chain 上的去中心化金融(DeFi)协议 Qubit Finance 拥有价值超过 8000 万美元的 BNB1 月 28 日在桥接漏洞中被盗。
攻击者欺骗协议的智能合约,使其相信他们已经存入抵押品,允许他们铸造代表桥接以太币的资产。
他们多次重复这一过程,并以无后盾的桥接 ETH 为抵押借入了多种加密货币,耗尽了协议的资金。
8:Rari Fuse 漏洞——7930 万美元
另一个名为 Rari Capital 的 DeFi 协议于 4 月 30 日被利用,金额约为 7930 万美元。
攻击者利用协议的 Rar Fuse 流动性池智能合约中的重入漏洞,使它们调用恶意合约的函数来耗尽所有加密货币池。
9 月,包括 Rari Capital 和其他 DeFi 协议在内的 Tribe DAO 投票决定赔偿受影响的用户免受黑客攻击。
7:Harmony bridge hack——1 亿美元
在另一个桥接黑客中,连接以太坊、比特币的 Horizon Bridge,而 BNB Chain to Harmony 的第 1 层区块链被耗尽了大约 1 亿美元的多种加密货币。
区块链取证公司 Elliptic将黑客攻击归咎于朝鲜网络犯罪集团 Lazarus Group,因为这些资金的洗钱方式与其他已知的 Lazarus 攻击类似。
据了解,Lazarus 以 Harmony 员工登录凭据为目标,破坏了该平台的安全系统并在部署自动洗钱程序以转移其不义之财之前获得对该协议的控制权。
6:BNB 链桥漏洞利用——1 亿美元
由于网络上的“异常活动”,BNB 链于 10 月 6 日暂停,后来被披露为一个漏洞,从其跨链桥 BSC 令牌中心耗尽了约 1 亿美元。
最初,人们认为攻击者能够获得大约 6 亿美元,因为一个漏洞允许创建大约 200 万个 BNB,该链的本地令牌。
不幸的是,对于攻击者来说,他们在区块链上冻结了价值大约超过 4 亿美元的数字资产,而且可能还有更多资产被困在 BNB 区块链端的跨链桥中。
5:Wintermute 黑客攻击——1.6 亿美元
总部位于英国的加密货币做市商 Wintermute 的热钱包遭到入侵,从钱包中转出的 70 个代币中约有 1.6 亿美元。
区块链网络安全公司 CertiK 的分析称,一个易受攻击的私钥可能是由 Profanity 生成的,这是一个允许用户生成虚荣加密地址的应用程序,具有已知的漏洞。
根据 CertiK 的说法,这允许攻击者使用带有私钥的函数,允许黑客将平台的交换合约更改为黑客自己的。
区块链安全公司 BlockSec驳斥了指控黑客攻击是“内部工作”的阴谋论,该公司表示这些指控“不够令人信服”。
4: Nomad token bridge exploit——190M
8 月 2 日,允许用户跨多个区块链交换加密货币的 Nomad 代币桥被多个攻击者耗尽1.9 亿美元。
未能正确验证交易输入的智能合约漏洞是该漏洞利用的原因。
多个用户,看似既恶意又善意,能够复制原始攻击者的举动,将资金汇集到自己手中。在一份报告中,大约88% 的参与利用的地址被确定为“模仿者”。
只有大约 3260 万美元的资金能够被白帽黑客截获并返回给协议。
3:虫洞桥漏洞——3.21 亿美元
Wormhole 令牌桥 在 2 月 2 日遭到攻击,导致价值 3.21 亿美元的 120,000 个 Wrapped Ether (wETH) 令牌丢失。
虫洞允许用户在多个区块链之间发送和接收加密货币。攻击者在协议的智能合约中发现了一个漏洞,并能够在 Solana 上铸造 120,000 wETH
没有抵押品支持,然后可以将其换成 ETH。
当时它被标记为 2022 年最大的漏洞利用,并且是当年第三大协议损失。
2:FTX 钱包黑客攻击——4.77 亿美元
在 11 月 11 日至 12 日 FTX 破产程序开始期间,交易所发生了一系列未经授权的交易,Elliptic 表示价值约 4.77 亿美元的加密货币被盗。
Sam Bankman-Fried在 11 月 16 日的一次采访 中说,他认为这是“前雇员或某人在前雇员的计算机上安装恶意软件的地方”,并且在他被关闭之前将肇事者缩小到八个人公司的系统。
相关:业界希望忘记的 2022 年 7 大加密崩溃
据报道,12 月 27 日,美国司法部对大约 3.72 亿美元丢失的加密货币的下落展开调查。
1:Ronin bridge hack——6.12 亿美元
2022 年最大的漏洞利用发生在 3 月 23 日,当时Ronin 桥被利用了大约 6.12 亿美元——173,600 ETH 和 2550 万美元的代币。
Ronin 是为 Axie Infinity 构建的以太坊侧链,Axie Infinity 是一款非同质代币 (NFT) 游戏。Axie Infinity 的开发人员 Sky Mavis 表示,黑客获得了私钥的访问权限,破坏了验证节点并批准了从桥上耗尽资金的交易。
美国财政部于 4 月 14 日更新了其特别指定国民和被封锁人员 (SDN) 名单,以反映Lazarus Group 可能是该桥漏洞利用的幕后黑手。
Ronin bridge hack 是有史以来最大的加密货币漏洞。
普通群:不定期有财富密码分享
VIP群:以深入分析为基础让每个人进群成员都能读懂区块链提高专业认知,由我们专业的老师保驾护航确保vip群内成员的本金安全,让大家获得应得的回报。我们最重要的核心就是共赢为基础,让我们的会员能够把握后期区块链的百倍红利