回顾刚刚过去的 2022 年,加密圈动荡不安,黑天鹅事件频出,其中仅安全攻击事件就发生了近 300 起,至少造成 36 亿美元损失,其中仅前十大主要攻击事件就让攻击者赚取了超过 20 亿美元。另据 WEEX 唯客社区消息,近日有传闻称,又有一家合约交易平台的钱包私钥丢失,并且平台已经欠薪裁员。可见,安全是生命线,任何时候都不能放松警惕。
以下是 WEEX 唯客社区对 2022 年加密圈主要安全事件的盘点,希望通过一个个触目惊心的数字,引起更多用户对加密资产安全的重视,共建安全、健康的 Web3 良性发展生态。
1 月 7 日,数字资产服务商 StoboxCompany 表示,Stobox Token 的部署者地址被骇客入侵,由于 ETH 和 BSC 的部署者地址相同,因此所有储备资金都已被盗或清算。提醒用户停止购买 / 出售,官方将把 STBU 快照恢复到骇客攻击前的最后一笔交易。此次私钥泄露事件,一度导致 Stobox 的 Token 下跌 96.93%。
1 月 17 日,加密货币交易所 Crypto.com 被盗 3500 万美元。一名黑客关闭了该平台的双重身份验证(2FA),导致客户损失 4836 个 ETH 和 443 个比特币。最终,所有受影响的客户都得到了全额补偿。
2 月 8 日,美国南达科他州提供自主退休金帐户的 IRA Financial Trust 被盗 3700 万美元。黑客以某种方式掌握了一把「万能钥匙」,入侵了该平台。IRA 的客户帐户由 Gemini 保管,IRA 就骇客攻击事件向 Gemini 提起诉讼,指控其涉嫌疏忽对客户的资产保护。
6 月 1 日,LCX 交易所发推表示平台发生安全事件,已经停止提款功能。据派盾公布的 LCX 交易所与黑客地址,标记为「LCX 2」的地址自 6:29(UTC+8)起陆续将 ETH、LCX 等数十项资产转移至「0x1654」开头的黑客地址,大部分资产均已出售为 ETH 并通过 Tornado.Cash 转移,累计损失价值或超过 600 万美元。
9 月 21 日,总部位于英国的加密货币做市商 Wintermute 的热钱包遭到入侵,黑客从钱包中转出价值约 1.625 亿美元的代币。
11 月 11-12 日,在 FTX 破产程序开始期间,该平台发生了一系列未经授权的交易,Elliptic 表示价值约 4.77 亿美元的加密货币被盗。SBF 在 11 月 16 日的一次采访中说,他认为这是「前雇员或某人在前雇员的计算机上安装恶意软件的地方」,并且在他被关闭之前将肇事者缩小到 8 个人公司的系统。
1 月 9 日,去中心化的土地所有权实验 CityDAO 发推称,CityDAO Discord 管理员帐户被黑客入侵。攻击者从管理员的被盗账户中发布虚假的土地空投消息,29.67 ETH(95,000 美元)资金已被盗,受攻击的管理员「Lyons800」在推特上表示,这次攻击是「来自 Discord 的荒谬安全漏洞」。
1 月 11 日消息,体育 NFT 平台 Lympo 遭遇热钱包安全漏洞,在黑客攻击时损失了 1.652 亿个 LMT 代币,价值 1870 万美元。攻击中破坏了 10 个不同的项目钱包,大部分被盗代币都被发送到一个地址,在 Uniswap 和 Sushiswap 上换成 ETH,然后发送到其他地址。在黑客转移并出售项目热钱包中的「战利品」后,LMT 价格暴跌 92% 至 0.0093 美元。
1 月 18 日消息,去中心化交易平台 Crosswise 遭遇攻击,在近一小时内损失约 87.9 万美元。黑客利用了一个公开暴露的特权函数,然后利用该函数设置 trustedForwarder,并进一步劫持 Crosswise 的所有者特权。
1 月 27 日,币安智能链(BNB Smart Chain)上的 DeFi 协议 Qubit Finance 拥有价值超过 8000 万美元的 BNB 在桥接漏洞中被盗。攻击者欺骗协议的智能合约,使其相信他们已经存入抵押品,允许他们铸造代表桥接 ETH 的资产。他们多次重复这一过程,并以无后盾的桥接 ETH 为抵押借入了多种加密货币,耗尽了协议的资金。最终,开发团队被迫解散,协议变更为由 DAO 进行管理。
2 月 2 日,跨链协议 Wormhole 遭黑客攻击,价值 3.21 亿美元的 120,000 个 Wrapped Ether(wETH)代币被盗。Wormhole 允许用户在多个区块链之间发送和接收加密货币,攻击者在协议的智能合约中发现了一个漏洞,并能够在 Solana 上铸造 120,000 wETH,在没有存入任何抵押品的情况下将其换成 ETH 进行套现。
3 月 22 日,Cashio 被盗 5200 万美元。黑客用无价值的抵押品「无限」铸造 Cashio 的稳定币 CASH,导致 CASH 发生严重脱锚,暴跌至~0,此后一直没有恢复。
3 月 29 日,链游项目 Axie Infinity 侧链 Ronin 遭遇黑客攻击,损失 6.2 亿美元。Ronin 侧链由 9 个验证节点组成,确认存、取款必须取得 5 个验证者签名,攻击事件发生时,有 5 个验证节点的私钥被盗,这些私钥随后被骇客用于伪造假提款最终,攻击者窃取了 173,600 枚 ETH 和 2550 万枚 USDC,总损失高达 6.2 亿美元。攻击者后来被美国执法部门确认为某国政府资助的 Lazarus Group。这是以法币计算的有史以来最大的加密货币黑客事件。
4 月 17 日,算法稳定币项目 Beanstalk Farms 遭受了 7600 万美元的攻击。骇客使用「闪电贷」来接管 Stablecoin 的治理协议,购买治理代币,资金在同一交易中不断被借入和偿还。由于 Beanstalk 耗尽了所有抵押品,该漏洞最初被认为耗资约 1.82 亿美元,但最终,攻击者只成功拿走了不到一半的资金。
4 月 30 日,Fei Protocol 被盗 8000 万美元。该借贷协议的一个代码错误允许黑客在贷款的同时提取了这笔贷款的抵押品。最终,Fei DAO 代黑客偿还了这笔损失,稳定币 FEI 仍然保持 1 美元挂钩。
同日,另一个名为 Rari Capital 的 DeFi 协议被利用,损失金额约 7930 万美元。攻击者利用协议的 Rar Fuse 流动性池智能合约中的重入漏洞,使它们调用恶意合约的函数来耗尽所有加密货币池。
6 月 23 日,Horizon Bridge 被盗 1 亿美元。区块链取证公司 Elliptic 将黑客攻击归咎于某国网络犯罪集团 Lazarus Group。据了解,Lazarus 以 Harmony 员工以登录凭据为目标,破坏了该平台的安全系统,掌握了 2/5 的安全密钥,并在部署自动洗钱程序以转移其不义之财之前获得对该协议的控制权。Horizon Bridge 是连接以太坊、比特币的跨链桥,可让资产能够在 Harmony 与以太坊和 BNB Chain 之间流动。
8 月 1 日,允许用户跨多个区块链交换加密货币的 Nomad 跨链桥的一个漏洞被利用,被盗资产价值超 1.9 亿美元。Nomad 对智能合约的升级导致攻击者能够欺骗交易,能够从 Nomad 桥上提款。相关报告称,大约 88% 的参与利用的地址被确定为「模仿者」。此后,白帽黑客已经归还了价值 3330 万美元的资金。
8 月 3 日,Solana 发生大规模盗币事件,总损失约 800 万美元,大量用户在不知情的情况下被清空钱包中的代币。
8 月 14 日,Polkadot 生态项目 Acala 因 iBTC/aUSD 池的漏洞遭黑客攻击,增发超 12 亿生态稳定币 AUSD,导致 AUSD 严重脱锚,价格下跌 70%。
10 月 7 日,BNB Chain 跨链桥 BSC Token Hub 遭黑客攻击,损失约 1 亿美元。最初,人们认为攻击者能够获得大约 6 亿美元,因为该漏洞允许创建大约 200 万个 BNB。不过,币安方面在区块链上冻结了大约超过 4 亿美元的数字资产,而且可能还有更多资产被困在 BNB 区块链端的跨链桥中。
10 月 12 日,基于 Solana 的 DeFi 平台 Mango Markets 因攻击者的市场操纵损失超 1 亿美元。
12 月 26 日,多链钱包 BitKeep 发生大规模黑客攻击事件。PeckShield 监测显示,价值 800 万美元的资产被盗,包括 4373 枚 BNB、540 万枚 USDT、19.6 万枚 DAI 和 1233.21 枚 ETH。BitKeep 官方表示,部分用户使用的 BitKeep APK 包下载被黑客劫持,用户使用的钱包已不是官方发布的版本;已冻结部分黑客转移资金,同时,BitKeep 将上线赔付申请页面。针对本次黑客攻击事件已完成立案,并由当地警方联合网络安全技术专家成立专案组,BitKeep 将积极配合专案组调查,全力推进被盗资金追回工作。
以上只是 WEEX 唯客社区梳理的 2022 年主要安全事件。据 OKLink 链上卫士盘点,仅 2022 年 12 月就发生 15 起安全事件,造成约 8327 万美元损失,还不包括前述 BitKeep 被盗事件:
● 12 月 2 日,Ankr 遭黑客攻击。
● 12 月 2 日,AVAX 链上的 overnight.fi 项目遭到攻击。
● 12 月 6 日,Roast Football(RFB) 项目疑似遭到交易回滚攻击。
● 12 月 10 日,AVAX 链项目 MU 和 MUG 项目代币疑似遭遇闪电贷攻击。
● 12 月 10 日,TiFi Token 遭攻击。
● 12 月 11 日,BSC 上 TRQ 项目遭闪电贷攻击。
● 同日,基于 Arbitrum 的 DeFi 协议 Lodestar Finance 遭到攻击。
● 12 月 13 日,去中心化交易所 ElasticSwap 被攻击。
● 12 月 14 日,BNB Chain 上项目 NimbusPlatform 遭到攻击。
● 12 月 16 日,Solana 上的 Raydium 项目遭到攻击。
● 12 月 6 日,如果用户将 APE 质押在 NFT 池中,一旦出售该 NFT,用户将同时失去质押的 APE 所有权。
● 12 月 23 日,Avalanche 生态原生稳定币项目 Defrost Finance 协议 V2 遭遇重入攻击。
● 12 月 25 日,Rubic 跨链聚合器项目遭到攻击。
● 12 月 26 日,Amun 的产品——PECO 和 DFI 遭到破坏。
● 12 月 29 日,以太坊上 JAY 项目遭遇闪电贷攻击。
OKLink 的报告称,2022 年监测到区块链生态相关安全事件至少 290 起。另据安全审计公司 Beosin 截止 2022 年 12 月 30 日的不完全数据统计,2022 年整个区块链生态因各类攻击造成的损失超 36 亿美元,较 2021 年攻击类损失增长了 47.4%;其中,攻击事件主要发生在 DeFi 领域,占比 67.6%,导致 9.47 亿美元损失。
虽然区块链安全攻击事件主要发生在 DeFi 领域,但中心化平台的安全形势同样十分严峻。根据 WEEX 唯客社区不完全统计,2022 年中心化平台发生的安全事件共有 6 起,造成的损失至少超过 7.18 亿美元。
然而对于安全攻击事件,平台和用户能做的只有加强安全保障,尽可能降低发生的概率,但难以完全杜绝。因此,一旦出现安全损失,平台能不能承担责任,赔付用户也很关键。比如,前述 Crypto.com、Fei Protocol 都在攻击发生后赔付了用户损失,BitKeep 也宣布将上线赔付申请页面。另一个赔付案例是合约交易平台 WEEX 唯客,虽然其用户损失不是由安全攻击事件所引发,但平台在事发后不推责,主动承担客损赔偿责任,同样赢得了用户的信赖。
WEEX 唯客作为一家主打安全易用合约交易所,将用户资金安全放在首位,平台设立了 1000 BTC投资者保护基金,并公示资金池热钱包地址。对于非用户自身原因的情况下出现的用户资产意外损失,WEEX 唯客不推责,主动承担所有客损赔偿责任。
2022 年 9 月 13 日晚间,因美国公布的 CPI 数据远超市场预期,引发市场极端行情,WEEX 唯客部分地区 App 出现网络异常以及短暂合约价格异常情况,导致部分用户仓位受损。对此,WEEX 唯客团队在快速完成数据清点后,第一时间对受损用户进行追踪处理,赔付总金额超过百万 U,全部由 WEEX 唯客投资者保护基金承担。
除了设立安全保护基金,WEEX 唯客在保障系统稳定和数据安全方面也是未雨绸缪,「武装到牙齿」。2022 年 12 月 18 日,因阿里云香港机房节点的一次故障,导致多家交易所出现系统异常、充值提现不到账,宕机时间超过 24 小时。而 WEEX 唯客所有数据皆于海外数据库严格保存,服务器多地部署和备份,并采用满足军事级、银行级安全需求的亚马逊 AWS,以分散风险和应对各种线路状况,在本次事件中保持服务线路稳定。
盘点历次安全事件,普通投资者永远是最被动且受伤害最大的群体。熊市中赚钱本来就不容易,若是本金受损无疑是晴天霹雳。因此,用户在选择交易平台时,一定要选择安全保障措施充分、资金实力雄厚、负责任的平台,毕竟,保住本金安全永远是头等大事,而 WEEX 唯客凭借安全透明、全球合规化不断提升用户的信任。