数据来源:TRM Labs 、Beosin、Cointime
2023年,黑客和漏洞利用继续困扰着加密行业,TRM Labs的研究显示,与2022年相比,2023年黑客数量下降了50%以上。尽管自2022年以来攻击数量保持相对稳定,为160起,但截至2023年11月,网络犯罪分子窃取的17亿美元资金还不到2022年黑客攻击造成的近40亿美元损失的一半。2023年,基础设施攻击占被盗总量的近60%。最具破坏性的基础设施攻击类型是私钥盗窃或助记词泄露,其中黑客可以访问加密货币系统的底层基础设施 - 其服务器、网络或软件 - 窃取资金或操纵交易。
与2022年一样,少数大规模黑客攻击是大多数加密货币盗窃事件的罪魁祸首,排名前十的黑客攻击占所有被盗资金的近 70%。其中发生损失过亿的攻击事件 4 起:Mixin Network(2 亿美元)、Euler Finance(1.97 亿美元)、Poloniex(1.26 亿美元) 和 HTX & Heco Bridge(1.1 亿美元)。据TRM Labs表示,安全措施的改进、执法机构加大执法力度、行业间更加紧密的协调三个关键因素可能是2023年黑客攻击量下降的主要原因。
Cointime内容团队整理汇总了前10 大安全事件,其总损失金额约为 10 亿美元,占到了年度攻击事件总金额的 71.5%,事件均具有代表性。
No.1 Mixin Network
损失金额:2 亿美元
攻击方式:云服务商数据库攻击
9 月 23 日凌晨, Mixin Network 云服务商数据库遭到黑客攻击,导致主网部分资产丢失,涉及资金约 2 亿美元。9 月 25 日,Mixin 创始人在直播中对此次事件公开进行解释称,此次受损资产以比特币核心资产为主,BOX 和 XIN 等资产并未出现严重被盗情况,具体的攻击情况尚不能透露。
No.2 Euler Finance
损失金额:1.97 亿美元
攻击方式:合约漏洞 - 业务逻辑问题
3 月 13 日,DeFi 借贷协议 Euler Finance 遭到攻击,损失约 1.97 亿美元。攻击的根本原因在于合约未对用户实际持有的代币数量和捐赠之后用户的账本的健康状态进行正确的检查。该事件的所有被盗资金已全被攻击者返还。
No.3 Poloniex
损失金额:1.26 亿美元
攻击方式:私钥泄露 / APT 攻击
11 月 10 日,孙宇晨旗下交易所 Poloniex 相关地址持续转出大额资产,疑似被盗。紧接着,孙宇晨以及 Poloniex 在社交平台发布公告证实了被盗事件。根据 Beosin 安全团队使用 Beosin Trace 追踪统计,Poloniex 被盗资产累计约 1.26 亿美元。
No.4 HTX & Heco Bridge
损失金额:1.1 亿美元
攻击方式:私钥泄露
11 月 22 日,孙宇晨旗下交易所 HTX 及跨链桥 Heco Bridge 遭到黑客攻击,总计损失达 1.1 亿美元,其中 Heco Bridge 损失 8660 万美元,HTX 损失约 2340 万美元。
No.5 Curve/ Vyper
损失金额:7300 万美元
攻击方式:合约漏洞 - 重入
7 月 31 日凌晨以太坊编程语言 Vyper 发推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本有重入锁有漏洞,加上原生的 ETH 可以在转账时调 callback,导致这几个和 ETH 组的 lp 池子可以被重入攻击。接着 Curve 官方推特发文表示,由于重入锁出现故障,许多使用 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击。本次事件损失金额约 7300 万美元。
No.6 CoinEx
损失金额:7000 万美元
攻击方式:私钥泄露 / APT 攻击
9 月 12 日,加密交易所 CoinEX 发布声明称风控系统检测到用于临时存储平台交易资产的热钱包出现可疑的大额提现活动,已第一时间成立特别小组介入处理,本次事件中主要涉及 ETH、TRON、Polygon 等代币资产,被盗金额约 7000 万美元。
No.7 Atomic Wallet
损失金额:6700 万美元
攻击方式:私钥泄露 / APT 攻击
Beosin 旗下 EagleEye 安全风险监控、预警与阻断平台监测显示,Atomic Wallet 于 6 月初遭攻击,据 Beosin 团队统计,综合链上已知的受害人报案信息,此次攻击造成的损失至少约 6700 万美元。
No.8 Alphapo
损失金额:6000 万美元
攻击方式:私钥泄露 / APT 攻击
7 月 23 日,加密货币支付服务商 Alphapo 热钱包被盗,共损失 6000 万美元。该事件系朝鲜黑客组织 Lazarus 所为。
No.9 KyberSwap
损失金额:5470 万美元
攻击方式:合约漏洞 - 业务逻辑问题
11 月 22 日,DEX 项目 KyberSwap 遭到攻击,共造成约 5470 万美元损失。Kyber Network 表示,本次黑客攻击是 DeFi 历史上最复杂的攻击之一,攻击者需要执行一系列精确的链上操作才能利用该漏洞。
No.10 Stake.com
损失金额:4130 万美元
攻击方式:私钥泄露 / APT 攻击
9 月 4 日,加密博彩平台 Stake.com 遭遇黑客攻击。攻击发生后,Stake.com 表示其 ETH 和 BSC 上热钱包发生未经授权的交易,正在进行调查,并将在钱包完全重新确保安全后尽快恢复存提款。该事件系朝鲜黑客组织 Lazarus 所为。
写在最后
随着2023年的结束,加密行业在23年年底迎来了行情的扭转,整个行业几乎全部赛道的项目都随之复苏,但加密货币犯罪仍然是笼罩在行业头顶的阴影之一,随着行情兴起,我们有理由相信,未来行业违法犯罪活动,势必也会逐渐增多,加密领域是完全的黑暗森林,开放的规则下原始且残酷,这将给予从业者、用户、投资者以及所有与行业相关人士以警示,也是对整个行业和全球执法机构以及监管部门提出的严峻考验。