摘要:硬币检查2018年1月,日本著名加密货币交易所Coincheck成为历史上最大的加密货币黑客攻击之一的受害者。攻击者非法铸造了200万枚BNB代币,当时价值约566亿美元。攻击者没有立即将被盗资金转移到交易所,而是使用了BNB链上流行的借贷协议Venus。...
在令人兴奋但充满风险的加密货币世界中,追求财务自由并非没有挑战。随着数字货币不断获得关注(以及价格上涨),它们也成为寻求利用漏洞获取经济利益的恶意行为者的主要目标。在这次探索中,我们将深入研究有史以来最严重的加密货币黑客攻击,从 Mt. Gox 到最近几年(直到 2023 年)。
此外,我们还将涉足基于 DAG 的加密货币领域,并研究这些基于有向无环图的创新网络面临着独特的安全挑战的实例。做好准备,踏上加密世界的高潮和低谷之旅,在这里,创新与脆弱性相遇,风险比以往任何时候都更高。
戈克斯山
Mt. Gox 标志
Mt. Gox 标志
严格来说,从理论上讲,自 2014 年的这次攻击以来,已经出现了获得更高赏金的攻击。但那一年的整个加密世界基本上只有比特币(BTC); Mt. Gox 是世界领先的比特币交易所。在价格剧烈波动的情况下,该平台处理了全球 70% 以上的交易。然后,在出现大量问题和隐藏的黑客攻击之后,严重的偿付能力问题于 2014 年 2 月暴露出来。
2 月 7 日,所有提款均以站不住脚的借口停止。2 月 23 日,首席执行官 Mark Karpelès 辞去比特币基金会董事会职务,并删除了所有 Mt. Gox 推文。第二天,该网站就下线了泄露的文件表明损失了 744.408 BTC(当时约为 4.73 亿美元)。按今天的价格计算,这将超过 191 亿美元[CMC]。
从泄露的文件中可以看出,黑客多年来一直在 Mt. Gox 窃取比特币,而该公司对此并不知情。根据WizSec 的研究不知何故,黑客成功地从Mt. Gox的比特币热(在线)钱包中窃取了私钥,这使得他们可以随意处理兑换资金。我们必须说,它们的安全性并不是最好的,因为比特币作为账本没有被黑客入侵,而只有交易所被黑客入侵。
由于当时加密社区的规模仍然很小,因此受到的打击是毁灭性的。自 2 月至 12 月,比特币下跌超过 43%。直到 2015 年底,情况才出现改善迹象。Mt. Gox 黑客事件的受害者则不得不等待数年才能获得某种赔偿的希望。经过一场巨大的法律斗争后,Mt. Gox 受托人将终于偿还到 2023 年 10 月底,该交易所的债权人将被清偿。
硬币检查
2018 年 1 月,日本著名加密货币交易所 Coincheck 成为历史上最大的加密货币黑客攻击之一的受害者。黑客利用交易所安全系统中的漏洞,获取了 Coincheck 热钱包(在线)的访问权限。他们窃取了大约 5.23 亿个 NEM (XEM) 代币,当时价值近 5.3 亿美元。
Coincheck标志
Coincheck标志
据报道一些来源,该漏洞是通过向 Coincheck 员工发送受恶意软件感染的电子邮件来执行的,从而使攻击者能够控制内部系统。一旦进入内部,他们就会迅速将被盗的 XEM 代币转移到各个地址,这使得追踪资金变得非常困难。
此后,Coincheck 面临监管机构的严格审查,导致安全措施得到改善并进行了大规模的报销工作。找的零钱发誓为了补偿受影响的用户,以每枚代币 88.549 日元的价格返还被盗的 XEM 代币,远低于当时的市场价值。他们用自己的资金做到了这一点。
尽管报销努力,这次黑客攻击对 Coincheck 和更广泛的加密货币社区都产生了重大影响。它清楚地提醒人们与中心化加密货币交易所相关的安全风险以及强大的安全协议的重要性。 Coincheck 对这一事件的处理引发了人们对委托给交易所的资金安全性的质疑,并促使世界各地的监管机构加强对加密货币平台的监管,以保护投资者并防止未来发生违规行为。
BSC 代币中心
币安品牌也未能幸免于难。 2022 年 10 月 7 日,BNB 智能链 BNB 信标链和 BNB 智能链之间的原生跨链桥遭到黑客攻击。该漏洞导致币安智能链暂时停止运行以遏制损害。攻击者非法铸造了 200 万枚 BNB 代币,当时价值约 5.66 亿美元。其中大部分很快被团队冻结,但黑客设法将大约 1.37 亿美元转移到其他链上。
币安智能链徽标
币安智能链徽标
违规行为攻击者于 2022 年 10 月 5 日从 ChangeNOW 钱包收到 100 BNB。这使他们能够注册为 BSC Token Hub 的中继者,从而促进 BNB 信标链 (BEP2) 和币安智能链 (BEP20) 之间的跨链交易。攻击者利用BSC Token Hub验证证明方式中的漏洞,伪造任意消息并在两笔交易中发起200万个BNB的创建和提取。
攻击者没有立即将被盗资金转移到交易所,而是使用了 BNB 链上流行的借贷协议 Venus。他们抵押了 90 万个 BNB,在 5 笔交易中借入了 USDT、USDC 和 BUSD 等稳定币,价值超过 2.5 亿美元。然后,这些稳定币通过网桥路由到多个链,并采用各种 DeFi 产品来避免检测。
黑客攻击后,BSC 由于不正常活动而停止了该链,以防止进一步的资金流动。攻击者跨链的余额受到密切监控。 BNB Chain实施了硬分叉(更新)来解决漏洞,并引入了新的链上治理机制来应对未来的攻击。
保利网络
Poly Network 是一种促进不同链之间交易的互操作性协议,于 2021 年 8 月 10 日成为攻击的受害者。该攻击由匿名黑客精心策划,导致超过 6.1 亿美元的加密货币转移到他们的控制之下。他们窃取了 ETH、USDC、DAI、UNI、SHIB、FEI、MATIC 和多个 BSC 代币;他们全部来自普通社区成员。值得注意的是,这是去中心化金融(DeFi)历史上最大的安全事件之一。
保利网络标志
保利网络标志
黑客们将被盗资金转移到他们在以太坊、币安智能链和 Polygon 上控制的地址。攻击发生后,保利团队呼吁交易所和矿工监控被盗代币的流向,并敦促停止黑客的交易。 Tether 冻结了价值 3300 万美元的 USDT。
令人惊讶的是,黑客于 2021 年 8 月 11 日宣布,他们打算归还代币,并声称此次盗窃旨在暴露漏洞并增强 Poly Network 的安全性。他们使用交易中嵌入的消息来公开交流。
作为回应,协议团队启动了恢复过程,并将黑客称为“白帽先生”。他们提供了 50 万美元的漏洞赏金以及“首席安全顾问”的角色,以确保剩余资产的安全归还。最后一部分被盗资金已于8月23日。
该事件引发了一些关于对黑客使用“白帽”一词的争议,人们担心这可能为犯罪黑客树立先例,以净化他们的行为。不过,保利网络推出了漏洞赏金计划来提高安全性,邀请安全机构和白帽组织对其核心功能进行审核。针对严重漏洞提供高达 10 万美元的奖励。
浪人(Axie Infinity)
这被认为是加密世界有史以来最大规模的黑客攻击。 2022 年 3 月 23 日,游戏 Axie Infinity 的以太坊侧链 Ronin Network 遭受大规模攻击。黑客盗走了 173,600 ETH 和 2550 万 USDC,总计超过 6.25 亿美元,超越了之前破纪录的加密货币抢劫案。
浪人标志
浪人标志
黑客攻击利用了 Ronin 桥,这是 Ronin 和其他生态系统之间资产转移的重要组成部分。攻击者控制了 Sky Mavis(Axie Infinity 背后的公司)托管的四个 Ronin 验证器密钥。对于区块链来说,这种少量的密钥足以获得对网络的控制是很常见的。为了完成他们的计划,他们通过无 Gas RPC 节点利用后门,获取 Axie DAO 验证器的签名。这使他们能够控制所有必要的密钥来进行虚假提款。
Sky Mavis 在用户报告提款问题后,在攻击六天后检测到了该漏洞。虽然被盗资金的很大一部分仍留在黑客手中,但他们试图通过集中式加密货币交易所提取较小的金额。至少,斯凯·梅维斯妥协的偿还其用户。
该事件导致 Ronin 的代币价格暴跌超过 20%,加剧了已经在应对一系列备受瞩目的攻击的 DeFi 领域的担忧。加密货币交易所币安和火币承诺协助追踪被盗资金并将其返还给 Axie Infinity 用户,而 Sky Mavis 正在与政府机构合作将黑客绳之以法。
这一切在 Obyte 这样的 DAG 中可能实现吗?
像 Obyte 这样的有向无环图(DAG)账本有自己独特的结构和共识机制,与区块链系统相比,在去中心化方面具有一定的优势。然而,它们并不能完全免受安全漏洞和潜在黑客攻击的影响。
有向无环图 (DAG) 账本
有向无环图 (DAG) 账本
具体的攻击向量和潜在的利用可能与区块链不同,但基于 DAG 的系统仍然容易受到各种类型的攻击。根据所涉及的平台,一些可能的问题包括:
女巫攻击:犯罪者创建大量虚假身份或节点来控制网络,通过人为影响和操纵损害其信任、安全和共识机制。只有一些设计简单的 DAG 容易受到这个问题的影响,它们通常通过中心化来解决(例如 IOTA)。
智能合约漏洞:利用编码缺陷执行未经授权的操作、窃取资产或破坏去中心化应用程序,通常会导致财务损失。
双重支出:一种欺诈行为,用户重复加密货币交易,使他们能够多次使用相同的数字资产,从而破坏账本的完整性。就像在区块链中一样,只有当用户接受付款而没有等待其最终结果(或者如果没有确定性最终结果,则没有等待足够长的时间)时,才会出现此问题。
潜在的中心化:某些 DAG 存在受到网络中少数实体(如公司、矿工或验证者)过度控制或影响的风险,从而侵蚀其去中心化,并可能损害其安全性、不变性和可信性。不过,Obyte 中的订单提供程序并非如此。
外部交易所的故障:外部加密货币交易所的漏洞可能导致安全漏洞、黑客事件或交易所破产,从而造成重大财务损失和交易活动中断。
并非每个 DAG 都容易受到所有这些问题的影响,并且它们有自己的方法来避免这些问题。因此,虽然 DAG 具有自己的一系列优势,但它们也无法避免安全问题。潜在攻击的具体性质可能有所不同,但保护去中心化账本的基本原则仍然适用。持续评估和解决任何区块链或基于 DAG 的系统中的安全漏洞至关重要。
这就是为什么 Obyte 有一个错误赏金计划在 Immunefi 上,任何人都可以报告错误——如果他们发现了错误。我们为每个严重错误提供高达 50,000 美元的奖励。到目前为止,Obyte 已通过 Immunefi 向白帽子支付了约 5,000 美元,并为该计划之前的错误报告支付了约 10,000 美元。对于任何类型的加密平台来说,安全始终至关重要!