ANC:一文盘点加密行业近两年前20大黑客攻击案_NCE

整理：饼干，链捕手3月底，著名链游AxieInfinity旗下侧链网络RoninNetwork在黑客攻击事件中损失约6.2亿美元资产，成为迄今为止最严重的一次DeFi黑客攻击，进一步加深了公众对加密世界安全性的担忧。近两年来，巨额资金持续流入加密行业，但其安全性仍然是非常脆弱，来自中心化交易所和DeFi项目的诸多代码漏洞屡屡遭到黑客的攻击，各类安全事故的数量、频次、规模等层面均在迅速增长。据慢雾统计，2021年区块链安全事件累计导致损失超98亿美元，涉及231起安全事故，尽管相当部分的损失被追回或由项目方进行补偿，但仍然令加密行业受伤颇深。根据专业加密安全网站rekt数据以及其它公开资料，链捕手按照近两年黑客攻击中受影响金额的大小盘点前20的黑客攻击事件。1、RoninNetwork，6.24亿美元

2022年3月29日，Ronin官方称其跨链桥遭到黑客攻击，173,600个ETH和2550万USDC被盗，累计价值约6.2亿美元。官方表示，该项目被盗原因系五个验证者私钥被盗。去年11月SkyMavis和AxieDAO以减轻用户成本的初衷建立了一个无GasRPC节点，这需要AxieDAO成为SkyMavis验证者，虽然该RPC节点只持续了一个月，但白名单访问权限从未被撤销，从而攻击者有机会盗取AxieDAO签名，集齐5个验证者共识换成私钥来伪造假提款。目前，AxieInfinity联合创始人AleksanderL.Larsen已在推特上发文表示，AxieInfinity团队正在努力与黑客沟通挽回损失，以确定最佳补偿方案。2、PolyNetwork，6.11亿美元

2021年8月10日，跨链互操作性协议PolyNetwork在以太坊、BSC与Polygon部署的智能合约同时遭到黑客攻击，价值超过6.1亿美元资产被盗。据慢雾团队分析称，攻击者利用特定函数传入精心构造的数据来修改EthCrossChainData合约的keeper，替换keeper角色的地址后，便可以随意构造交易，从合约中提取任意数量的资金。经过多方与黑客的链上沟通，黑客最终向项目方归还了所有盗取的资产，所有用户都没有产生实际损失。3、Wormhole，3.26亿美元

Meta计划裁掉或重新安置在伦敦的Instagram员工:金色财经报道，据知情人士透露，Meta Platforms正计划裁减或重新安置其在伦敦的Instagram员工。去年，该社交媒体应用的负责人Adam Mosseri暂时搬到伦敦后，伦敦办事处成为了该应用的发展中心。Mosseri计划与未被解雇的员工一起搬到美国。在完成与英国政府的必要咨询期之前，此举不会是最终决定。[2023/4/20 14:14:32]

今年2月3日，跨链协议Wormhole遭黑客攻击，官方确认本次攻击事件中损失达12万枚ETH。根据调查，此次事件的漏洞是Solana端核心Wormhole合约的签名验证代码存在错误，允许攻击者伪造来自「监护人」的消息来铸造whETH。攻击者通过在Solana上无限铸造的whETH等价物，再通过Wormhole转移120,000真实的ETH到以太坊上。事件发生后，黑客并未回复项目方的沟通，Wormhole母公司JumpTrading旗下JumpCrypto迅速决定“自掏腰包”向该跨链桥智能合约补充了12万枚ETH，帮助Wormhole桥重新上线。4、BitMart，1.96亿美元

2021年12月5日，加密交易平台BitMart的以太坊和BSC热钱包被盗约1.96亿美元，其中在以太坊上总计约1亿美元，在BSC上总计约9600万美元。据了解，攻击者将BitMart资金从热钱包转移到自己钱包，并把大部分币种通过1inch交易为ETH和BNB，然后通过TornadoCash进行混币，最终逍遥法外。此后，BitMart创始人SheldonXia宣布将使用平台的资金来补偿受影响的用户，并很快开放存取款。5、VulcanForged，1.4亿美元

2021年12月13日，链游项目VulcanForged称148个持有PYR的钱包遭到入侵，超过450万PYR已被盗，损失总价值超1.4亿美元。事后，项目团队决定将金库中的PYR用户补偿受影响的用户钱包。6、CreamFinance，1.3亿美元

巴拿马加密友好银行Towerbank禁止客户使用加密混合器:金色财经报道，巴拿马的BTC和加密友好银行Towerbank表示，在美国外国资产控制办公室 (OFAC) 开始制裁Tornado Cash之后，它将禁止其客户使用加密混合器。

CriptoNoticias报道称，使用 Tornado 的 Towerbank 用户可能面临账户暂停或进一步惩罚措施等制裁。该媒体援引该银行加密和区块链部门负责人 Gabriel Campa 的话说，加密混合器“经常用于非法活动”。（cryptonews）[2022/8/14 12:23:46]

2021年10月27日，抵押借贷平台CreamFinance遭受闪电贷攻击，损失约1.3亿美元。据了解，此次攻击混合了经济攻击和预言机攻击，攻击者从MakerDAO闪电贷出DAI来创建大量yUSD代币，同时通过操纵多资产流动性池，利用价格预言机计算yUSD价格，yUSD价格升高后，攻击者的yUSD头寸增加，创造了足够的借入限额来抵消Cream以太坊v1市场的流动性。11月13日，CreamFinanc公布了对受影响用户的赔偿方案，将利用其金库的剩余代币，并移除项目团队剩余的全部Cream代币分配，向受影响用户发放1453415枚Cream代币。7、Badger1.2亿美元

2021年12月2日，Badger用户界面被黑客攻击并植入恶意钱包请求，总损失约为2100BTC和151ETH，约合1.2亿美元。此次事件属于网络钓鱼攻击，由运行在Badger云网络上的应用平台Cloudflare的“恶意注入片段”引起的。黑客利用Badger工程师不知情或未授权情况下创建的受损API密钥，定期注入恶意代码，获取到用户钱包无限授权的批注。事后，Badger宣布聘请网络安全公司Mandiant和区块链分析公司Chainalysis来调查这一攻击事件，并正在与两家公司以及美国和加拿大的当局合作，以追回任何可能的资金。同时，该项目通过社区投票，决定将部分金库资产以及部分协议收入在补偿受影响的用户，周期约为一年。8、QubitFinance，8000万美元

区块链清洁技术初创公司FlexiDAO完成610万欧元融资，SET Ventures领投:7月7日消息，区块链清洁技术初创公司 FlexiDAO 宣布完成 610 万欧元融资，SET Ventures 领投，谷歌和微软气候创新基金和 EIT InnoEnergy 参投。

FlexiDAO 总部位于巴塞罗那，该软件平台使用区块链技术来验证和追踪从生产到消费的电力，可根据每小时、每天维度对碳足迹进行可信和可验证声明，客户也能了解整个运营过程中消耗的能源来源和碳足迹，并及时采取行动采购更清洁的电力以实现 24/7 无碳能源使用。[2022/7/7 1:58:03]

2022年1月28日，BSC借贷项目Qubit疑似遭到黑客攻击，黑客铸造大量xETH抵押品并盗取了资金池中约8000万美元资产。本次攻击的主要原因在于在充值普通代币与native代币分开实现的情况下，在对白名单内的代币进行转账操作时未对其是否是0地址再次进行检查，导致本该通过native充值函数进行充值的操作却能顺利走通普通代币充值逻辑。TeamMound是QubitFinance的开发团队，在攻击事件发生后决定重组并发布补偿计划，将放弃其所有代币以补偿社区。9、AscendEX，7700万美元

2021年12月12日，加密货币交易所AscendEX的以太坊、BSC与Polygon热钱包累计被盗或超7700万美元的资产。事件发生后，该交易所表示将进行全面的安全检查，如果任何用户的资金受到此次事件影响，由AscendEX进行100%赔付。10、EasyFi，5900万美元

2021年4月20日，Layer2DeFi借贷协议EasyFi创始人AnkittGaur称协议流动池被转移了600万美元的稳定币和298万个EASY代币，总损失约5900万美元。据了解，该项目被盗原因为管理员的MetaMask的助记词短语密钥遭到远程攻击，EasyFi智能合约未被黑客攻击。EasyFi已联系到Binance和AscendEx团队，黑客并未将代币从钱包中转移出去，并且由于流动性限制而无法在DEX中出售。事后，该项目表示将按快照补偿每个地址的贷方/存款人净余额的100%，用户将分两部分获得资金，预先支付25％，剩余75％以EZ支付，由EASYV2代币EZ按1:1比例担保。11、UraniumFinance，5700万美元

比特币矿企 TeraWulf 向 Wilmington Trust 额外贷款 5000 万美元:7月5日消息，比特币矿企 TeraWulf 向 Wilmington Trust 额外贷款 5000 万美元，该笔贷款将在 2024 年 12 月 1 日到期，利率为 11.5%，TeraWulf 截至目前已向 Wilmington Trust 贷款 1.735 亿美元。TeraWulf 位于纽约州北部的 Lake Mariner 矿场收到了第一批 3000 台 Bitmain Antminer S19 XP 矿机，预计将在 8 月前投入运营，该笔贷款则将用于完成 Lake Mariner 和宾夕法尼亚州的 Nautilus Cryptomine 矿场基础设施建设。（businesswire）[2022/7/5 1:52:49]

2021年4月28日，币安智能链上AMM协议UraniumFinance发推称Uranium迁移过程中被攻击，损失金额约为5700万美元。据了解，此次问题发生在Uranium项目的pair合约上，该合约的swap函数部分逻辑参考了PancakeSwap的逻辑，允许用户进行闪电贷借出资金。但是该函数在根据恒定乘积公式检查合约余额时，存在精度处理错误的问题，导致最后合约中计算出的余额比合约实际的余额大100倍，这种情况下，如果攻击者使用闪电贷进行借款，只需要归还借贷金额的1%即可通过检查，盗走剩余的99%的余额，导致项目损失。事后UraniumFinance发表一篇漏洞分析文章并呼吁用户尽快移走资金，不要再向合约中提供流动性。自此之后，UraniumFinance的官方再无更新，疑似已停止运营。12、bZx，5500万美元

2021年11月6日，去中心化借贷协议bZx在Polygon和BSC链上因私钥泄露导致超5500万美元资产被盗。据了解，此次事故不是针对协议本身漏洞的黑客攻击，而是对bZx开发者的网络钓鱼攻击，开发人员收到了一封网络钓鱼电子邮件，其中附有包含恶意宏的Word文档。打开此文档会导致开发人员的个人钱包密钥被盗。黑客能够控制合约并将其从BZRX中提取出来。13、Cashio，4800万美元

韩国信用金融协会前官员金柱贤被任命为金融委员会委员长，将研究如何监管加密货币:金色财经报道，韩国信用金融协会前官员金柱贤被任命为尹锡烈政府的首任金融委员会委员长。他是金融服务委员会主席高升范的继任者，担任金融服务委员会主席的候选人金柱贤将承担重大责任，例如新政府下的家庭贷款法规的合理化以及基于金融稳定对小企业的金融支持。他的任务还有如何监管仍处于法律盲区的虚拟资产（加密货币）的。

6月7日，韩国总统尹锡烈提名韩国信用金融协会前官员金柱贤为部长级金融委员会主席人选。[2022/6/7 4:08:00]

2022年3月23日，Solana生态算法稳定币Cashio发推警示用户不要铸造任何代币，尽快从池中提取资金。该协议出现一个无限铸造漏洞，损失约4800万美元。CashioDollar是一种由USDT-USDCLP代币支持的算法稳定币，黑客通过绕过一个未被验证的账号，非法增发了20亿个CASH代币，并通过多个应用将CASH代币转化为UST、USDC和USDT-USDCLP，获利总价值约为4800万美元。项目方在遭遇黑客攻击之后表示没有足够的资金偿还用户损失，如果攻击者退还资金，愿意提供100万USDC作为赏金。而攻击者通过链上留言表示，将向10万美元损失以下的受害者退款。14、PancakeBunny，4600万美元

2021年5月20日，币安智能链BSC上的收益聚合器PancakeBunny疑似遭遇攻击，损失约4600万美元。这是一次典型的闪电贷攻击，关键点是WBNB-BUNNYLP的价格计算存在缺陷，而BunnyMinterV2合约铸造的BUNNY数量依赖于此存在缺陷的LP价格计算方式，最终导致攻击者利用闪电贷操控了WBNB-BUNNY池子从而拉高了LP的价格，使得BunnyMinterV2合约铸造了大量的BUNNY代币给攻击者。PancakeBunny团队在遭受闪电贷攻击后发布评估和补偿计划，将通过发行新代币pBUNNY并创建补偿池，补偿池由绩效费，从漏洞利用中收回的资金以及QFI代币空投提供资金。90天后，原始持有者将以低于市场价的折扣用pBUNNY交换为BUNNY。15、Kucoin，4500万美元

2020年9月20日，Kucoin热钱包受到攻击，损失超2.8亿美元。此后，KucoinCEOJohnnyLyu表示，通过与交易所和项目方合作追回2.22亿美元资金，与执法和安全机构进一步合作追回1745万美元。最后KuCoin用保险基金支付了剩余的资金损失，约4500万美元，在这次事件中没有用户遭受损失。16、Secretswap，超4000万美元

2021年9月14日，基于隐私公链SecretNetwork的DEX项目Secretswap遭到黑客攻击，流动性池中超4000万美元资金被黑客取出，事件发生后该项目暂停了Secretswap与SecretNetwork跨链桥的使用，以防止黑客将资产从跨链桥转移至以太坊网络。事后调查显示，该漏洞涉及与SecretSwap奖励质押相关的单一LP合约，没有被盗的资金离开网络，没有桥梁/代币合约被攻击，网络本身也没有被攻击。数天后，SecretNetwork通过硬分叉回滚网络，将被盗资产返还至用户的流动性资金池，并恢复跨链桥的使用。17、AlphaFinance，3700万美元

2021年2月13日，AlphaFinanceLab在官方推特称黑客利用AlphaHomoraV2漏洞，从IronBank借出ETH、DAI、USDC等资产，导致AlphaHomorav2与Creamv2之间产生债务关系，损失约3700万美元。Alpha团队的还款方式为：将攻击者存入AlphaHomoraV2部署器合约的1000ETH支付欠款；将攻击者存入CreamV2部署器合约中的1000ETH支付欠款；TornadoCash基金会将会把攻击者支付的100ETH捐款还给AlphaHomora以支付欠款；Alpha将承诺使用AlphaHomoraV1和V2储备金的20%偿还剩余的资金，按月向CreamV2IronBank支付，直至新增债务全部还清。18、VeeFinance3700万美元

2021年9月21日，Avalanche生态借贷平台VeeFinance智能合约被攻击，损失约3700万美元。据了解，导致该漏洞的主要原因是用户在创建杠杆交易订单的过程中，预言机仅使用Pangolinpool的价格作为价格馈送源，而该池价格波动超过3%。预言机会刷新价格，导致攻击者操纵了Pangolinpool的价格。而操纵VeeFinance预言机价格和收购预言机价格没有进行小数处理，导致掉期前预期的滑点检查没有起作用。此后，Vee.Finance宣布悬赏50万美元追查攻击者，并将承担全部损失，用平台收入以及储备中的VEE代币补偿所有贷方和存款用户，在全部偿还之前团队代币将不再释放。19、Crypto.com3300万美元

2022年1月18日，加密货币交易所Crypto.com的部分账户疑似遭遇黑客攻击，损失约3300万美元。据了解，黑客通过绕过现有的2FA验证，成为提现白名单，其中共有483个账户被破解，被盗取4836枚ETH和444枚比特币，ETH被发送到TornadoCash进行混币。事件发生后，Crypto.com表示已经赔偿所有用户的损失，将账户内的资产恢复原位。20、MonoXFinance3100万美元

2021年11月30日，自动做市商协议MonoX遭到闪电贷攻击，以太坊和Polygon上价值约3100万美元的加密货币被黑客盗走。据了解，攻击者利用掉期合约进行操作，将MONO的价格推高至天价后使用MONO购买池中所有其他资产。此后，该项目团队表示将为所有被盗资产发行债务代币dMONO并部署dMONO保险库，将使用我们的收入回购MONO并将MONO发送到这个金库，任何dMONO持有者都可以随时通过销毁他们的dMONO来并获取MONO来退出金库，但如果用户选择在dMONO达到所欠价值之前提取它，则意味着正在免除剩余的债务。进一步统计可以发现，尽管这些安全事件的累计损失金额达到数十亿美元，但多数被盗项目的用户损失得到全额赔付，其中PolyNetwork、Secretswap的被盗资产全部找回，Wormhole等8个项目由项目方进行了原币赔付，其余项目多数由项目以自身代币的形式进行赔付，但往往会由于代币价格下跌，实际赔付金额低于损失金额，仅UraniumFinance未对用户进行任何赔付。由此可以看出，黑客攻击并没有想象中那么可怕，重要的是项目方资源背景以及对用户的责任感，加密用户在对任何资金操作保持谨慎的同时，尽可能优先参与具有较强实力的项目与平台，在自身承受范围内进行相关投资与挖矿行为，以确保资金安全度。

标签：ANCFINNANNCEkimchifinanceBelt FinanceThe Lab FinanceAPY.Finance

Luna热门资讯