3月底，著名链游Axienfinity的侧链网络Roninetwork在黑客攻击中损失约6.2亿美元，成为迄今为止最严重的Defi黑客攻击，进一步加深了公众对加密世界安全的担忧。
在过去的两年里，巨额资金继续流入加密行业，但其安全性仍然非常脆弱。黑客经常攻击中国证券交易所和DeFi项目的许多代码漏洞，各种安全事故的数量、频率和规模都在迅速增长。
据慢雾统计，2021年区块链安全事件累计损失超过98亿美元，涉及231起安全事故。尽管相当一部分损失被项目方追回或赔偿，但加密行业仍受到严重伤害。
根据专业加密安全网站的rekt数据等公开信息，链捕手根据黑客攻击中受影响的金额，盘点前20名黑客攻击事件(截至2022年4月)
Roninnetwork1.6.24亿美元。
Ronin于2022年3月29日正式表示，其跨链桥遭到黑客攻击，173.600个ETH和2550万USDC被盗，累计价值约6.2亿美元。
官员们说，该项目被盗的原因是五名验证人的私钥被盗。去年11月，SkyMavis和Axiedao建立了一个非GasRPC节点，旨在降低用户成本，要求Axiedao成为SkyMavis的验证人。虽然RPC节点只持续了一个月，但白名单的访问权从未被撤销，因此攻击者有机会窃取Axiedao的签名，并将五名验证人的共识转化为伪造私钥提款。
目前，Axieinfinity联合创始人Aleksanderl.Larsen已在推特上发帖称，Axieinfinity团队正在努力与黑客沟通，以挽回损失，确定最佳赔偿方案。
2.PolyNetwork，6.11亿美元。
2021年8月10日，以太坊、BSC、Polygon部署的跨链互操作协议Polynetwork同时遭到黑客攻击，价值超过6.1亿美元的资产被盗。
根据慢雾队的分析，攻击者的特定函数传输到精心构建的数据中，修改ethcroschaindata合同的keper。更改keper角色地址后，可以随意构建交易，从合同中提取任何金额。
经过与黑客的多次链接沟通，黑客最终将所有被盗资产归还给项目方，所有用户均无实际损失。
3.Wormhole，3.26亿美元。
今年2月3日，跨链协议Wormhole遭到黑客攻击，官方证实攻击损失12万ETH(约3.26亿美元)。
据调查，事件的漏洞是Solana核心Wormhole合同签名验证代码错误，允许攻击者伪造监护人信息铸造wheth。攻击者将1.2万个真正的eth转移到以太坊，通过wormhole在Solana上无限铸造的wheth等价物。
事件发生后，黑客没有回复项目方的沟通。Wormhole母公司Jumptrading的Jumpcrypto很快决定自掏腰包向跨链桥智能合同补充12万个ETH，帮助Wormhole重启。
4.BitMart，1.96亿美元。
2021年12月5日，加密交易平台Bitmart的以太坊和BSC热钱包被盗约1.96亿美元，其中以太坊约1亿美元，BSC约9600万美元。
据了解，攻击者将Bitmart资金从热钱包转移到钱包，通过1inch将大部分货币交易到ETH和BNB，然后通过TornadoCash混合货币，最终逍遥法外。部分资产可以通过与项目方的合作恢复。
此后，BitMart创始人SheldonXia宣布将利用平台资金补偿受影响的用户，并迅速开放存款和取款。
5.VulcanForged，1.4亿美元。
2021年12月13日，链游项目Vulcanforged表示，148个PYR钱包被入侵，450多万PYR被盗，总价值超过1.4亿美元。后来，项目组决定补偿金库中受影响的PYR用户钱包。
6.CreamFinance，1.3亿美元。
2021年10月27日，抵押贷款平台CreamFinance遭遇闪电贷款攻击，损失约1.3亿美元。
据了解，攻击与经济攻击和预测机攻击相结合。攻击者从MakerDAO闪电贷款DAI中创建了大量YUSD代币。同时，YUSD价格是通过操纵多资产流动性池来计算的。YUSD价格上涨后，攻击者的YUSD头寸增加，创造了足够的贷款限额来抵消Cream以太坊V1市场的流动性。
11月13日，creamfinanc公布了对受影响用户的赔偿计划，将利用其金库的剩余代币分配和删除项目团队剩余的所有cream代币，并向受影响用户分发1453415枚cream代币。

7.Badger1.2亿美元。
2021年12月2日，Badger用户界面被黑客攻击并植入恶意钱包请求，总损失约2100BTC和151ETH，约1.2亿美元。
本次活动属于网络钓鱼攻击，是由运行在Badger云网络上的应用平台Cloudflare的恶意注入片段引起的。黑客使用Badger工程师在不知情或未经授权的情况下创建的损坏的API密钥，定期注入恶意代码，获得用户钱包的无限授权注释。
后来，Badger宣布聘请网络安全公司Mandiant和区块链分析公司Chainalysis调查攻击事件，并与美国和加拿大合作收回任何可能的资金。同时，通过社区投票，该项目决定在一年左右补偿部分受影响用户的金库资产和部分协议收入。
8.QubitFinance，8000万美元。
2022年1月28日，BSC贷款项目Qubit涉嫌被黑客攻击，黑客铸造了大量XETH抵押品，偷走了资金池中约8000万美元的资产。
攻击的主要原因是，当普通普通代币与native代币分开实现时，在转账白名单中的代币时，没有再次检查是否为0，导致本应通过native充值函数充值的操作顺利通过普通代币充值逻辑。
Teammound是QubitFinance的开发团队。攻击发生后，决定重组并发布补偿计划，将放弃所有代币补偿社区。
9.Ascendex，7700万美元。
2021年12月12日，加密货币交易所以太坊lygon热钱包被盗或超过7700万美元。
事件发生后，交易所表示将进行全面的安全检查。如果任何用户的资金受到事件的影响，Ascendex将支付100%。
10.EasyFi，5900万美元。
2021年4月20日，Layer2DeFi贷款协议EasyFi创始人Ankitgaur表示，协议流动池已转移600万美元和EASY代币298万美元，总损失约5900万美元。
据了解，该项目被盗的原因是管理员Metamask的助记词短语密钥被远程攻击，EasyFi智能合同没有被黑客攻击。EasyFi已经联系了Binance和Ascendex团队。由于流动性限制，黑客没有将代币从钱包转移到DEX。
后来，该项目表示，每个地址贷款人/存款人的净余额将按照快照补偿100%。用户将分两部分获得资金，提前支付25%，其余75%由EZ支付，EASYV2代币EZ按1:1的比例保证。
11.UraniumFinance，5700万美元。
2021年4月28日，币安智能链AMM协议UraniumFinance推荐Uranium迁移过程中受到攻击，损失约5700万美元。
据了解，这个问题发生在Uranium项目的pair合同上。合同的swap函数部分逻辑是指pancakeswap的逻辑，允许用户从闪电贷款中借钱。但是，当函数按照恒定乘积公式检查合同余额时，存在准确处理错误的问题，导致最终合同中计算的余额是合同实际余额的100倍。在这种情况下，如果攻击者使用闪电贷款，可以检查返还贷款金额的1%，剩余余额的99%将被盗，导致项目损失。
后来，Uraniumfinance发表了一篇漏洞分析文章，呼吁用户尽快移除资金，不要向合同提供流动性。此后，Uraniumfinance的官方更新消失，怀疑已停止运营。
12.bzx，5500万美元。
2021年11月6日，由于Polygon和BSC链上私钥泄露，bzx被盗资产超过5500万美元。
据了解，事故不是针对协议本身的黑客攻击，而是针对bzx开发人员的在线钓鱼攻击。开发人员收到了一封包含恶意宏的在线钓鱼电子邮件。打开此文件将导致开发人员的个人钱包密钥被盗。黑客可以控制合同并从bzrx中提取。
13.Cashio，$4800万。
2022年3月23日，Solana生态算法稳定币Cashio推动警告用户不要铸造任何代币，尽快从池中提取资金。该协议存在无限铸造漏洞，损失约4800万美元。
Cashiodollar是一种由USDT-USDCLP代币支持的算法稳定币。黑客非法发行了20亿个CASH代币，并通过多个应用将CASH代币转换为UST。USDC和USDT-USDCLP的总利润价值约为4800万美元。
被黑客攻击后，项目方表示有足够的资金偿还用户的损失。如果攻击者退还资金，他愿意提供100万美元的USDC作为奖励。攻击者在链上留言说，他将退还损失不到10万美元的受害者。
14.PancakeBuny，$4600万。
2021年5月20日，币安智能链BSC上的收益聚合器PancakeBuny被怀疑遭到攻击，损失约4600万美元。
这是一个典型的闪电贷款攻击。关键是WBNB-BUNYLP的价格计算存在缺陷，而BunyMinterv2合同铸造的BUNY数量依赖于这种有缺陷的LP价格计算方法，最终导致攻击者利用闪电贷款控制WBNB-BUNY池，从而提高LP价格，使BunyMinterv2合同为攻击者铸造了大量的BUNY代币。
Pancakebuny团队在遭受闪电贷款攻击后发布了评估和补偿计划。补偿池将通过发行新代币PBUNY和创建补偿池(团队直接贡献)来提供漏洞使用中收回的资金和QFI代币空投资金。90天后，原持有人将以低于市场价格的折扣将PBUNY交换为BUNY。
15.kucoin，$4500万。
2020年9月20日，Kucoin热钱包遭到攻击，损失超过2.8亿美元。
此后，KucoinCEOJohnyLyu表示，通过与交易所和项目方的合作，与执法安全机构的进一步合作，收回了2.22亿美元(占78%)和1745万美元(占6%)。最后，Kucoin用保险基金支付了剩余资金损失，约4500万美元(16%)，事件无用户损失。
16.Secretswap，超过4000万美元。
2021年9月14日，基于隐私公链Secretwork的DEX项目Secretwap遭到黑客攻击，流动性池中4000多万美元的资金被黑客取出。事件发生后，该项目暂停了Secretwap和Secretwork跨链桥的使用，防止黑客将资产从跨链桥转移到以太坊网络。
事后调查显示，该漏洞涉及与SecretSwap奖励质押相关的单一LP合同。没有被盗资金离开网络，没有桥梁/代币合同被攻击，网络本身也没有被攻击。
几天后，Secretnetwork通过硬分叉回滚网络将被盗资产返还给用户流动性资金池，并恢复跨链桥的使用。

17.AlphaFinance，$3700万。
2021年2月13日，Alphafinancelab在官方推特上表示，黑客利用Alphamorav2漏洞，从Ironbank借出ETH.DAI.USDC等资产，导致Alphamorav2与Creamv2的债务关系，损失约3700万美元。
Alpha团队的还款方式是将攻击者存入Alphahomorav2部署器合同中的1000ETH支付欠款；将攻击者存入Creamv2部署器合同中的1000ETH支付欠款；Tornadocash基金会将攻击者支付的100ETH捐款返还给Alphahomora支付欠款；Alpha将承诺使用Alphahomorav1和V2储备金的20%偿还剩余资金，并每月向Creamv2IronBank支付，直至新债全部还清。
18.Vefinance3700万美元。
2021年9月21日，雪崩生态借贷平台Veefinance智能合约遭到攻击，损失约3700万美元。
据了解，造成这一漏洞的主要原因是，在创建杠杆交易订单的过程中，预测器只使用Pangolinpol的价格作为价格馈送源，而池的价格波动超过3%。预测机会刷新价格，导致攻击者操纵Pangolinpol的价格。Vefinance预测器的价格和购买预测器的价格没有小数处理，导致预期的滑点检查在失败前无效。
此后，Vee.Finance宣布将奖励50万美元跟踪攻击者，并将承担全部损失，并用平台收入和储备中的VEE代币补偿所有贷款人和存款用户，团队代币不会在全部还款前释放。
19.crypto.com3300万美元。
2022年1月18日，加密货币交易所Crypto.com的部分账户涉嫌遭到黑客攻击，损失约3300万美元。
据了解，黑客绕过现有的2FA验证，成为提现白名单，其中483个账户被破解，4836个ETH和444个比特币被盗，ETH被发送到TornadoCash进行混币。
事件发生后，crypto.com表示已赔偿所有用户的损失，并将账户中的资产恢复到原位。
20.Monoxfinance3100万美元。
2021年11月30日，自动做市商协议Monox遭到闪电贷款攻击，以太坊和Polygon上价值约3100万美元的加密货币被黑客偷走。
据了解，攻击者利用掉期合同将MONO价格推高到天价后，使用MONO购买池内所有其他资产。
此后，项目团队表示，将为所有被盗资产发行债务代币DMONO，部署DMONO保险库，利用我们的收入回购MONO，并将MONO发送到金库。任何DMONO持有人都可以通过销毁DMONO并随时获得MONO来退出金库，但如果用户选择在DMONO达到所欠价值之前提取，则意味着剩余债务正在免除。
进一步统计可以发现，虽然这些安全事件的累计损失已经达到数十亿美元，但大部分被盗项目的用户损失已经得到了全额赔偿，其中Polynetwork.Secretswap的所有被盗资产都被找回，Wormhole等8个项目由项目方支付原币，其余大部分以自己的代币形式支付，但由于代币价格下跌，实际赔偿金额往往低于损失金额。
由此可见，黑客攻击并不像预期的那么可怕。重要的是项目方的资源背景和对用户的责任感。在谨慎操作任何资金的同时，加密用户应尽可能优先考虑强大的项目和平台，并在自己的承受范围内进行相关投资和采矿，以确保资金的安全。
免责声明：作为区块链信息平台，本网站提供的信息并不代表任何投资暗示。

转载请注明：比特币区块链时代 » 加密行业近两年前20大黑客攻击案