2024年十大最嚴重的加密貨幣駭客攻擊和漏洞利用

2024年對於加密貨幣用戶和公司來說，在網絡安全方面仍然是一個充滿挑戰的年份，這一年發生了多起顯著的駭客事件。

根據Chainalysis的數據，到2024年12月，駭客已經竊取了近22億美元的加密貨幣。這一數字比2023年被盜的18億美元增加了超過22%，顯示出駭客攻擊量的年同比增長。

2024年，大規模的攻擊針對了像DMM Bitcoin、WazirX和BingX這樣的中心化交易所。DeFi協議設計中的漏洞仍然是攻擊者的另一個重點，他們利用這些漏洞來竊取資金。

雖然財務收益仍然是大多數加密貨幣駭客攻擊的主要動機，但其他因素也有貢獻。例如，據稱由Lazarus Group發起的針對WazirX和Radiant Capital的事件暗示了國家支持的攻擊。

本文探討了2024年最顯著的加密貨幣駭客事件，分析了其背後的原因以及駭客使用的策略。

DMM Bitcoin：3億美元

2024年5月，日本的加密貨幣交易所DMM Bitcoin遭遇了當年最大的加密貨幣駭客攻擊。它損失了超過4,500個BTC，當時價值超過3億美元。

雖然DMM Bitcoin攻擊的具體原因尚不清楚，但專家建議可能的漏洞包括被盜的私鑰或地址中毒。後者是一種欺騙性策略，攻擊者向受害者的錢包發送少量加密貨幣，創建虛假的交易歷史，以混淆用戶並可能誘使他們將資金發送到錯誤的地址。

這一事件是有史以來第八大加密貨幣盜竊案，也是自2022年11月FTX被盜4.77億美元以來最大的攻擊。

12月，DMM Bitcoin宣布已與日本的SBI集團達成協議，將在2025年3月前將客戶賬戶和託管資產轉移給後者。

WazirX：2.3億美元

2024年7月18日，印度最大的加密貨幣交易所之一WazirX遭遇了一次大規模駭客攻擊，損失了約2.3億美元的投資者資金。

駭客利用了一個複雜的計劃來攻破WazirX的多重簽名錢包，該錢包需要多個簽名才能授權交易。通過利用Liminal界面（WazirX使用的加密託管平台）上顯示的交易差異，攻擊者能夠欺騙授權簽署人批准惡意交易。這使他們能夠繞過安全措施，掏空交易所的加密錢包。

專家懷疑臭名昭著的朝鮮駭客組織Lazarus Group參與其中。

WazirX立即採取措施減輕損失，包括暫時停止加密貨幣和法幣的提現。

對這次駭客攻擊的調查目前正在進行中。

Munchables：6,200萬美元

2024年3月，基於Blast Layer 2區塊鏈的賺取遊戲Munchables遭遇了一次大型安全漏洞攻擊。一名不明身份的攻擊者利用遊戲智能合約中的一個關鍵漏洞，竊取了價值6,250萬美元的加密貨幣。該項目的智能合約賦予相關開發者自行轉移資金的權力——這是一種被濫用的能力。

攻擊的核心是該項目使用了一個可升級的代理合約。雖然這種類型的合約提供了靈活性，但如果處理不當，也可能引入漏洞，Halborn的安全分析師Rob Behnke解釋道。在這種情況下，惡意開發者控制了智能合約的部署地址，獲得了更改合約代碼的權力。

利用這一特權，攻擊者巧妙地在合約中插入了一個惡意後門。隨著時間的推移，他們等待大量以太幣被存入合約中。當時機成熟時，t

他們觸發了漏洞，竊取了數百萬美元的加密貨幣。

隨後，Munchables 更新我們，開發者已同意無條件放棄持有 Munchables 資產的錢包私鑰，從而完全恢復了資產。目前尚不清楚攻擊者為何決定這樣做。

Dai 巨鯨漏洞：5500萬美元

在八月，一位加密巨鯨成為了一次精心策劃的網絡釣魚攻擊的受害者，損失了價值5500萬美元的 Dai 穩定幣。

攻擊者利用漏洞訪問了受害者的加密錢包帳戶，也稱為外部擁有帳戶，該帳戶控制著 Maker 協議上的一個保險庫。這種類型的保險庫允許用戶通過抵押品借入 Dai 穩定幣。

通過利用被破壞的 EOA，攻擊者將受害者的去中心化服務代理（DSProxy）的所有權轉移到一個新創建的地址，該地址由他們控制。DSProxy 是一個智能合約，允許用戶在單筆交易中執行多個合約調用。

DSProxy 是自動化複雜交易的工具，是巨鯨數字保險庫的關鍵。通過控制 DSProxy，攻擊者獲得了操縱巨鯨 Maker 保險庫的能力。控制 DSProxy 後，黑客將自己設置為協議的擁有者地址，並將 55,473,618 Dai 穩定幣鑄造到他們的錢包中。

安全公司 Halborn 解釋說，攻擊者可能使用網絡釣魚攻擊來欺騙巨鯨簽署將代理所有權轉移給他們的交易。另一種可能性是，網絡釣魚攻擊破壞了控制 DSProxy 的錢包帳戶的私鑰。

Radiant Capital：5100萬美元

在 2024 年 10 月，Radiant Capital 在一年內遭遇了第二次嚴重攻擊，損失約 5100 萬美元。

最初的事件是一個閃電貸漏洞，剝奪了協議約 450 萬美元。然而，與後來更複雜的攻擊相比，這一事件顯得微不足道。隨後的攻擊針對協議的多重簽名機制中的一個漏洞，利用了一種高度複雜的策略。Radiant Capital 使用 3-of-11 多重簽名設置，需要三個私鑰來批准關鍵交易。

然而，據信與朝鮮 Lazarus 集團有關的攻擊者繞過了這一安全功能。攻擊者操縱了簽名過程，欺騙簽名者批准看似合法的惡意交易。這種操縱涉及複雜的惡意軟件，該軟件改變了 Gnosis Safe 錢包界面上顯示的交易數據。相比之下，惡意交易被轉發到硬件錢包進行簽名和實施。

攻擊者利用偶爾被忽視為正常的交易失敗。在這些失敗中嵌入惡意交易，他們獲得了有效的簽名而未引起任何警覺。

一旦這些惡意交易獲得批准，攻擊者就控制了 Radiant 的一個智能合約，該合約監管著各種借貸池。這次入侵使他們能夠用惡意版本替換池合約，從而訪問用戶資金。

BingX：4300萬美元

在另一個突顯中心化加密貨幣交易所脆弱性的驚人事件中，新加坡的 BingX 成為了一次大型安全漏洞的受害者。這次攻擊發生在 2024 年 9 月 20 日，損害了交易所的熱錢包。

儘管 BingX 將事件淡化為“輕微”，但安全分析師估計總損失約為 4300 萬美元。被盜資金被分批轉移，表明這是一場協調良好的攻擊。

這一事件是 2024 年困擾加密貨幣行業的 CEX 攻擊趨勢的一部分。在這次事件中，攻擊者獲得了未經授權的訪問權限

訪問多個區塊鏈並使用多個漏洞地址來收集各種加密貨幣。隨後，這些被盜資金被轉換為以太幣，這是北韓拉撒路集團的常見做法。

Penpie：2700萬美元

2024年9月，運行於Pendle Finance上的收益農業平台Penpie協議遭到攻擊，導致約2700萬美元的損失。

Penpie被攻擊的根本原因是一個被稱為重入攻擊的關鍵漏洞。這種漏洞允許惡意行為者操縱智能合約的執行流程，導致意外後果。 

通過在Pendle上創建一個欺騙性的市場，攻擊者創建了Pendle的“標準化收益”代幣的假版本，並將其與Pendle的“流動性提供者”代幣鏈接。這種操縱使攻擊者能夠反覆調用一個易受攻擊的功能，使用這些偽造的代幣膨脹其獎勵餘額。由於智能合約缺乏強大的驗證機制，錯誤地接受了這些假代幣，使攻擊者能夠提取大量資金。

儘管攻擊的嚴重性，Penpie團隊向攻擊者伸出橄欖枝，提供賞金以換取被盜資金的歸還。攻擊者選擇無視這一請求，並通過Tornado Cash混合器洗錢。

UwU Lend：2000萬美元

2024年6月，去中心化借貸平台UwU Lend因其價格預言機中的漏洞遭受了2000萬美元的攻擊，該預言機依賴於Curve Finance的流動性池的實時數據。攻擊者利用了這一漏洞，通過一系列精心計算的交易操縱了與美元掛鉤的穩定幣sUSDE的價格。

攻擊始於攻擊者獲取大量閃電貸款，並在Curve池中將這些資產的大部分交換為sUSDE，從而大幅降低其價格。然後，攻擊者從UwU Lend借入大量被低估的sUSDE代幣，並使用其他加密貨幣作為抵押。隨後，攻擊者在Curve池中進行交易以恢復sUSDE的價格至正常水平，提升其持有資產的價值。

攻擊者清算了這些頭寸以收回最初借入的加密貨幣，這些加密貨幣現在更有價值，並將sUSDE重新存入UwU Lend以借入更多，最終獲得1930萬美元的以太幣收益。此事件突顯了使用現貨價格作為去中心化金融預言機的關鍵漏洞。

Sonne Finance：2000萬美元

2024年5月，運行於Optimism Layer 2鏈上的去中心化借貸協議Sonne Finance因系統中的漏洞遭遇了2000萬美元的攻擊，該漏洞源自Compound v2分叉。這種漏洞通常針對協議的設計缺陷，特別是在流動性低或新建立的市場中。

在Compound v2分叉如Sonne上創建新市場需要初始流動性以防止價格操縱。沒有這一點，市場容易受到攻擊。智能合約計算中的精度或舍入錯誤，特別是小數值，可以被操縱。

在Sonne Finance的案例中，攻擊者向一個空市場注入少量的基礎資產，顯著改變了基礎資產與其代幣化對應物之間的匯率。

這導致了一個舍入錯誤，Sonne Finance的攻擊者利用這一點提取了比最初存入更多的基礎資產，最終造成約2000萬美元的總損失。此事件強調了Compound v2分叉中反覆出現的問題，這些問題在Hundred Finance和Onyx Protocol等平台上也被利用過。

M2交易所：1400萬美元

10月，位於阿聯酋的M2加密貨幣交易所遭遇網絡攻擊，導致價值1370萬美元的加密貨幣被盜。

惡意行為者利用了交易所安全系統中的漏洞，獲得了訪問權限。