去年,加密货币黑客攻击和漏洞利用造成了28亿美元的损失,为2013年以来的最高水平。
其中47%的资金被攻击者使用各种黑客攻击和漏洞利用方法窃取。这些方法包括绕过验证流程、市场操纵、“群体抢劫”、利用智能合约错误或漏洞等。
这表明,加密黑客正在探索从项目和用户那里窃取资金的非常规方式,以绕过改进对更传统或标准的漏洞利用方法(如访问控制黑客攻击和闪电贷攻击)的防御。
黑客依靠这些多样化、非常规的方法实施了2022年的一些最大抢劫案:
2022年2月的Wormhole Hack–黑客在Wormhole上实施了今年第二大漏洞利用,Wormhole 是连接Solana和其他区块链的主要桥梁。Wormhole未能验证“监护人”账户,这使得黑客能够使用伪造的签名绕过验证并铸造价值3.26亿美元的加密货币,而无需等价的抵押品。
2022年8月Nomad Bridge漏洞–Nomad的第三大漏洞是由8月的第一次加密货币“人群抢劫”事件引起的。Nomad智能合约中的不安全配置允许用户提取任意数量的资金,而无需证明交易的有效性。信息在最初的攻击之后传播开来,数百名用户通过简单的复制加入进来,总共抢劫了1.9亿美元。
2022年10月Mango Markets 黑客攻击–去中心化交易所Mango Markets于10月遭到黑客攻击。后来承认自己是黑客的Avraham Eisenberg利用市场操纵来利用流动性不足。通过购买和人为抬高Mango (MNGO) 代币的价格,黑客成功从Mango金库中借出大量抵押不足的贷款,窃取了1.16亿美元。
3月份Sky Mavis的Ronin桥黑客攻击是今年损失最大的加密货币漏洞,被盗的6.25亿美元占2022年访问控制黑客攻击的58.3%。当时,Ronin桥在Axie Infinity玩家中非常受欢迎,他们用它在Ronin链和以太坊网络之间转移资产。
攻击者后来被确定为臭名昭著的朝鲜黑客组织Lazarus,他们获得了五个私钥的访问权。这些被用来签署来自Ronin Network的九个验证器节点中的五个的交易,这使得攻击者从桥中窃取了173,600个以太币(ETH)和2550万美元硬币 (USDC)。
事实上,去年被盗资金的65%来自前五大桥黑客攻击。随着桥变得越来越重要,连接越来越多的区块链网络,这种情况也随之而来。因此,恶意行为者利用这个机会瞄准投资者用来在加密生态系统中转移资金的这些桥梁。
闪电贷攻击是加密黑客第三大最受欢迎的方法,导致被盗资金2.4亿美元,占去年损失的 8.7%。
其次是重入黑客和预言机问题黑客,攻击者在同一时期分别用它们窃取了0.08亿美元和 0.05亿美元。这两种方法分别占当年损失的2.9%和1.9%。
网络钓鱼是最不受加密黑客青睐的方法。作为一种独立方法,网络钓鱼仅造成0.02亿美元的损失,占被盗资金的0.6%。
该研究基于DeFiYield的REKT数据库的数据,调查了2022年每种黑客攻击或漏洞利用方法造成的资金损失。
为了进行这项研究,术语“黑客”、“漏洞利用”和“攻击”可互换使用。