加密鯨魚因多重簽名漏洞損失3800萬美元

一名加密貨幣巨鯨在今日稍早遭攻擊者控制多簽錢包並悄悄掏空資金後,損失了約 3,800 萬美元。

此案件引起密切關注,因為攻擊者不僅透過 Tornado Cash 轉移資產,還保留了與受損錢包相關的槓桿 DeFi 部位的控制權。

私鑰洩露後多簽錢包遭掏空

區塊鏈安全公司 PeckShield 於 12 月 18 日在 X 上報告,一名巨鯨的錢包在私鑰洩露後被清空,初步估計損失約 2,730 萬美元。後續的鏈上追蹤顯示,一旦納入相關錢包和部位,總損失攀升至接近 3,800 萬美元。

根據 PeckShield 的說法,攻擊者已透過 Tornado Cash 發送了價值約 1,260 萬美元的 4,100 ETH,顯然是為了掩蓋追蹤痕跡。約 200 萬美元仍以流動資產形式存在。更令人擔憂的是,攻擊者仍控制著受害者的地址,該地址在 Aave 上持有槓桿多頭部位,鏈上數據顯示約 2,500 萬美元的 ETH 作為抵押品,借入超過 1,200 萬美元的 DAI。

鏈上分析師 Specter 在 X 上分享了詳細的時間線,指出受害者創建了一個 1-of-1 多簽錢包,意味著只需要單一簽署者的一個簽名即可授權交易。然而,這種設置違背了多簽的主要目的,即要求多個獨立批准。

在將資金轉入錢包後不到 40 分鐘,該錢包就出現了大規模資金外流,所有代幣被掏空。大約在同一時間,簽署者被切換到攻擊者控制的地址。

Specter 表示最可能的解釋是私鑰在設置過程中洩露,或受害者依賴惡意第三方協助創建錢包。後來的一篇貼文引用研究員 tanuki42 的說法,暗示攻擊者可能自己創建了多簽錢包,使受害者在設置期間和之後都處於暴露狀態。

加密貨幣安全失敗的熟悉模式

此事件符合私鑰竊取和社交工程的更廣泛模式,這些問題持續困擾著加密貨幣領域。在 12 月 15 日的報告中,網路安全組織 Security Alliance 警告,與北韓有關的駭客每天進行假冒的 Zoom 和 Teams 通話,以植入惡意軟體並竊取私鑰,這種方法已造成數億美元的損失。

Binance 創辦人趙長鵬在 9 月發出了類似警告,表示攻擊者越來越多地針對人類信任而非智能合約漏洞,經常偽裝成協助者、求職者或會議主持人。

鏈上歷史顯示,該巨鯨在駭客攻擊前已活躍數月。5 月 7 日,Onchain Lens 報告同一地址從 OKX 提取了超過 2,500 ETH,並透過 Kiln Finance 質押資金,穩定建立大量 ETH 部位。

目前,攻擊者持續控制 Aave 部位增加了另一層風險。如果市場劇烈波動,強制清算可能加深損失,將這次原本已經代價高昂的漏洞變成關於多簽安全和私鑰處理的更嚴厲教訓。

本文《加密貨幣巨鯨在多簽漏洞中損失 3,800 萬美元》首次發表於 CryptoPotato。