今年早些时候,韩国一家大型加密货币交易所侦测到其一个热钱包出现异常提现活动。大约15分钟后,数百笔交易发生,约445亿韩元(约3300万至3500万美元)被盗,平台随即暂停所有提现功能。被窃资产包括USDC、BONK、 SOL、ORCA、RAY、PYTH、JUP等主流代币。尽管交易所冻结了超过一半的被盗资金(价值230亿韩元的LAYER代币),但剩余部分已无法追回。对提现模式和时间的分析表明,这次攻击并非由智慧合约漏洞或用户操作失误造成,而是热钱包签名流程遭到破坏。
在这篇文章中,我们将探讨目前的交易所骇客攻击趋势,深入了解这起窃盗案,并说明Hexagate 的钱包入侵侦测工具包和GateSigner如何能够及早发现入侵,从而限制被盗金额。
CEX和托管机构的违规行为正在增加
这次大型交易所发生的事件反映了一个明显的行业趋势:由于在复杂的云端环境中运行快速、多链提现系统日益复杂,中心化交易所 (CEX) 和托管机构的安全漏洞事件正在增加。尽管交易所和托管机构目前管理著市场上一些最复杂的链上交易流程,但许多开发者低估了强大的链上安全的重要性,往往依赖于一些事后证明不足以应对的措施。
经过近十年对客户环境的追踪以及对Lazarus等威胁组织的跟踪,我们发现了一个显而易见的转变:攻击者越来越多地将目标对准托管机构和中心化交易所 (CEX),因为风险巨大,而且运营体系庞大而复杂。近期针对Bybit 、BTCTurk、 SwissBorg、 Phemex以及这家韩国交易所的攻击都遵循著相同的模式:单一漏洞造成数百万美元的损失。
每个案例的根本原因各不相同——社交工程攻击导致帐户被盗、技术堆叠中的网路安全漏洞、恶意软体、内部威胁等等。这就是高级攻击者的惯用伎俩:他们只需要一个漏洞。现实的假设并非“我们完全受到保护”,而是“总有一天会出问题”。而一旦出现问题,一切都取决于你侦测和回应的速度。强大的即时检测和应变能力并不能消除风险,但它可以防止营运漏洞演变成灾难性损失。
发生了什么事?
事件发生前,数百个与交易所关联的Solana钱包中,有一个钱包在数周内运作正常;其余额有增有减,但从未跌至零。然而,在攻击发生期间,该钱包的余额在几分钟内被完全清空——这种现像在合法操作中极为罕见,强烈表明钱包已被入侵。以下几个关键讯号特别突出:
- 余额骤降至零的模式:所有涉及的钱包都呈现相同的特征:余额在极短时间内骤降至零。这种现像在正常的交易操作中根本不会发生。
- 高额资金外流激增:在攻击发生前的七天里,交易所所有Solana钱包中仅有一笔约 10 万美元的资金外流。而在攻击发生期间,短短 15 分钟内就发生了约 80 笔此类转帐。
- 高频次执行,涉及多种资产:攻击者透过数百笔交易转移了数十个代币,这种突发模式与基线行为截然不同。
这些正是Chainalysis Hexagate等先进的自动化行为分析系统旨在即时检测的讯号类型。交易所最终暂停提现的决定是正确的,这项果断措施保护了用户和平台的安全。此类事件凸显了全自动侦测和回应机制的强大之处:只要部署了合适的即时管道,就能在早期几笔交易中发现并缓解异常情况,从而避免造成重大损失。
盗窃后的初期活动
在这个阶段,攻击者很可能专注于透过自动做市商(AMM)交换被盗资产,将其转换为发行方更难冻结的代币。这是大型热钱包被偷走后典型的早期行为。从下方的Chainalysis Reactor图表可以看出,目前为止的交易活动大多是资产整合和类型轮动,而非分散。
Chainalysis Hexagate 如何检测并阻止钱包被盗
1. 钱包被窃检测工具包
一套即时监控系统,用于寻找热钱包被盗用的最早迹象,并融合了 Chainalysis 的智慧分析技术,其中包括:
- 资金流失模式侦测:发现钱包余额突然下降至接近零的情况。
- 突发性检测:标记短时间内发生的快速、高额提款。
- 未知收款人检测:当资金转移到内部可信任生态系统之外的地址时发出警报。
- 基于机器学习的入侵侦测:基于历史 CEX 入侵事件和更广泛的生态系统行为训练的模型。
这些讯号会在最初几笔恶意交易中触发,在某些情况下,甚至更早,基于早期行为偏差即可触发。透过这些早期侦测器,中心化交易所 (CEX) 还可以设定自动回应,因此,当您提升防御措施(暂停提现、路由至冷储存、隔离资金流)时,反应速度更快、更稳定,且操作失误更少。
2. GateSigner(预签名保护)
GateSigner可以存取您的签名流程,并模拟每笔交易的风险活动,为您的团队在批准交易前提供关键检查:
- 首先模拟提款过程。
- 将结果与您的入侵监控系统进行比对。
- 如果发现异常,GateSigner 会在交易到达区块链之前阻止或升级该交易。这可以防止您的基础设施无意中签署攻击者试图强行通过的交易。
最后的一些想法
热钱包被盗用正成为托管机构和交易所目前面临的最昂贵、最频繁的风险之一。那些投资于早期检测并对其签名流程进行严格控制的机构,才能更好地应对此类风险。 Hexagate 的钱包盗用检测工具包和GateSigner使中心化交易所 (CEX) 能够立即捕获异常情况,在危险提现操作执行前将其阻止,并在适当的时机自动做出正确的回应。这是将不可避免的安全漏洞转化为可控事件,并保护使用者、营运和整个业务的最有效方法。
了解更多关于钱包入侵侦测工具包和Gatesigner如何防止您成为下一次重大窃盗案的受害者,或立即申请演示。
本网站包含指向第三方网站的链接,这些网站并非由Chainalysis, Inc.或其关联公司(统称“Chainalysis”)控制。存取此类资讯并不表示Chainalysis与该网站或其经营者有任何关联、认可、批准或推荐关系,Chainalysis也不对其托管的产品、服务或其他内容承担任何责任。
本资料仅供参考,不构成任何法律、税务、财务或投资建议。读者在做出此类决定前应咨询自身顾问。 Chainalysis 对读者因使用本资料而做出的任何决定或任何其他作为或不作为概不承担任何责任。
Chainalysis 不保证或担保本报告中资讯的准确性、完整性、及时性、适用性或有效性,并且不对因该等材料任何部分的错误、遗漏或其他不准确之处而引起的任何索赔承担责任。
这篇题为 《15 分钟内 3500 万美元加密货币被盗:交易所黑客攻击的演变以及如何预防》的文章最初发表在Chainalysis 网站上。
