*本文为自动翻译版本,请以 原文为准。
今年年初,韩国一家大型加密货币交易所的一个热钱包出现异常提现活动。短短15分钟内,数百笔交易被执行,导致约445亿韩元(约3300万至3500万美元)被盗,交易所随即暂停所有提现功能。被窃资产包括USDC、BONK、SOL、ORCA、RAY、PYTH和JUP等主流代币。尽管交易所成功冻结了超过一半的被盗资金(价值230亿韩元的LAYER代币),但剩余部分已无法追回。对提现模式和时间的分析表明,这起事件是由热钱包签名流程遭到破坏造成的,而非智慧合约故障或用户操作失误。
在本文中,我们将解释交易所骇客攻击的最新趋势,深入探讨这些攻击中使用的方法,并展示Hexagate 的钱包入侵侦测工具包和GateSigner如何能够及早侦测到这些攻击并帮助最大限度地减少损失。
CEX和托管机构违规事件呈上升趋势
这次大型交易所发生的事件反映了一个明显的行业趋势:中心化交易所 (CEX) 和托管机构遭受的安全漏洞日益增多。这是由于在复杂的云端环境中运行高速、多链提现系统变得越来越困难。尽管交易所和托管机构目前处理著市场上一些最复杂的链上资金流动,但它们往往低估了强大的链上安全的重要性,并依赖一些事后证明不足以应对的措施。
我们追踪客户环境和像 Lazarus 这样的威胁组织已有近十年之久,并观察到一个明显的转变:攻击者越来越多地将目标对准托管机构和中心化交易所 (CEX),因为这些机构的收益更高,且营运架构更大、更复杂。近期针对 Bybit、BTCTurk、SwissBorg、Phemex 以及一家韩国交易所的攻击都符合相同的模式:单一的攻击点导致数百万美元的损失。
每起事件的根本原因各不相同。原因可能包括社交工程攻击导致帐户被盗用、技术堆叠中的网路安全漏洞、恶意软体、内部诈欺等等。老练的攻击者会利用系统中的单一弱点。现实的假设并非“全面防御”,而是“总是会有漏洞出现”。而一旦出现漏洞,一切都取决于侦测和回应的速度。强大的即时侦测和应变能力虽然无法完全消除风险,但可以防止营运漏洞演变成灾难性损失。
当时发生了什么事?
在这次事件发生之前,与涉事交易所连接的数百个 Solana 钱包中,有一个钱包已经正常运作了数周。钱包余额虽有波动,但从未跌至零。然而,攻击发生后,该钱包在几分钟内被完全清空。这种情况在合法交易中极为罕见,是钱包遭到入侵的有力证据。以下几个迹象特别突出:
- 余额清零模式:所有涉及的钱包都表现出相同的特征,即它们的余额在极短的时间内骤降至零,这种行为在正常的交易操作中不会发生。
- 大额提款激增:在攻击发生前的七天里,该交易所的 Solana 钱包仅收到一笔约 10 万美元的提款。然而,在攻击发生期间,短短 15 分钟内就发生了约 80 笔金额相同的提款。
- 高频次执行多种资产交易:攻击者一次转移了数十种不同的代币,共进行了数百笔交易。这种突发性行为与正常基线有显著偏差。
这些正是Chainalysis Hexagate等先进的自动化行为分析系统旨在即时检测的讯号。最终,交易所做出了暂停提现的正确决定,保护了用户和平台的安全。此类事件凸显了全自动侦测和回应机制的有效性。有了合适的即时管道,异常情况就能在最初几笔交易中就被及早发现,并在造成任何重大影响之前加以控制。
窃案发生后的立即行动
在这个阶段,攻击者很可能专注于利用自动做市商(AMM)来交易被盗资产,并将其转换为发行方难以冻结的代币。这通常是大规模热钱包被盗后初期阶段的典型操作。 Chainalysis Reactor 研究工具的下图显示,此时的大部分活动是资金整合和资产类型重组,而非资产扩散。
反应炉图表初始移动概览
Chainalysis Hexagate 如何检测和阻止钱包泄漏
1. 钱包被窃检测工具包
一套由 Chainalysis 智慧技术驱动的即时监控系统,能够侦测出热钱包被盗用的最早迹象。主要功能包括:
余额流失模式侦测:侦测您的钱包余额何时突然下降到接近零。
突发性检测:标记短时间内大额提款的突然增加。
未知目的地检测:当资金转移到您内部可信任生态系统之外的地址时,会发出警报。
利用机器学习进行违规检测:使用基于过去 CEX 违规事件和更广泛的生态系统行为训练的模型进行检测。
这些讯号会在最初几笔恶意交易发生时,甚至更早,在出现细微的行为变化时就会触发。利用这种早期检测,中心化交易所 (CEX) 可以自动执行防御措施,例如阻止提现、将交易转移到冷存储以及隔离资金流,从而能够更快、更一致地做出回应,并减少操作错误。
2. GateSigner(预签名保护)
GateSigner 可存取您的签名流程,并预先模拟每笔交易,以筛选高风险行为,提供关键的预核准筛选。
首先,模拟取款操作。
将结果与一系列违规侦测监控器进行汇总。
如果侦测到异常,交易会在上链之前被阻止或升级,从而防止基础设施意外签署攻击者可能想要传递的危险交易。
一些想法
热钱包被盗用正成为托管机构和交易所目前面临的最昂贵、最频繁的风险之一。准备最充分的机构会投资早期检测,并在签章流程中建立强大的控制机制。 Hexagate 的钱包盗用检测工具包和 GateSigner 使中心化交易所 (CEX) 能够立即捕获异常情况,在风险提现执行前将其拦截,并在适当的时机自动采取相应的应对措施。这是限制不可避免的盗用事件发生、保护用户、营运和整个业务的最有效方法。
联络我们,了解钱包泄漏侦测工具包和 GateSigner 如何帮助您防止成为下一个重大窃盗案的受害者,或申请演示。
本网站包含指向第三方网站的链接,这些网站并非由Chainalysis, Inc.或其关联公司(统称“Chainalysis”)控制。存取此类资讯并不表示Chainalysis与该网站或其经营者有任何关联、认可、批准或推荐关系,Chainalysis也不对其托管的产品、服务或其他内容承担任何责任。
本资料仅供参考,不构成任何法律、税务、财务或投资建议。读者在做出此类决定前应咨询自身顾问。 Chainalysis 对读者因使用本资料而做出的任何决定或任何其他作为或不作为概不承担任何责任。
Chainalysis 不保证或担保本报告中资讯的准确性、完整性、及时性、适用性或有效性,并且不对因该等材料任何部分的错误、遗漏或其他不准确之处而引起的任何索赔承担责任。
这篇题为「15分钟内价值3500万美元的加密资产被盗:交易所骇客攻击的演变及预防措施」的文章最初发表在Chainalysis网站上。
