今年早些時候,韓國一家大型加密貨幣交易所偵測到其一個熱錢包出現異常提現活動。大約15分鐘後,數百筆交易發生,約445億韓元(約3300萬至3500萬美元)被盜,平台隨即暫停所有提現功能。被竊資產包括USDC、BONK、 SOL、ORCA、RAY、PYTH、JUP等主流代幣。儘管交易所凍結了超過一半的被盜資金(價值230億韓元的LAYER代幣),但剩餘部分已無法追回。對提現模式和時間的分析表明,這次攻擊並非由智慧合約漏洞或用戶操作失誤造成,而是熱錢包簽名流程遭到破壞。
在這篇文章中,我們將探討目前的交易所駭客攻擊趨勢,深入了解這起竊盜案,並說明Hexagate 的錢包入侵偵測工具包和GateSigner如何能夠及早發現入侵,從而限制被盜金額。
CEX和託管機構的違規行為正在增加
這次大型交易所發生的事件反映了一個明顯的行業趨勢:由於在複雜的雲端環境中運行快速、多鏈提現系統日益複雜,中心化交易所 (CEX) 和託管機構的安全漏洞事件正在增加。儘管交易所和託管機構目前管理著市場上一些最複雜的鏈上交易流程,但許多開發者低估了強大的鏈上安全的重要性,往往依賴於一些事後證明不足以應對的措施。
經過近十年對客戶環境的追踪以及對Lazarus等威脅組織的跟踪,我們發現了一個顯而易見的轉變:攻擊者越來越多地將目標對準託管機構和中心化交易所 (CEX),因為風險巨大,而且運營體系龐大而復雜。近期針對Bybit 、BTCTurk、 SwissBorg、 Phemex以及這家韓國交易所的攻擊都遵循著相同的模式:單一漏洞造成數百萬美元的損失。
每個案例的根本原因各不相同——社交工程攻擊導致帳戶被盜、技術堆疊中的網路安全漏洞、惡意軟體、內部威脅等等。這就是高級攻擊者的慣用伎倆:他們只需要一個漏洞。現實的假設並非“我們完全受到保護”,而是“總有一天會出問題”。而一旦出現問題,一切都取決於你偵測和回應的速度。強大的即時檢測和應變能力並不能消除風險,但它可以防止營運漏洞演變成災難性損失。
發生了什麼事?
事件發生前,數百個與交易所關聯的Solana錢包中,有一個錢包在數週內運作正常;其餘額有增有減,但從未跌至零。然而,在攻擊發生期間,該錢包的餘額在幾分鐘內被完全清空——這種現像在合法操作中極為罕見,強烈表明錢包已被入侵。以下幾個關鍵訊號特別突出:
- 餘額驟降至零的模式:所有涉及的錢包都呈現相同的特徵:餘額在極短時間內驟降至零。這種現像在正常的交易操作中根本不會發生。
- 高額資金外流激增:在攻擊發生前的七天裡,交易所所有Solana錢包中僅有一筆約 10 萬美元的資金外流。而在攻擊發生期間,短短 15 分鐘內就發生了約 80 筆此類轉帳。
- 高頻次執行,涉及多種資產:攻擊者透過數百筆交易轉移了數十個代幣,這種突發模式與基線行為截然不同。
這些正是Chainalysis Hexagate等先進的自動化行為分析系統旨在即時檢測的訊號類型。交易所最終暫停提現的決定是正確的,這項果斷措施保護了用戶和平台的安全。此類事件凸顯了全自動偵測和回應機制的強大之處:只要部署了合適的即時管道,就能在早期幾筆交易中發現並緩解異常情況,從而避免造成重大損失。
盜竊後的初期活動
在這個階段,攻擊者很可能專注於透過自動做市商(AMM)交換被盜資產,將其轉換為發行方更難凍結的代幣。這是大型熱錢包被偷走後典型的早期行為。從下方的Chainalysis Reactor圖表可以看出,目前為止的交易活動大多是資產整合和類型輪動,而非分散。
Chainalysis Hexagate 如何檢測並阻止錢包被盜
1. 錢包被竊檢測工具包
一套即時監控系統,用於尋找熱錢包被盜用的最早跡象,並融合了 Chainalysis 的智慧分析技術,其中包括:
- 資金流失模式偵測:發現錢包餘額突然下降至接近零的情況。
- 突發性檢測:標記短時間內發生的快速、高額提款。
- 未知收款人檢測:當資金轉移到內部可信任生態系統之外的地址時發出警報。
- 基於機器學習的入侵偵測:基於歷史 CEX 入侵事件和更廣泛的生態系統行為訓練的模型。
這些訊號會在最初幾筆惡意交易中觸發,在某些情況下,甚至更早,基於早期行為偏差即可觸發。透過這些早期偵測器,中心化交易所 (CEX) 還可以設定自動回應,因此,當您提升防禦措施(暫停提現、路由至冷儲存、隔離資金流)時,反應速度更快、更穩定,且操作失誤更少。
2. GateSigner(預簽名保護)
GateSigner可以存取您的簽名流程,並模擬每筆交易的風險活動,為您的團隊在批准交易前提供關鍵檢查:
- 首先模擬提款過程。
- 將結果與您的入侵監控系統進行比對。
- 如果發現異常,GateSigner 會在交易到達區塊鏈之前阻止或升級該交易。這可以防止您的基礎設施無意中簽署攻擊者試圖強行通過的交易。
最後的一些想法
熱錢包被盜用正成為託管機構和交易所目前面臨的最昂貴、最頻繁的風險之一。那些投資於早期檢測並對其簽名流程進行嚴格控制的機構,才能更好地應對此類風險。 Hexagate 的錢包盜用檢測工具包和GateSigner使中心化交易所 (CEX) 能夠立即捕獲異常情況,在危險提現操作執行前將其阻止,並在適當的時機自動做出正確的回應。這是將不可避免的安全漏洞轉化為可控事件,並保護使用者、營運和整個業務的最有效方法。
了解更多關於錢包入侵偵測工具包和Gatesigner如何防止您成為下一次重大竊盜案的受害者,或立即申請演示。
本網站包含指向第三方網站的鏈接,這些網站並非由Chainalysis, Inc.或其關聯公司(統稱“Chainalysis”)控制。存取此類資訊並不表示Chainalysis與該網站或其經營者有任何關聯、認可、批准或推薦關係,Chainalysis也不對其託管的產品、服務或其他內容承擔任何責任。
本資料僅供參考,不構成任何法律、稅務、財務或投資建議。讀者在做出此類決定前應諮詢自身顧問。 Chainalysis 對讀者因使用本資料而做出的任何決定或任何其他作為或不作為概不承擔任何責任。
Chainalysis 不保證或擔保本報告中資訊的準確性、完整性、及時性、適用性或有效性,並且不對因該等材料任何部分的錯誤、遺漏或其他不準確之處而引起的任何索賠承擔責任。
這篇題為 《15 分鐘內 3500 萬美元加密貨幣被盜:交易所黑客攻擊的演變以及如何預防》的文章最初發表在Chainalysis 網站上。
