*本文為自動翻譯版本,請以 原文為準。
今年年初,韓國一家大型加密貨幣交易所的一個熱錢包出現異常提現活動。短短15分鐘內,數百筆交易被執行,導致約445億韓元(約3300萬至3500萬美元)被盜,交易所隨即暫停所有提現功能。被竊資產包括USDC、BONK、SOL、ORCA、RAY、PYTH和JUP等主流代幣。儘管交易所成功凍結了超過一半的被盜資金(價值230億韓元的LAYER代幣),但剩餘部分已無法追回。對提現模式和時間的分析表明,這起事件是由熱錢包簽名流程遭到破壞造成的,而非智慧合約故障或用戶操作失誤。
在本文中,我們將解釋交易所駭客攻擊的最新趨勢,深入探討這些攻擊中使用的方法,並展示Hexagate 的錢包入侵偵測工具包和GateSigner如何能夠及早偵測到這些攻擊並幫助最大限度地減少損失。
CEX和託管機構違規事件呈上升趨勢
這次大型交易所發生的事件反映了一個明顯的行業趨勢:中心化交易所 (CEX) 和託管機構遭受的安全漏洞日益增多。這是由於在複雜的雲端環境中運行高速、多鏈提現系統變得越來越困難。儘管交易所和託管機構目前處理著市場上一些最複雜的鏈上資金流動,但它們往往低估了強大的鏈上安全的重要性,並依賴一些事後證明不足以應對的措施。
我們追蹤客戶環境和像 Lazarus 這樣的威脅組織已有近十年之久,並觀察到一個明顯的轉變:攻擊者越來越多地將目標對準託管機構和中心化交易所 (CEX),因為這些機構的收益更高,且營運架構更大、更複雜。近期針對 Bybit、BTCTurk、SwissBorg、Phemex 以及一家韓國交易所的攻擊都符合相同的模式:單一的攻擊點導致數百萬美元的損失。
每起事件的根本原因各不相同。原因可能包括社交工程攻擊導致帳戶被盜用、技術堆疊中的網路安全漏洞、惡意軟體、內部詐欺等等。老練的攻擊者會利用系統中的單一弱點。現實的假設並非“全面防禦”,而是“總是會有漏洞出現”。而一旦出現漏洞,一切都取決於偵測和回應的速度。強大的即時偵測和應變能力雖然無法完全消除風險,但可以防止營運漏洞演變成災難性損失。
當時發生了什麼事?
在這次事件發生之前,與涉事交易所連接的數百個 Solana 錢包中,有一個錢包已經正常運作了數週。錢包餘額雖有波動,但從未跌至零。然而,攻擊發生後,該錢包在幾分鐘內被完全清空。這種情況在合法交易中極為罕見,是錢包遭到入侵的有力證據。以下幾個跡象特別突出:
- 餘額清零模式:所有涉及的錢包都表現出相同的特徵,即它們的餘額在極短的時間內驟降至零,這種行為在正常的交易操作中不會發生。
- 大額提款激增:在攻擊發生前的七天裡,該交易所的 Solana 錢包僅收到一筆約 10 萬美元的提款。然而,在攻擊發生期間,短短 15 分鐘內就發生了約 80 筆金額相同的提款。
- 高頻次執行多種資產交易:攻擊者一次轉移了數十種不同的代幣,共進行了數百筆交易。這種突發性行為與正常基線有顯著偏差。
這些正是Chainalysis Hexagate等先進的自動化行為分析系統旨在即時檢測的訊號。最終,交易所做出了暫停提現的正確決定,保護了用戶和平台的安全。此類事件凸顯了全自動偵測和回應機制的有效性。有了合適的即時管道,異常情況就能在最初幾筆交易中就被及早發現,並在造成任何重大影響之前加以控制。
竊案發生後的立即行動
在這個階段,攻擊者很可能專注於利用自動做市商(AMM)來交易被盜資產,並將其轉換為發行方難以凍結的代幣。這通常是大規模熱錢包被盜後初期階段的典型操作。 Chainalysis Reactor 研究工具的下圖顯示,此時的大部分活動是資金整合和資產類型重組,而非資產擴散。
反應爐圖表初始移動概覽
Chainalysis Hexagate 如何檢測和阻止錢包洩漏
1. 錢包被竊檢測工具包
一套由 Chainalysis 智慧技術驅動的即時監控系統,能夠偵測出熱錢包被盜用的最早跡象。主要功能包括:
餘額流失模式偵測:偵測您的錢包餘額何時突然下降到接近零。
突發性檢測:標記短時間內大額提款的突然增加。
未知目的地檢測:當資金轉移到您內部可信任生態系統之外的地址時,會發出警報。
利用機器學習進行違規檢測:使用基於過去 CEX 違規事件和更廣泛的生態系統行為訓練的模型進行檢測。
這些訊號會在最初幾筆惡意交易發生時,甚至更早,在出現細微的行為變化時就會觸發。利用這種早期檢測,中心化交易所 (CEX) 可以自動執行防禦措施,例如阻止提現、將交易轉移到冷存儲以及隔離資金流,從而能夠更快、更一致地做出回應,並減少操作錯誤。
2. GateSigner(預簽名保護)
GateSigner 可存取您的簽名流程,並預先模擬每筆交易,以篩選高風險行為,提供關鍵的預核准篩選。
首先,模擬取款操作。
將結果與一系列違規偵測監控器進行匯總。
如果偵測到異常,交易會在上鍊之前被阻止或升級,從而防止基礎設施意外簽署攻擊者可能想要傳遞的危險交易。
一些想法
熱錢包被盜用正成為託管機構和交易所目前面臨的最昂貴、最頻繁的風險之一。準備最充分的機構會投資早期檢測,並在簽章流程中建立強大的控制機制。 Hexagate 的錢包盜用檢測工具包和 GateSigner 使中心化交易所 (CEX) 能夠立即捕獲異常情況,在風險提現執行前將其攔截,並在適當的時機自動採取相應的應對措施。這是限制不可避免的盜用事件發生、保護用戶、營運和整個業務的最有效方法。
聯絡我們,了解錢包洩漏偵測工具包和 GateSigner 如何幫助您防止成為下一個重大竊盜案的受害者,或申請演示。
本網站包含指向第三方網站的鏈接,這些網站並非由Chainalysis, Inc.或其關聯公司(統稱“Chainalysis”)控制。存取此類資訊並不表示Chainalysis與該網站或其經營者有任何關聯、認可、批准或推薦關係,Chainalysis也不對其託管的產品、服務或其他內容承擔任何責任。
本資料僅供參考,不構成任何法律、稅務、財務或投資建議。讀者在做出此類決定前應諮詢自身顧問。 Chainalysis 對讀者因使用本資料而做出的任何決定或任何其他作為或不作為概不承擔任何責任。
Chainalysis 不保證或擔保本報告中資訊的準確性、完整性、及時性、適用性或有效性,並且不對因該等材料任何部分的錯誤、遺漏或其他不準確之處而引起的任何索賠承擔責任。
這篇題為「15分鐘內價值3500萬美元的加密資產被盜:交易所駭客攻擊的演變及預防措施」的文章最初發表在Chainalysis網站上。
