新聞 
幣種資訊 
關於我們 
根據 Cointelegraph 於 13 日(當地時間)的報導,針對中小型加密貨幣項目的「小規模駭客攻擊」正持續累積損失。今年截至目前,已發生 77 起「駭客事件」,累計損失金額超過「11 億美元」,僅本週就有 6 個專案遭攻擊,約「600 萬美元」資金被轉移。這類攻擊雖然規模不及大型交易所事件,卻正成為拖累「加密貨幣市場」信任的重要風險來源。
根據「Protos」彙整的「區塊鏈安全」數據,今年以來加密貨幣相關「駭客攻擊」共計 77 起,其中「4 月」單月損失金額就已突破「6 億美元」。在 4 月事件中,以「Drift Protocol」和「rsETH 跨鏈橋」兩起重大攻擊最為嚴重,合計占該月損失金額的約 95%。不過,進入「5 月」後,大型攻擊數量有所減少,但在「Polygon(MATIC)」、「Arbitrum(ARB)」等多條「公鏈網路」上,小型與中型攻擊事件仍持續發生。
在本週新發生的案例中,「11 日」首先傳出「Polygon(MATIC)」生態上的 DeFi 項目「Ink Finance」遭到攻擊。該專案的「Workspace Treasury Proxy 合約」遭駭,導致約「14 萬美元」資金被轉出。「區塊鏈安全」公司 SlowMist 指出,攻擊主因是合約中用於薪資發放的 PayrollDistribution 函數缺乏「存取控制」,讓攻擊者得以任意調用相關功能。此外,同一天內,「Huma Finance」也爆出安全事件,損失金額約「10 萬美元」。團隊澄清,本次事故發生在早已停止使用的「Solana(SOL)」版「舊版 v1 智慧合約」,與目前運行中的新版本無關。
「12 日」則輪到「TAC Bridge」傳出安全事故。TAC 被介紹為用於協助「TON(TON)」生態系連接「EVM 去中心化應用(dApp)」的區塊鏈基礎設施,但第三方分析顯示,本次攻擊疑似導致「USDT」與「BLUM」等多種代幣合計約「300 萬美元」被盜。同日,「Transit Finance」亦遭遇攻擊,約「190 萬美元」等值的「DAI」穩定幣被轉走。專案團隊說明,駭客利用的是自 2022 年起理應不再使用的「既有已知漏洞」,顯示過去的弱點未被徹底關閉;官方並表示將提出「受害者補償方案」。
除上述案例外,其他「去中心化金融(DeFi)」專案同樣成為攻擊目標。「Aurellion」 reportedly 損失約「45.5 萬美元」,「BoostHook」則遭竊約「20 萬美元」資產。到了「13 日」,「Arbitrum(ARB)」網路上的專案「FOX Colony」再度傳出被駭消息,初步估計損失約「13 萬美元」。安全研究人員指出,市場上隨後還出現一宗模仿此手法的「跟風攻擊」,額外造成約「5 萬美元」損失。
「評論」
近期一連串小型與中型駭客事件,凸顯中小型項目的「資安治理」與「風險控管」明顯落後於大型交易所與主流協議。從上述攻擊細節來看,多數並非高難度零日漏洞,而是「缺乏存取控制」、「重複利用舊版合約」、「既知漏洞未完全修補」等基礎問題;這意味著,只要團隊在「合約審計」、「版本管理」及「權限控管」等面向加強流程,部分損失原本是可避免的。
對「加密貨幣市場」整體而言,即使單一事件的規模不大,但在一年內累積超過「11 億美元」的實際損失,勢必影響一般使用者對「DeFi」、「跨鏈橋」以及新興公鏈生態的信心。未來若要改善市場的「信任赤字」,專案方除了依賴外部「智能合約審計」與「安全公司」監控外,也必須在開發階段建立更嚴格的內控標準,降低相同類型的「安全漏洞」被一再重複利用。
留言 0