2022年币圈安全事件盘点：各类攻击近300起，损失至少36亿美元

回顾过去的2022年，加密圈风起云涌，黑天鹅事件频发。 其中，发生近300起安全攻击事件，造成至少36亿美元的损失。 其中，仅排名前十的攻击就让攻击者获利超过 20 亿美元。 据WEEX社区消息，近日有传闻称，另一家合约交易平台的钱包私钥丢失，该平台因拖欠工资而裁员。 可见，安全就是生命线，任何时候都不能放松警惕。

以下是WEEX社区盘点2022年加密圈重大安全事件，希望通过一个个震撼的数字，让更多的用户更加关注加密资产的安全，共同构建安全健康的Web3良性发展生态。

中心化机构安全事件

1月7日，数字资产服务商StoboxCompany表示，Stobox Token的部署者地址被黑，由于ETH和BSC的部署者地址相同，所有储备金已被盗或清算。 提醒用户停止买卖，官方会将STBU快照恢复到黑客攻击前的最后一笔交易。 此次私钥泄露一度导致 Stobox 的 Token 暴跌 96.93%。

1 月 17 日，加密货币交易所 Crypto.com 被盗 3500 万美元。 一名黑客关闭了该平台的双因素身份验证 (2FA)，导致客户损失了 4,836 ETH 和 443 比特币。 最终，所有受影响的客户都得到了全额补偿。

2 月 8 日btc36合约基金，在美国南达科他州提供独立退休账户的 IRA Financial Trust 被盗 3700 万美元。 黑客以某种方式获得了“万能钥匙”并侵入了该平台。 IRA 的客户账户由 Gemini 保管，IRA 就黑客事件对 Gemini 提起诉讼，称其在保护客户资产方面存在疏忽。

6月1日，LCX交易所发推文称，平台发生安全事件，提现功能已停止。 根据派盾公布的LCX交易所和黑客地址，标有“LCX 2”的地址自6时29分（UTC+8）起陆续向“0x1654”开头的黑客地址转入ETH、LCX等数十笔资产。 大部分资产已作为 ETH 出售并通过 Tornado.Cash 转移，累计损失价值可能超过 600 万美元。

9 月 21 日，英国加密货币做市商 Wintermute 的热钱包遭到入侵，黑客从钱包中转移了价值约 1.625 亿美元的代币。

11 月 11 日至 12 日，在 FTX 破产程序启动期间，该平台发生了一系列未经授权的交易，Elliptic 称价值约 4.77 亿美元的加密货币被盗。 SBF 在 11 月 16 日的一次采访中表示，他认为这是“前雇员或某人在前雇员的计算机上安装恶意软件的地方”，并在他被公司关闭之前将肇事者缩小到 8 人。 系统。

去中心化平台安全事件

1 月 9 日，去中心化土地所有权实验 CityDAO 发布推文称，CityDAO Discord 管理员账户被黑。 攻击者从管理员被盗账户发布了虚假的土地空投消息，29.67 ETH（95,000 美元）的资金被盗。 被攻击的管理员“Lyons800”在推特上说，这次攻击是“来自 Discord。荒谬的安全漏洞”。

据 1 月 11 日消息，体育类 NFT 平台 Lympo 在一次黑客攻击中遭遇热钱包安全漏洞，损失了 1.652 亿个 LMT 代币，价值 1870 万美元。 10 个不同的项目钱包在攻击中遭到破坏，大部分被盗代币被发送到一个地址，在 Uniswap 和 Sushiswap 上兑换成 ETH，然后发送到其他地址。 在黑客移动并出售项目热钱包中的“战利品”后，LMT 价格暴跌 92% 至 0.0093 美元。

据1月18日消息，去中心化交易平台Crosswise遭到攻击，一小时内损失约87.9万美元。 黑客利用一个公开暴露的特权函数，然后使用该函数设置一个 trustedForwarder 并进一步劫持 Crosswise 的所有者特权。

1 月 27 日，币安智能链（BNB 智能链）上的 DeFi 协议 Qubit Finance 因桥接漏洞被盗价值超过 8000 万美元的 BNB。 攻击者欺骗协议的智能合约，使其相信他们已经存入了抵押品，从而允许他们铸造代表桥接 ETH 的资产。 他们多次重复这个过程，并以无后盾的桥接 ETH 为抵押借入了多种加密货币，耗尽了协议的资金。 最终，开发团队被迫解散，协议改为由 DAO 管理。

2 月 2 日，跨链协议 Wormhole 遭到黑客攻击，价值 3.21 亿美元的 120,000 Wrapped Ether (wETH) 代币被盗。 虫洞允许用户在多个区块链之间发送和接收加密货币。 攻击者在协议的智能合约中发现了一个漏洞，并能够在 Solana 上铸造 120,000 wETH，而无需存入任何抵押品。 它被兑换成 ETH 以提现。

3 月 22 日，5200 万美元从 Cashio 被盗。 黑客用“无限”作为无价值的抵押品铸造了 Cashio 的稳定币 CASH，导致 CASH 遭受重大的脱钩，暴跌至 ~0 并且此后没有恢复。

3月29日，链游项目Axie Infinity侧链浪人遭遇黑客攻击，损失6.2亿美元。 Ronin侧链由9个验证节点组成。 必须获得5个验证节点的签名才能确认存取款。 攻击发生时，5个验证节点的私钥被盗，这些私钥随后被黑客用来伪造提现。 最终，攻击者盗取了 17.36 万枚 ETH 和 2550 万美元的 USDC，总损失达 6.2 亿美元。 袭击者后来被美国执法部门确认为朝鲜政府资助的拉撒路集团。 这是以法定货币计算的有史以来最大的加密货币黑客攻击。

4 月 17 日，算法稳定币项目 Beanstalk Farms 遭受了 7600 万美元的攻击。 黑客利用“闪电贷”接管稳定币的治理协议，购买治理代币，资金在同一笔交易中不断借入和偿还。 由于 Beanstalk 耗尽了所有抵押品，最初认为该漏洞造成约 1.82 亿美元的损失，但最终，攻击者设法拿走了不到一半的资金。

4 月 30 日，Fei Protocol 被盗 8000 万美元。 贷款协议中的一个代码错误允许黑客在发放贷款的同时提取贷款的抵押品。 最终，Fei DAO 替黑客偿还了损失，稳定币 FEI 依然锚定 1 美元。

同一天，另一个名为 Rari Capital 的 DeFi 协议被利用，损失约 7930 万美元。 攻击者利用协议的 Rar Fuse 流动性池智能合约中的可重入漏洞，导致他们调用恶意合约的函数来耗尽所有加密货币池。

6 月 23 日，Horizo​​n Bridge 的 1 亿美元被盗。 区块链取证公司 Elliptic 将这次黑客攻击归咎于朝鲜网络犯罪集团 Lazarus Group。 据了解，Lazarus 以拥有登录凭证的 Harmony 员工为目标，破坏了平台的安全系统btc36合约基金，获得了 2/5 的安全密钥的访问权限，并在部署自动洗钱程序以转移其不义之财之前获得了对协议的访问权限。 Horizo​​n Bridge是连接以太坊和比特币的跨链桥，让资产在Harmony和以太坊、BNB Chain之间流动。

8 月 1 日，允许用户跨多个区块链交换加密货币的 Nomad 跨链桥中的一个漏洞被利用，价值超过 1.9 亿美元的资产被盗。 Nomad 对智能合约的升级允许攻击者欺骗交易并从 Nomad 桥中提取资金。 报告称，大约 88% 的漏洞利用地址被确定为“模仿者”。 自那以后，白帽黑客已经返还了价值 3330 万美元的资金。

8月3日，索拉纳发生大规模硬币盗窃事件，总损失约800万美元。 大量用户钱包中的代币在不知不觉中被清空。

8月14日，波卡生态项目Acala因iBTC/aUSD矿池漏洞被黑，发行超过12亿生态稳定币AUSD，导致AUSD严重脱锚，价格下跌70%。

10月7日，BNB Chain跨链桥BSC Token Hub被黑客攻击，损失约1亿美元。 最初，人们认为攻击者能够获得大约 6 亿美元，因为该漏洞允许创建大约 200 万个 BNB。 不过，币安目前已冻结区块链上超过4亿美元的数字资产，BNB区块链侧跨链桥可能还有更多资产被困。

10 月 12 日，由于攻击者操纵市场，基于 Solana 的 DeFi 平台 Mango Markets 损失超过 1 亿美元。

12月26日，多链钱包BitKeep发生大规模黑客攻击事件。 PeckShield 监测显示，价值 800 万美元的资产被盗，包括 4373 BNB、540 万美元 USDT、196000 DAI 和 1233.21 ETH。 BitKeep官方表示，部分用户使用的BitKeep APK包下载被黑客劫持，用户使用的钱包不再是官方版本； 部分黑客冻结了资金转账，同时BitKeep将上线补偿申请页面。 这起黑客事件已经立案，当地警方和网络安全技术专家组成了专案组。 BitKeep将积极配合专案组调查，全力推进被盗资金追回工作。

以上只是WEEX社区整理的2022年重大安全事件。 根据OKLink链卫士盘点，仅2022年12月就发生了15起安全事件，造成损失约8327万美元，还不包括前述的BitKeep盗窃事件：

据OKLink报告显示，2022年至少会监测到290起与区块链生态相关的安全事件。另外，据安全审计公司Beosin截至2022年12月30日的不完全统计，2022年整个区块链生态因各类攻击损失将超过36亿美元，较2021年攻击损失增长47.4%； ，攻击主要发生在DeFi领域，占比67.6%，造成损失9.47亿美元。

虽然区块链安全攻击主要发生在DeFi领域，但中心化平台的安全形势也十分严峻。 据WEEX社区不完全统计，2022年中心化平台将发生6起安全事件，损失至少7.18亿美元。

但对于安全攻击，平台和用户能做的只是加强安全，尽可能降低发生的概率，但很难彻底杜绝。 因此，一旦发生安全损失，平台能否承担责任并对用户进行赔偿也很关键。 比如上面提到的Crypto.com和Fei Protocol在遭受攻击后对用户损失进行了赔偿，BitKeep也宣布将推出赔偿申请页面。 另一个赔偿案例是合约交易平台WEEX。 虽然其用户损失并非由安全攻击造成，但平台在事发后并没有推责，主动承担了客户损失赔偿责任，也赢得了用户的信任。

2022年9月13日晚间，由于美国公布的CPI数据远超市场预期，引发市场极端行情，部分地区WEEX APP出现网络异常、短约价格异常，造成损失到一些用户的位置。 对此，WEEX团队在迅速完成数据清查后，第一时间对受损用户进行跟踪处理。 赔偿总额超过100万U，全部由WEEX投资者保护基金承担。 此前，WEEX设立了1000BTC+1000万USDT的投资者保护基金，并公示资金池热钱包地址，有效补偿用户因非用户自身原因造成的资金意外损失。

回顾历次安全事件，普通投资者永远是最被动、最受伤的群体。 在熊市中赚钱并不容易。 如果本金受损，那无疑是晴天霹雳。 因此，用户在选择交易平台时，一定要选择安全措施充分、资金实力雄厚、负责任的平台。 毕竟，保证校长安全永远是重中之重。