上周22日,幣安交易所創辦人兼執行長CZ發推文表示,Axie Infinity 被盜資金中,部分流向了幣安的86個帳戶中,幣安發現後立即阻止相關帳戶交易權限,現已追回約580萬美元;CZ在推文最後表示這類阻止駭客出金事件,過去也為其他項目執行過很多次。文中標註了SAFU保險基金,意味著580萬美元正扣留於SAFU保險金。
Axie Infinity是一款邊玩邊賺(Play-to-Earn)遊戲,該遊戲在今年三月時被證實所使用的區塊鏈技術服務Ronin 遭駭客鑽漏洞,竊取了超過17萬枚以太幣(ETH)和2550萬枚USDC (美金穩定幣),總價值約6億美元,為史上最大的加密幣盜竊案之一。
駭客事件發生後Axie Infinity的開發商Sky Mavis立刻提高了全網提領加密幣的難度,讓駭客難以將盜竊的加密幣領出,雖然一併影響到一般玩家提領加密幣的權益,但至少暫時讓開發商有時間調查駭客金流。
隨著Sky Mavis與美國FBI、Chainalysis區塊鏈分析公司合作,被盜金額在公開透明的區塊鏈錢包上被特別強調,也因此當駭客錢包將加密幣流向幣安時,幣安能即時偵測,並將相關帳戶即時上鎖。值得一提的是,若駭客將竊盜金額場外交易,那麼資金便無法追蹤。
這次盜竊的幕後集團,是來自北韓赫赫有名的駭客組織Lazarus。據去年微軟發布的全球網路攻擊報告指出,網路攻擊數量依序來自俄羅斯、北韓、伊朗、中國。北韓養駭客早已不是新聞,自從2017年比特幣從1千大漲至2萬美元後,北韓就開始大量攻擊各國加密幣交易所,短短兩年竊盜超過3億美元,受害者名單包括:Bithumb, Upbit, KuCoin等交易所,更有不少知名交易所因駭客攻擊而倒閉。
2020年北韓開始將攻擊目標轉移至加密幣技術公司、遊戲公司以及擁有NFT的持有者,以Lazarus常用的犯罪手法為例,他們往往會在通訊平台上假借高薪招聘為由,誘導使用者下載惡意程式;又或架設偽加密幣交易網站,並為其大量購買廣告散播,誘導使用者透過網站下載惡意程式,目的都是盜取使用者電腦、手機內的所有隱私與加密幣私鑰(帳號、密碼)。使用者一但下載了惡意程式,或許當下不會有任何異樣,不過遭駭的設備如開了後門一般,所有活動都會一五一十的回傳給駭客,直到駭客對設備開始下指令,將其資產全數盜走。
過去的盜竊手法通常是半騙半駭,2020年Defi金融遊戲走進市場後,駭客對區塊鏈技術的攻擊大幅上升,Axie Infinity的犯罪手法就是代表性案例。據SlowMist資安觀測平台不完全統計,2021年公開的區塊鏈安全事件共231起,損失超過98億美元;知名遭駭案包括:BSV公鏈、ETC主網分叉、Solana攻擊、Avalanche被盜、Liquid熱錢包、Ledger硬錢包等攻擊事件,以上列舉的攻擊事件都是主流公鏈、主流加密幣。提醒投資人,並非使用主流的區塊鏈產品就不會有資安風險,不過可以推理越複雜的區塊鏈機制(DAO),衍伸的資安漏洞越多。
當然,不是所有被駭的項目就永遠無法翻身,Polkadot在駭客事件發生後,便盡力收拾殘局讓其加密幣價格站穩;反之有更多案例是一蹶不振的,本專欄先前提過的BUNNY加密幣,就是在被駭客攻擊後歸零的案件。
凡參與在DeFi遊戲中,身為玩家的我們都無法把握自己使用的平台或區塊鏈技術是否具備萬無一失的資安風控,但最起碼我們可以增強自己對資安的意識。
提醒加密幣玩家,千萬不要點擊來路不明的連結,也不要掃描不明QR CCode,所有資訊都需經過查核,避免自己成為下一個資安威脅的犧牲者。
作者介紹|李可人
比特幣長期持有者(Hodl)。2017年加入幣圈,為新北礦場聯合創始人;同年加入萬寶週刊擔任加密幣專欄作家;2018年加入知名區塊鏈新創科技公司擔任行銷、公關職務至今;2020年與全球最大加密幣交易所幣安(Binance)合作,舉辦比特幣定期研討會。 (相關報導: 烏俄戰爭催生「德法團結」,如今卻出現裂痕?《外交政策》:馬克宏連任、德國對俄態度曖昧是主因 | 更多文章 )
責任編輯/林彥呈
