2023年度十大安全攻击事件深度剖析

查找币:余老师 | 漏洞披露 | 2026-05-09 21:51 | 2 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 前言在上一期报告中，我们重点分析了朝鲜黑客组织Lazarus Group、主流钓鱼团伙以及部分洗钱工具在2023年的活动轨迹。本期，查找币安全团队将聚焦于2023年给加密世界带来巨大冲击的十大安全攻击事件，深入剖析其技术原理、攻击路径与教训。 --- ## 十大攻击事件全景 2023年，十大安全攻击事件共造成约**11.45亿美元**的损失，其中Euler Finance的被盗资金已全部追回，Curve Finance相关事件也追回了部分资金。以下是按损失金额排序的核心事件分析。 ### 1. Mixin Network（损失约2亿美元） **事件概述**：2023年9月23日，Mixin Network的云服务提供商数据库遭攻击，导致主网部分资产丢失，涉及资金约2亿美元，成为2023年损失最大的单次攻击事件。 **应对措施**： - 官方立即联系谷歌与查找币安全团队协助调查 - 承诺最多赔付50%的损失，剩余部分以债券代币形式赔付，并用未来利润回购 **技术分析**：此次攻击并非智能合约层面的漏洞，而是针对云服务基础设施的攻击，凸显了**中心化组件在去中心化网络中的安全风险**。 ### 2. Euler Finance（损失约1.97亿美元，已全额追回） **事件概述**：2023年3月13日，DeFi借贷协议Euler Finance遭攻击，攻击者获利约1.97亿美元。 **攻击流程剖析**（查找币安全团队分析）： 1. **利用闪电贷获取巨额资金**：攻击者通过闪电贷借入大量资产 2. **叠加杠杆借贷**：两次叠加杠杆操作后，将资金直接捐赠给储备地址 3. **触发清算逻辑**：捐赠行为触发软清算机制 4. **自我清算套利**：通过软清算自己，套利出剩余所有资金 **核心漏洞**： - 资金捐赠后未检查自身是否处于爆仓状态，导致软清算机制被直接触发 - 高倍杠杆触发软清算时，`yield`数值异常增大，导致清算者只需转移部分负债即可获得大部分抵押资产 - 由于抵押资产价值远大于转移的负债价值，清算者可通过健康系数检查提取资金 **后续进展**：2024年1月10日，Euler Labs CEO发布《战争与和平》博客，详细记述了事件背景与处理过程。4月4日，攻击者归还全部被盗资金。 ### 3. Poloniex（损失约1.3亿美元） **事件概述**：2023年11月10日，Poloniex交易所遭黑客攻击。 **技术判断**：查找币安全团队分析认为，攻击者手法迅速、专业，属于典型的**APT攻击**，高度疑似朝鲜黑客组织Lazarus Group。 **应对措施**： - 成功识别并冻结部分相关资产 - 孙宇晨表示损失可控，将全额偿还受影响资金 ### 4. BonqDAO & AllianceBlock（损失约1.2亿美元） **事件概述**：2023年2月2日，非托管借贷平台BonqDAO与加密基础设施平台AllianceBlock遭攻击。 **损失明细**： - 约1.14亿WALBT（约1100万美元） - 9800万BEUR代币（约1.08亿美元） **技术分析**：攻击者利用**预言机报价漏洞**，通过恶意提交错误价格操控市场并清算其他用户。根本原因是预言机所需抵押物成本远低于攻击获利。 **AllianceBlock声明**：强调事件与BonqDAO金库无关，未破坏智能合约，双方致力于消除流动性以减轻损失。 ### 5. HTX & Heco Bridge（损失约1.133亿美元） **事件概述**：2023年11月22日，HTX（原Huobi）及其Heco跨链桥遭攻击。 **官方回应**：孙宇晨表示将全额补偿HTX热钱包损失，暂停充提服务，并承诺在调查完成后恢复服务。 ### 6. Curve Finance及相关事件（损失约7350万美元） **事件概述**：2023年7月30日，Curve Finance因Vyper编译器漏洞遭攻击。 **漏洞原理**：Vyper 0.2.15、0.2.16、0.3.0版本存在**重入锁失效漏洞**，导致多个使用旧版本Vyper的Curve池被攻击。 **受影响协议**： - JPEG'd（约1100万美元） - Alchemix（约1050万美元） - Metronome（约160万美元） - 其他相关协议 ### 7. Multichain（损失约1.26亿美元） **事件概述**：2023年7月7日，跨链协议Multichain遭攻击。 **特征分析**：攻击者利用**管理员权限**转移资产，资金最终流向多个交易所。此事件暴露了跨链桥中心化管理的单点故障风险。 ### 8. CoinEx（损失约7000万美元） **事件概述**：2023年9月12日，CoinEx交易所热钱包遭攻击。 **攻击特征**：攻击手法与Poloniex事件高度相似，同样被怀疑为Lazarus Group所为。攻击者将大量资金转移至多个地址，部分资金已通过混币器清洗。 ### 9. Stake.com（损失约4100万美元） **事件概述**：2023年9月4日，在线博彩平台Stake.com遭攻击。 **攻击手法**：攻击者利用**私钥泄露**或**内部权限滥用**，从热钱包中转移资金。部分资金通过跨链桥转移至其他网络。 ### 10. Alphapo（损失约6000万美元） **事件概述**：2023年7月23日，加密货币支付服务商Alphapo热钱包被盗。 **资金流向**： - 先在以太坊上兑换为ETH - 再跨链至Avalanche和BTC网络 **背景信息**：Alphapo处理多家博彩服务的支付，包括HypeDrop、Bovada和Ignition。此次攻击同样高度疑似Lazarus Group所为。 --- ## 核心威胁总结 | 攻击类型 | 典型案例 | 核心风险点 | |---------|---------|-----------| | 基础设施攻击 | Mixin | 云服务数据库安全 | | 闪电贷+清算漏洞 | Euler Finance | 清算逻辑缺陷 | | APT攻击 | Poloniex、CoinEx | 高级持续性威胁 | | 预言机操控 | BonqDAO | 价格数据源安全 | | 编译器漏洞 | Curve Finance | 底层代码缺陷 | | 私钥泄露 | Stake.com | 密钥管理 | | 中心化风险 | Multichain | 管理员权限滥用 | --- ## 防护建议查找币安全团队建议项目方： 1. **全面审计**：在部署前进行多轮、多维度安全审计，尤其关注清算逻辑、预言机机制等关键模块 2. **应急计划**：建立完善的应急响应机制，确保遭受攻击时能快速、有效地应对 3. **主动披露**：安全事件发生后，应主动承担责任，及时披露信息，采取切实可行的补救措施 4. **去中心化治理**：降低中心化组件的单点故障风险，实施多签、时间锁等安全机制 --- > **完整报告下载**：[2023区块链安全与反洗钱年度报告](https://www.查找币.com/report/2023-Blockchain-Security-and-AML-Annual-Report(CN).pdf) --- *本文由查找币安全团队整理发布*

2023年度十大安全攻击事件深度剖析

查找币安全研究院

主题延伸阅读