二月份给加密安全形势带来了意想不到的缓解
不得不说,二月份的数字确实令人惊讶。经过多年带着恐惧感观看每月的黑客报告后,看到损失下降了 90% 以上,感觉好得令人难以置信。根据 CertiK 的数据,上个月整个加密生态系统因漏洞利用仅损失了 3570 万美元。这是自 2025 年 3 月以来的最低数字,老实说,就加密货币而言,这感觉就像是上辈子的事了。
但事情是这样的——虽然总数急剧下降,但并不是一切都突然变得安全了。平静的一个月可能只是暂时的喘息,而不是某种根本性的转变。相比之下,一月份的损失令人震惊,我们都知道这个领域的波动性有多大。一次大规模的攻击可能会彻底改变下个月的情况。
总体下降但重大事件仍时有发生
最大的单一事件发生在 2 月 22 日的 Stellar 网络上。一名黑客瞄准了 YieldBlox Blend 池,通过安全公司 Quill Audits 所称的“经典的稀流动性预言机操纵攻击”窃取了超过 1000 万美元。该方法实际上非常简单,非常聪明——攻击者在流动性不足的市场中执行了一笔异常交易,人为地将代币的价格抬高了 100 倍。这欺骗了协议的估值系统,允许大规模的抵押不足的借款。
就在一天前,IoTeX 区块链项目因私钥被泄露而遭受破坏。这里的数字存在一些差异——CertiK 估计损失接近 900 万美元,而 IoTeX 团队声称损失接近 200 万美元。攻击者使用受损的密钥访问代币保险箱,将所有内容交换为 ETH,然后使用跨链桥将资金转移到比特币。
另一个值得注意的事件涉及 Foom.Cash,这是一个损失 220 万美元的隐私协议。据报道,在这种情况下,黑客利用了加密缺陷来伪造 zkSNARK 证明。这些虚假的数字凭证欺骗了协议,允许大量代币提取。
网络钓鱼仍然是一个持续存在的威胁
真正让我担心的是,网络钓鱼攻击造成了 2 月份总损失的 850 万美元。这几乎是所有损失的四分之一,都来自于书中最古老的伎俩。网络钓鱼行业变得越来越专业化,Angel Drainer 和 Inferno Drainer 等服务作为“排水器即服务”提供商运营。
这些平台为诈骗者提供了他们所需的一切——克隆网站、虚假社交媒体账户、自动化智能合约脚本——所有这些都是为了获取一定比例的被盗资金。它的效率高得令人不安,并且只需要实际欺诈者极少的技术专业知识。我认为这代表了加密货币犯罪运作方式的转变,从复杂的技术利用转向更容易获得、可扩展的社会工程攻击。
大局中背景很重要
查看同比比较可以提供重要的背景信息。去年 2 月,Bybit 交易所发生了价值 15 亿美元的历史性漏洞,这完全扭曲了年度安全指标。因此,虽然今年二月相比之下显得平静,但值得记住的是,一场重大事件可能会极大地改变整个格局。
至少在我看来,更广泛的问题是,这是否代表安全实践的实际改进,还是只是暂时的平静。与我交谈过的安全研究人员似乎持谨慎乐观态度,但对于宣布胜利犹豫不决。协议的审核能力越来越强,用户对网络钓鱼策略的认识也越来越强,整个行业在安全基础设施方面的投资也越来越多。
尽管如此,网络钓鱼攻击的持续存在以及 Stellar 事件等相对简单的操纵计划的成功表明,仍有大量工作要做。也许最令人鼓舞的收获是,即使发生了这些事件,总体损失也得到了控制。这可能表明安全措施比以前更有效,即使它们还不完美。
关键词:
