点击蓝字
关注我们
区块链技术发展速度之快,催生了万亿市值的加密世界,近年来安全问题也日益严重。据CertiK年度报告显示,2024年链上安全事件造成损失达68亿美元,其中私钥泄露导致的资产损失占47%。
钓鱼攻击、恶意合约、私钥管理失当构成三大核心威胁,而私钥作为数字资产的 "唯一钥匙",泄露意味着资产的永久消失。
近期安全事件回顾:
1. Infini漏洞:4900万美元瞬间蒸发
2025年2月24日,中心化金融(DeFi)协议Infini遭遇黑客攻击,被盗金额高达4900万美元。攻击者利用合约权限管理的疏忽,成功获取了全部资金的转移权限,并迅速完成了资产提取。
1、0x3ac96134Fb0e42a52D33045AeE50b89790f05Ed0向0xc49b5e5B9DA66B9126c1a62e9761E6b2147DE3E1(私钥泄露)先转入ETH作为手续费
2、授权0xc49b5e5B9DA66B9126c1a62e9761E6b2147DE3E1提现权限,随后将5000万USDC资金转走
3、这些操作在同一个区块高度打包操作
1、USDC兑换成DAI
将被盗资金通过sky.money平台将USDC兑换成等量的DAI
2 将DAI兑换成ETH
将DAI通过各种平台兑换成ETH,转移到地址
0xfcc8ad911976d752890f2140d9f4edd2c64a6e49
该地址暂时无转出交易,余额17696ETH
此事件的核心问题在于权限管理漏洞:一致性的访问控制未进行合理配置,导致攻击者能够调用关键函数,绕过安全限制,提取所有资金。
链上整体链路图
Infini创始人在事件后紧急反应,表示将通过OTC方式弥补部分用户的资金缺口,并采取法律手段追讨损失。
2.Mask Network创始人钱包被盗,损失400万美元
△ Suji Yan 就被盗时情景分析被盗原因
2025年2月27日,Mask Network创始人Suji Yan在社交媒体上承认,其个人钱包发起攻击攻击,损失金额超过400万美元。初步分析认为,攻击者可能在Suji Yan手机无人看管时窃取了私钥,或通过某种离线手段攻击获取了访问权限。
币种 |
数量/个 |
ETH |
113 |
WETH |
923 |
ezETH |
156 |
weETH |
156 |
pufET |
90 |
MASK |
4.84万 |
USDT |
5万 |
swETH |
15 |
通过浏览器查看,所有被盗交易都是手动转账,且持续11分钟以上
1、用户地址
0x934B510D4C9103E6a87AEf13b816fb080286D649
将资金直接转账到地址
0x7e8dA2dC33416E5F73008366CD5027f22be17Df7
2、然后将各种币种兑换成ETH
3、将兑换的ETH转入6个不同地址中,暂时没动
链上整体链路图
由于私钥一旦泄露,攻击者直接转移资金,该事件发生后,受害人几乎没有挽回资产的可能。即使是行业资深人士,也可能在安全防御上存在疏忽,给黑客可乘之机。
3. 粉丝求助:私钥保管不善,2万美元不翼而飞
近日,我们收到一位粉丝的求助:他的加密资产突然消失,怀疑遭受了黑客攻击。
于是我们立即进行了链上追踪分析,发现该地址没有任何异常交易。而分析师推断,该用户的资产被盗并非是由于智能合约漏洞或外部攻击,而是他自己在管理私钥时出现了安全隐患。
我们将链上追踪到的情况如实反馈给他,进一步沟通后发现,他曾将私钥存储在手机中,并且有过截图保存的行为。这些方式极易导致私钥泄露,而一旦黑客扫描设备或通过恶意软件窃取信息,资产就会不翼而飞。
如果你担心自己的钱包安全
可以联系我们进行免费检测
👇👇👇
添加小助手微信号
手机保存:很多用户习惯将私钥或助记词存放在手机或记事本中,一旦手机被黑客攻破或丢失,私钥可能被直接读取。
截图保存:部分用户选择将私钥截图存档,但智能手机的相册通常与云端同步,很容易被黑客或内部人员窃取。
邮件或云存储:将私钥存储在Gmail、iCloud、百度网盘等云服务中,虽然方便,但如果账号被盗,黑客可以轻松获取私钥。
不安全的浏览器插件或钱包应用:恶意浏览器插件或篡改版本钱包可能窃取私钥,并自动上传给黑客。
公共Wi-Fi:在机场、咖啡厅等公共Wi-Fi网络下使用钱包,可能被中间人攻击,导致私钥泄露。
社交工程学欺骗:黑客伪装成官方客服、团队成员,要求用户提供私钥以“帮助处理问题”。
旧设备或二手设备:在旧手机或二手电脑上导入钱包,可能导致私钥在未清理的数据中被读取。
硬件钱包存储:使用Ledger、Trezor等硬件钱包存储私钥,确保密钥不会接触物联网设备。
备份物理:将助记词或私钥手写在纸上,并放在安全的地方,如保险箱。
避免数字存储:不要将私钥存储在手机、电脑、云端或邮件中,减少被黑客窃取的风险。
使用私密签名:解锁私密签名钱包,即使私密密钥泄露,黑客也无法单独完成交易。
定期检查授权:使用 DeFi 应用后,定期检查并避免不必要的智能合约授权,降低风险。
通知钓鱼攻击:不点击陌生人链接,不向任何人确认私钥,不下载来路不明的钱包应用。
写在最后:
如果说区块链技术是中心化金融的基石,那么私钥管理就是个人资产安全的生命线。在web3世界里,私钥就是一切。而安全,则是一场没有终点的赛跑。一旦发生资产被盗情况,用户靠自身找回的可能性微乎其微。
面对日益复杂的攻击手段,专业的链上追踪与资产拦截至关重要。链析作为数据安全公司,可以为大家提供专业的区块链安全分析和咨询服务,帮助进行链上追踪、风险评估,并制定最佳安全方案。
如果您在Web3世界中遇到安全问题,欢迎联系我们,我们将尽最大可能帮您。
我们提供以下专业服务:
钱包安全体检:检测你的钱包是否存在授权风险。
加密资产追踪:已经被盗,可提供链上分析报告,帮你追踪资产流向。
防骗法律咨询:遭遇诈骗,可联系我们获得专业建议。
☟ 我们专注于为用户提供 ☟
资产找回
钱包多签/授权查询
零口供技术支持
链上链下溯源分析
智能合约漏洞救援
法律援助
专业律师答疑
应急响应服务
威胁情报和解决方案
✍如有需要,随时联系我们!
专注加密资产生命周期安全管理领域
提供专业数据安全分析与区块链技术
为个人及企业用户提供专业、合规的
加密资产异常追踪与智能找回服务
如果你想了解更多区块链知识
↓ 可以点击下方关注我们 ↓
链析是一家区块链技术安全公司
专注于为用户提供安全咨询及服务
资产找回/零口供技术支持
链上链下溯源分析/智能合约漏洞救援
法律援助/专业律师答疑
应急响应服务/威胁情报和解决方案
【往期精彩回顾】▼▼:
