泄露的私钥可能会在 DeFi 的各个级别以及对各种赞助人——鲸鱼、开发人员和普通用户——造成严重损失。任何参与 Defi 的人都可以处理这个问题。这就是为什么组织和个人赞助人都需要了解问题的规模和可用的解决方案。
在Hackless,我们正在设计一款名为 Wallet Rescue 的产品——当加密钱包被黑客入侵并且您需要将资金安全地转移到新创建的地址时,该解决方案会派上用场。
为什么需要这个解决方案,谁可以从中受益?
在仔细观察最近发生的与加密钱包有关的黑客攻击时,我们注意到主要原因总是被泄露的私钥——平台的热钱包、管理员的密钥或个人用户的密钥。我们正在深入研究这种类型的漏洞利用,以及 Hackless 即将推出的 Wallet Rescue 如何发挥作用!首先,让我们来看看一些警示故事。
通过泄露的私钥被黑客入侵的 DeFi 项目
1.浪人网络,6.24亿美元
在加密历史上最大的黑客攻击之一 Ronin exploit 中,9 个验证器中有 5 个的密钥被泄露。这是在客户试图进行合法提款时发现的。正如该团队宣布的那样,攻击者已经获得了对交易进行身份验证所需的私钥的所有权。不良行为者设法将 173,600 ETH 和 2550 万美元的 USDC 偷到了他们的钱包里。
2.和谐桥,1亿美元
Harmony bridge 通过其multisig的私钥被盗用了 1 亿美元。该桥只需要两个验证帐户来批准交易。黑客设法破坏了私钥,并能够批准将资金转移到他们的账户。
这个 DEX 损失了 440 万美元的加密货币,成为攻击者的受害者,该攻击者设法利用智能合约漏洞允许管理员撤回整个流动资金池。攻击者甚至在没有 LP 令牌的情况下就获得了对管理池私钥的控制权并耗尽了 LP 池。该团队不确定这个私钥究竟是如何获得的,但他们假设木马程序感染了持有该密钥的虚拟机。
用户私钥暴露的 DeFi 项目
做市商 Wintermute 永久损失了 1.6 亿美元,因为他们的热钱包通过使用 Profanity 创建的虚荣地址受到损害。 Wintermute 的热钱包和 DeFi 金库合约似乎都有 Profanity 虚荣地址。热钱包的私钥很可能被利用并被用来清空金库。虽然亵渎生成地址的安全漏洞已经为社区所知了一段时间,但似乎并没有引起重视。
基于 Solana 的移动钱包 Slope 遭到黑客攻击,影响了 8,000 多个独特的钱包,并导致 600 万美元的资金损失。事实证明,用户的私钥信息被无意中传输到 Slope 应用程序监控服务,导致暴露。
鲸鱼和区块链开发者也不能幸免
虽然 DeFi 协议和项目管理员是黑客的主要受害者,但像鲸鱼这样的知名加密用户甚至区块链开发人员也是目标。为什么不呢?有时,奖励可能是一笔钱,如下文所述。
即使是比特币开发人员也可能难以保证密钥的安全。这就是早期比特币开发者 Luke Dashjr 的遭遇。由于密钥被盗,他损失了 360 万美元的 BTC。 Dashjr 在推特上说他的 PGP 密钥被泄露了,他不知道这一切是怎么发生的。
黑客控制了属于知名代币持有者的 82,519 个 GMX 代币。进一步调查确定只有一个帐户受到影响,这使得盗窃的可能原因是私钥受损。
If DeFi teams and advanced crypto investors cannot secure their assets, does the general public have any hope?
普通的 DeFi 用户总是在黑客的监视范围内
黑客通常倾向于攻击更大的钱包,但个人也是目标。让我们看看黑客发明了哪些方法和策略来破坏个人用户的钱包:
如果需要拯救加密钱包怎么办?
当 DeFi 协议或个人钱包被黑客攻击时,攻击者会密切关注它。这意味着他们会看到您可能使用钱包进行的任何活动。此外,如果他们知道自己已经被发现,他们就可以调整他们的技术,使他们的攻击更加有效。
但是,如果你有与这个钱包相关联的股份或既得硬币并且你想转移它们怎么办?然后,Hackless 的 Wallet Rescue 开始发挥作用。以前称为Conductor的 Wallet Rescue 已经证明对我们的一些客户有效, 帮助他们节省了大约 70 万美元的加密货币。
借助 Wallet Rescue,您将能够以黑客不可见的方式安全地从被黑钱包中迁移资产。这可以通过以下步骤通过私有挖矿功能来完成:
First and foremost – Hackless does not have any access to assets of the protocol's users or their private keys.
Wallet Rescue 是一款方便直观的工具,任何加密货币投资者都可以自己使用。该应用程序仅接收来自用户和协议所有者的已签名交易,然后将其发送给私人挖矿,以确保交易在一个区块内执行。但所有权是你的。
钱包救援即将推出测试版
我们的团队即将完成 Wallet Rescue Web 应用程序,该应用程序很快将可供早期 Beta 测试人员使用。你可以成为其中之一。您需要做的就是填写一份测试版用户表格,一旦我们使用该产品,我们就会与您联系。