加密领域的黑客风暴：巨额资金失窃与北韩攻击手段升级

　　据 PeckShield 监测统计，2024 年 8 月，加密领域发生了 10 多起黑客攻击，造成约 3.1386 亿美元的损失。最大的两次黑客攻击都涉及未经授权的转账（网络钓鱼），占被盗资金总额的 93.5%，总计 2.934 亿美元。

　　8 月前五大黑客事件：

　　网络钓鱼：2.38 亿美元（BTC）；

　　网络钓鱼：5540 万美元（DAI）；

　　Ronin：1200 万美元（已追回）；

　　未经授权转账：510 万美元；

　　Nexera：183 万美元。

　　数据显示，今年以来，加密领域平均每月被盗取的资金超过2亿美元。

9月首例大额黑客事件：Penpie 遭遇攻击

　　据Beosin Alert监测，建立在Pendle上的DeFi协议Penpie遭到黑客攻击，被盗取约2700万美元的加密资产。根据Beosin的分析，攻击者通过市场合约中的 claimRewards 函数进行了重入攻击，以增加质押合约的余额，随后提取了多余的质押资产。

　　攻击过程简析：

　　1. 攻击者首先创建了攻击合约，并通过官方 factory 构建了对应的市场合约；

　　2. 通过调用 batchHarvestMarketRewards 函数更新市场奖励；

　　3. 在奖励更新过程中，claimRewards 函数被回调，攻击者利用闪电贷获得的资产进行质押，从而制造质押合约中的资产差额并提取多余资产；

　　4. 最终，攻击者提取质押资产并归还闪电贷，从中获利。

　　此次攻击中，被盗资产主要是ETH的衍生品（如wstETH、agETH、rswETH等）。截至目前，黑客已将大部分被盗资产兑换为11,109 ETH（约2695万美元），其中1000 ETH（约242万美元）已通过Tornado（龙卷风协议）洗钱转移。

　　此外，黑客最初使用的资金同样来自Tornado，因此目前无法查明资金来源。除了已通过Tornado转移的1000 ETH，剩余资产分布如下：

　　0x7a2f4d625fb21f5e51562ce8dc2e722e12a61d1b (持有价值85万美元的YT资产)

　　0x2f2dDE668e5426463E05D795f5297dB334f61C39 (持有10,113 ETH)

　　Penpie 项目方通过链上向黑客留言，希望与黑客进行沟通返还被盗资金，如果资金被归还将不会追究法律责任，并附上了联系方式。不过目前无消息进展。

　　距发现第一个攻击合约约7个小时之后，Pendle 成功将漏洞进行了修复。Pendl表示：“应对安全漏洞，我们迅速暂停了我们的合约，有效地保护了大约 1.05 亿美元。”Pendle 合约现已恢复正常运营。

FBI揭露北韩通过社交工程对加密DeFi的隐秘攻击

　　2024年9月3日，FBI发布警告称，北韩黑客日益频繁地针对加密货币行业，尤其是去中心化金融（DeFi）公司。此类攻击利用了先进的社交工程技术，例如通过社交媒体和求职平台进行深入调查，设计出可信的工作机会和投资提议作为诱饵。黑客通过长期建立信任，最终发送恶意软件窃取加密资产。

　　FBI确认，这些黑客会伪造GitHub账户及国家身份，打造高度个性化的虚假身份，从而在加密公司内获取职位。一旦入职，他们会部署恶意软件以攻击公司的加密资产。FBI建议加密公司在身份验证时保持高度警惕，记录潜在攻击者的互动，并向执法部门报告任何可疑活动。随着北韩战术的不断演变，加密行业的从业人员和企业在社交媒体上的信息分享需格外谨慎。

　　通过对加密领域黑客事件和攻击手段的总结可以看出，区块链和加密领域的安全问题依然是当前行业的首要挑战。