10月6日,多位社区用户反应使用钱包授权Web3凭证数据网络Galxe平台后,资产被盗。Galxe发布公告称网站已关闭,正在努力修复问题,请用户在此期间不要连接钱包到Galxe。随后Galxe表示发现了一起影响到官网DNS记录的安全漏洞,该漏洞通过其Dynadot帐户进行了攻击。Galxe正在处理并采取纠正措施。请暂时避免访问官网域名。
Galxe事件与此前Balancer遭前端攻击或为同一人所为Galxe宣布其已恢复域名控制权,并通过Dynadot确保了账户的安全保护。初步评估表明,受损资金总额少于20万美元。链上侦探ZachXBT在社交媒体发文表示,Galxe被盗取的资金被转移到了以下地址:0x4103baBcFA68E97b4a29fa0b3C94D66afCF6163d,看起来很可能是最近进行了Balancer前端攻击的同一攻击者所为。此前,9月20日DeFi流动性协议Balancer遭遇BGP或DNS劫持攻击,损失达23.8万美元,慢雾区情报分析认为此次为BGPHijacking攻击,访问该网站链接钱包后会遭受钓鱼攻击。上一次大规模讨论去中心化前端还是因为TornadoCash遭受制裁,前端被封禁。
但如今前端还承受着安全压力。针对前端攻击有人认为ENS可能是一个解决方案,但ENS域名解析是「中心化」的,因此用其抵御「对去中心化的攻击」并不是非常现实。尽管DeFi合约一旦部署不可篡改不可撤回,理论上来说不会受到人为干预,但目前绝大多数前端仍是通过传统架构实现,虽然网页自身也在不断在进化和发展,但域名、网络服务、服务器、存储服务等方面都存在很多潜在的威胁,同时针对前端的攻击往往容易被开发者忽视。底层语言和前端均遭攻击,黑客攻击手段日渐多样化?而早前Curve池漏洞与我们在过去几年里看到的大多数加密货币黑客事件有所不同,因为与之前的许多漏洞不同,这一次并不直接与智能合约本身的漏洞有关,而是与它所使用的语言的底层编译器有关。
由于Vyper语言在处理重入锁的方式上出现了问题,导致了这个问题的发生。所以,合约创建者可能部署了看似合理的代码,但由于编译器没有正确处理锁,使得攻击者能够利用这个有缺陷的锁进行利用,导致合约行为出现意料之外的结果。BlockBeats曾于9月1日报道,2023年以来,Web3平台在211起黑客攻击事件中损失达12.5亿美元,其中8月份由于黑客攻击造成的损失就超2300万美元。Base主网自8月9日向公众开放以来,已经有四个项目因黑客攻击造成了重大损失,与以太坊和BNBChain成为被攻击最多的链之一。此外,9月以来,多家项目方遭受热钱包攻击。
9月6日Stake.com联创EdwardCraven针对两日前的黑客攻击事件表示,此次漏洞并非由于黑客控制其私钥所致,攻击者能够从其热钱包进行几笔未经授权的交易。Craven称,这次攻击针对的是该公司用于授权以太坊、Polygon与BNBChain上交易的服务。9月14日加密货币交易平台CoinEx发布黑客攻击事件更新称,事件原因是热钱包私钥泄露,调查处理工作正在有序进行,CoinEx冷钱包中的资产并未受到此事件的影响。9月25日CyversAlerts表示,其已确认HTX一个热钱包遭受攻击,导致了790万美元的损失。和以往相比,前段时间的黑客事件数量越来越少,这与市场的繁荣程度脱不开关系。DeFisummer和NFTsummer时期,每周都有新的十亿美元协议推出,相比之下如今的市场十分萎缩。与此同时的,黑客们找到漏洞利用或者制造大笔的攻击事件的市场机会也在逐渐萎缩,这意味着黑客需要更新的、未开发的切入口来探索。