攻擊者在多簽錢包創建後數分鐘內接管,慢慢抽走高達4000萬美元的資金
根據法醫分析,一名攻擊者在44天前創建的某個鯨魚多簽錢包後,僅幾分鐘內便接管了該錢包,並自此開始慢慢抽走資金。
區塊鏈安全公司PeckShield在周四的一篇帖子中報導,這個鯨魚的多簽錢包因私鑰被洩露而損失約2730萬美元。PeckShield指出,攻擊者已通過Tornado Cash洗錢約1260萬美元,或4100個以太坊(ETH),並保留了約200萬美元的流動資產,同時還在Aave上控制了一個槓桿長倉。
然而,Hacken Extractor的法醫負責人Yehor Rudytsia的新發現顯示,總損失可能超過4000萬美元,且事件可能早在更早之前就已開始,最早的盜竊跡象可追溯至11月4日。
Rudytsia告訴Cointelegraph,標記為“被攻擊”的多簽錢包可能從未真正由受害者控制。鏈上數據顯示,該多簽錢包是受害者於11月4日早上7:46(UTC)創建的,但六分鐘後便轉移給了攻擊者。Rudytsia表示:“很可能是盜竊者創建了這個多簽錢包並將資金轉入,然後迅速將所有權轉移給自己。”
攻擊者耐心地進行資金洗錢
一旦控制了錢包,攻擊者似乎採取了耐心的策略。他們在幾週內分批進行Tornado Cash的存款,從11月4日的1000 ETH開始,並在12月中旬以較小的、錯開的交易持續進行。根據Rudytsia的說法,仍有約2500萬美元的資產在攻擊者控制的多簽錢包中。
他還對錢包的結構表示擔憂。該多簽錢包被配置為“1-of-1”,這意味著只需一個簽名便可批准交易,“這在概念上並不符合多簽的定義,”Rudytsia補充道。
Hacken的去中心化應用(DApp)審計師Abdelfattah Ibrahim表示,仍然存在多種攻擊向量,包括簽名者設備上的惡意軟件或信息竊取者、釣魚攻擊以欺騙用戶批准惡意交易,或不良的操作安全實踐,例如以明文存儲密鑰或在多個簽名者使用同一台設備。
“防止這種情況發生的辦法是將簽名設備隔離為冷設備,並在用戶界面之外驗證交易,”Ibrahim說。
AI模型能夠進行智能合約攻擊
正如Cointelegraph報導的,Anthropic和機器學習對齊與理論學者(MATS)小組最近的研究發現,當前的領先AI模型已經能夠開發出真實的、盈利的智能合約攻擊。
在受控測試中,Anthropic的Claude Opus 4.5、Claude Sonnet 4.5和OpenAI的GPT-5共同生成了價值460萬美元的攻擊,顯示出使用商業可用模型進行自主攻擊在技術上是可行的。
在進一步測試中,Sonnet 4.5和GPT-5針對近2850個最近推出的無已知漏洞的智能合約進行了測試。這些模型發現了兩個先前未知的零日漏洞,並生成了價值3694美元的攻擊,略高於生成它們所需的3476美元API成本。
這一事件不僅揭示了加密貨幣世界的安全漏洞,也反映出攻擊者在技術上的創新與耐心。隨著加密市場的持續擴張,這類事件將成為未來監管和安全措施的重要焦點。如何在不斷變化的環境中保護資金安全,將是每位投資者和開發者必須面對的挑戰。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
🎨 Nano Banana Pro 圖像生成器|打幾句說話就出圖
想畫人像、產品圖、插畫?SSFuture 圖像生成器支援 Flux 同 Gemini Nano Banana Pro 改圖 / 合成, 打廣東話都得,仲可以沿用上一張圖繼續微調。
