熱門話題
查看更多7.16萬 熱度
4.55萬 熱度
3.74萬 熱度
1.42萬 熱度
2.96萬 熱度
置頂
馬年大吉,抽獎行大運!成長值新年抽獎第 1️⃣6️⃣ 期盛大來襲!
抓住新年的好運,立即參與👉 https://www.gate.com/activities/pointprize?now_period=16
🌟 如何參與?
1️⃣ 在廣場發帖、評論、點贊,完成任務賺取成長值
2️⃣ 每積攢 300 積分,即可參與超值抽獎!
🎁 新年好運等你拿!獎品包括 iPhone 17、新年周邊、代幣等心動大禮!
活動時間:1 月 21 日 16:00 -- 1 月 31 日 24:00 (UTC+8)
活動詳情: https://www.gate.com/announcements/article/49388
#BTC #ETH #GTGate 廣場創作者新春激勵正式開啟,發帖解鎖 $60,000 豪華獎池
如何參與:
報名活動表單:https://www.gate.com/questionnaire/7315
使用廣場任意發帖小工具,搭配文字發布內容即可
豐厚獎勵一覽:
發帖即可可瓜分 $25,000 獎池
10 位幸運用戶:獲得 1 GT + Gate 鸭舌帽
Top 發帖獎勵:發帖與互動越多,排名越高,贏取 Gate 新年周邊、Gate 雙肩包等好禮
新手專屬福利:首帖即得 $50 獎勵,繼續發帖还能瓜分 $10,000 新手獎池
活動時間:2026 年 1 月 8 日 16:00 – 1 月 26 日 24:00(UTC+8)
詳情:https://www.gate.com/announcements/article/49112每天看行情、刷大佬观点,却不发声?你的观点可能比你想的更有价值!
廣場新人 & 回歸福利進行中!首次發帖或久違回歸,直接送你獎勵!
每月 $20,000 獎金等你瓜分!
在廣場帶 #我在广场发首帖 發布首帖或回歸帖即可領取 $50 倉位體驗券
月度發帖王和互動王還將各獲額外 50U 獎勵
你的加密觀點可能啟發無數人,開始創作之旅吧!
👉️ https://www.gate.com/postGate 广場「創作者認證激勵計畫」優質創作者持續招募中!
立即加入,發布優質內容,參與活動即可瓜分月度 $10,000+ 創作獎勵!
認證申請步驟:
1️⃣ 打開 App 首頁底部【廣場】 → 點擊右上角頭像進入個人首頁
2️⃣ 點擊頭像右下角【申請認證】,提交申請等待審核
立即報名:https://www.gate.com/questionnaire/7159
豪華代幣獎池、Gate 精美周邊、流量曝光等超過 $10,000 的豐厚獎勵等你拿!
活動詳情:https://www.gate.com/announcements/article/47889
全面安全挖掘:年底118萬美元事件中的核心攻擊方法
年底2024的安全事件留下令人警惕的痕跡:僅在12月,透過加密貨幣攻擊方式損失的資金就高達1.18億美元。這個數字已超出許多專家的預期,反映出全球區塊鏈生態系統攻擊策略日益複雜。CertiK的報告顯示,釣魚攻擊仍是主要工具,造成93.4百萬美元的損失——佔總損失的79%,而其他技術漏洞則持續產生用戶尚未察覺的安全漏洞。
漏洞是什麼?為何成為攻擊者的首選目標
要更深入了解12月的事件,必須理解「漏洞是什麼」——即源碼、保安機制或驗證流程中的弱點,攻擊者可以利用這些弱點。這些漏洞存在於多個層面:從應用軟體(如錢包應用)、區塊鏈基礎設施,到用戶資料保護政策。
在12月的事件中,攻擊者主要通過三種方式利用漏洞。第一,利用社會工程漏洞——建立假冒網站、非官方空投通知和模擬官方支援渠道,誘使用戶透露種子短語或私鑰。第二,利用智能合約中的漏洞——程式錯誤進行非法提款或操控價格。第三,攻擊協議的資料管理流程薄弱,例如在治理投票流程中洩露驗證密鑰。
詳細分析:三大攻擊事件與手法
Trust Wallet:擴展模型中的漏洞
Trust Wallet損失850萬美元,原因是用戶被騙安裝了假冒的瀏覽器擴展。此攻擊利用擴展驗證流程中的漏洞,使惡意版本能偽裝成官方版本。攻擊者透過社群媒體推廣連結,然後假冒的擴展在用戶輸入時收集種子短語。
Flow:治理流程中的漏洞
Flow區塊鏈損失390萬美元,因治理機制中的漏洞。具體來說,部分驗證節點的私鑰在投票過程中被洩露,使攻擊者能冒充合法節點,批准非法交易。此事件顯示大型協議並非所有基本管理操作都具備完整的安全流程。
Unleash Protocol:閃電貸攻擊與價格操控
Unleash Protocol遭受複合攻擊,損失390萬美元。攻擊者利用閃電貸((flash loan))快速借入大量代幣,無需抵押,操控去中心化交易所的價格,然後利用定價邏輯漏洞提取超過原始資金的金額。這是新興DeFi協議中常見的漏洞——依賴市場價格,缺乏獨立驗證機制。
釣魚攻擊佔比最大:1.34億美元透過社會工程失去
在總損失1.18億美元中,93.4百萬美元(79%)來自釣魚攻擊——這反映出令人擔憂的趨勢。攻擊者不需複雜技術漏洞,只需利用人性弱點。
12月的釣魚攻擊展現多種高端特徵:
跨鏈攻擊:不僅針對單一區塊鏈,而是同時在Ethereum、BNB Chain和Polygon上展開,讓不主動核查網路的用戶更易受騙。
自動提款腳本:成功入侵後,啟動自動程序,提取所有資產——不僅是代幣,還包括NFT、質押獎勵和其他資產。
針對特定社群:不再廣泛發送電子郵件,而是利用公開資料,從Discord或Telegram渠道發布假空投通知,假裝官方。
與過去比較:令人警惕的上升趨勢
從2024年最後三個月的數據來看,情況愈發嚴峻:
數據顯示兩個趨勢同步:總損失較11月增加37%(86百萬美元),較10月增加64%(72百萬美元),同時釣魚在總損失中的比例持續攀升。這代表攻擊不僅數量增加,也更集中於高效手段——社會工程。
重大事件數量也由10月的4起增加到12月的7起,但每起平均損失略有下降(由18百萬降至約17百萬)。這顯示攻擊範圍擴大——不僅針對大型協議,也包括較小的項目。
行業反應:從技術措施到教育宣導
CertiK及其他安全公司提出具體建議:
協議層面:
用戶層面:
去中心化交易所已升級警示界面,保險協議擴展保護範圍,安全團隊建立快速漏洞通報流程。然而,這些努力仍只是「治療」,非「預防」——因為區塊鏈的開放與無控制特性,漏洞將永存。
2025展望:未來的挑戰
迎接新的一年,行業面臨預期的挑戰:
AI釣魚:利用大型語言模型的釣魚攻擊將更具說服力,電子郵件和訊息將更具個人化。
跨鏈互動:隨著區塊鏈聯繫更緊密,攻擊面擴大——一個鏈上的漏洞可能傳播到其他鏈。
量子計算威脅:現有密碼標準可能在未來數年被量子電腦破解。
另一方面,形式驗證工具(formal verification)日益成熟,去中心化安全網絡(如分散的漏洞賞金團隊)也帶來希望。安全與攻擊的競賽將持續,但雙方都在利用新工具。
常見問題
釣魚攻擊在12月損失中佔比多少?
佔79%,約為9340萬美元,佔總118百萬美元的比例,根據CertiK報告。
哪些項目損失最大?
Trust Wallet損失850萬美元,Flow損失390萬美元,Unleash Protocol也損失390萬美元。
損失較前幾個月有增加嗎?
有,較11月(8600萬美元)增加37%,較10月(7200萬美元)增加64%。
如何避免釣魚攻擊?
仔細檢查網址、啟用交易模擬、使用硬體錢包、大額資金不點私訊連結、官方渠道確認空投。
攻擊事件會持續增加嗎?
重大事件由4起升至12月的7起,但隨著安全措施改進,一些舊型攻擊已減少——但新漏洞仍不斷出現。