加密貨幣提供了許多正面的機會,但由於其新穎性與大量金錢的涉入,使它對駭客極具吸引力。加密貨幣的歷史充斥著高知名度的駭客入侵事件,導致損失高達數百萬或數十億美元。遺憾的是,許多企業、新創公司和投資者都將他們的加密貨幣全數被駭客竊取。
那麼,加密貨幣是如何被駭客入侵的,人們又能如何保護自己的數位資產?學習更多加密貨幣駭客攻擊的相關知識,有助您守護辛苦獲得的加密貨幣。
區塊鏈技術擁有多種內建安全機制,使駭客難以破壞。雖然加密貨幣駭客可以入侵區塊鏈,但他們更有可能從諸如錢包或加密貨幣交易所等來源竊取代幣。
為什麼攻擊區塊鏈這麼困難?首先,區塊鏈會持續運行,這表示它們沒有單點故障。此外,加密貨幣運用先進的加密技術、公開帳本與共識機制來強化安全性。
像比特幣(BTC)這樣的區塊鏈,所有交易皆可被公開查閱。事實上,任何想要運行比特幣區塊鏈節點的人都需要下載完整的比特幣交易歷史。如此高透明度有助於阻止惡意行動發送無效交易。
如 工作量證明 (PoW) 和 權益證明 (PoS) 等共識機制,幫助區塊鏈的參與者在無需依賴第三方的情況下驗證交易。PoW 要求電腦必須解決複雜的數學題目才能確認區塊鏈上的新交易。而 PoS 則要求驗證者必須在區塊鏈上鎖定加密貨幣,以確認新交易。
在區塊鏈上挖礦或質押的人都會被激勵遵守規則。驗證者與礦工只有在履行其職責時才能獲得代幣報酬。事實上,許多 PoS 區塊鏈會在偵測到無效交易時「懲罰」驗證者的加密貨幣。
若有人想攻擊 PoW 鏈,必須擁有足夠的運算能力,以掌控半數以上的網路資源。至於 PoS,駭客則需要質押超過總質押池一半的資產。
因此,儘管駭入區塊鏈是可能的,但在像比特幣或Ethereum(ETH)這類大型網路中發生的機率極低。如果加密貨幣駭客真的要破壞區塊鏈,他們通常會針對較小型的山寨幣項目。
請記住,駭客必須掌控超過一半的區塊鏈,才能破壞交易紀錄。這類加密貨幣駭客行為即稱為 51% 攻擊。
大多數在加密貨幣歷史上的成功 51% 攻擊都發生於中小型區塊鏈。例如,駭客在 2020 年至少三度掌控 Ethereum Classic(ETC)超過 51% 的挖礦算力。這些駭客能夠竄改數千個 ETC 區塊的資料並竊走數百萬資產。
這類 51% 攻擊通常只在小型區塊鏈中才實際可行,因為掌控網路的成本較低。由於比特幣網路龐大,若要維持 51% 攻擊將需耗費數十億美元在硬體與電力上。
除了 51% 攻擊之外,技術高明的駭客也可能利用區塊鏈程式碼中的漏洞。區塊鏈開發者在編寫專案時若有疏漏,且未及時糾正,可能會導致數百萬美元的損失。
然而,像比特幣這類經過實戰檢驗的區塊鏈,比起規模較小的區塊鏈對漏洞攻擊更具韌性。例如,2022 年北韓駭客利用新推出的 Ronin 區塊鏈漏洞,竊取超過 6.2 億美元資產。越南公司 Sky Mavis 創建了這條 Ethereum 側鏈,以降低其人氣遊戲 Axie Infinity 的手續費。
由於攻擊區塊鏈本身相對困難,多數加密貨幣駭客會將重點放在生態圈的其他環節。以下是一些加密貨幣駭客常鎖定的目標:
許多加密貨幣駭客會針對軟體錢包的程式碼漏洞進行攻擊。例如,2022 年駭客藉由 Slope 錢包的漏洞,成功盜取基於 Solana 的錢包資金。估計投資者因這次攻擊損失了總價值約 800 萬美元的 Solana 代幣。
除了直接攻擊加密貨幣錢包外,駭客也會使用網路釣魚攻擊從錢包持有人那取得個人資訊。例如,使用知名 MetaMask 錢包的人在 2022 年可能收過要求提供個人資料的釣魚郵件。這類釣魚訊息通常會要求使用者輸入其加密貨幣錢包的私鑰,好讓駭客侵入加密貨幣資金。
由於中心化加密貨幣交易所(CEX)存放著數十億美元的加密貨幣,成為駭客主要攻擊目標。Mt. Gox 被駭是加密貨幣歷史上最著名的 CEX 攻擊事件之一。
2014 年,一名駭客從 Mt. Gox 兌換所竊取了 850,000 顆比特幣,最終導致 Mt. Gox 的管理層申請破產。直到 2022 年,受 Mt. Gox 駭客事件影響的人才得以索回部份損失的加密貨幣。
Mt. Gox 事件規模之大,迫使 CEX 加強了安全和保險措施。多數大型 CEX 會將加密貨幣存放於冷錢包,並導入如雙重驗證等進階安全機制。
然而,Coinbase、Binance 和 Crypto.com 等大型兌換近年也曾遭逢重大駭客攻擊。CEX 在你提領資產到私人錢包前,技術上持有你的加密貨幣。此外,雖然部分 CEX 提供保險保障,但遇駭時並不保證必定會補償顧客損失。
智能合約是基於區塊鏈的程式,可自動執行各項功能而無需人工干預。設計良好的智能合約應能偵測預先設定條件是否達成並自動執行。智能合約常見用途包含在去中心化兌換所(DEX)上進行代幣兌換,以及打造NFT(非同質化代幣)等。
就像底層區塊鏈一樣,智能合約的安全性完全取決於其程式碼品質。如果開發者疏忽了智能合約的細節,駭客就有可能加以修改並竊取加密貨幣資金。
最重大的智能合約駭客事件之一就是“DAO 駭客案”。DAO,即去中心化自治組織,是一種依賴智能合約的治理結構,在DeFi(去中心化金融)應用中屢見不鮮。本案中的 DAO,係指 Ethereum 上一個用於去中心化創投募資的特定專案。
2016 年,駭客因智能合約程式碼的弱點,竊取了該 DAO 約 6,000 萬美元資產。這起事件促使 Ethereum 開發者分岔出新的區塊鏈來補償投資者。Ethereum Classic 是原始鏈,分岔後的 Ethereum 則成為全球第二大數位貨幣。
跨鏈轉移的目的是將代幣從一條區塊鏈遷移至另一條。雖然跨鏈轉移的目標很容易理解,但其技術挑戰重重,很難做到完善。近年來,許多備受關注的加密貨幣攻擊都發生於這項新技術上。
例如,2022 年駭客曾從 Solana-to-Ethereum Wormhole 跨鏈轉移竊取約 3 億美元。其後,Harmony 區塊鏈的跨鏈轉移也損失了 1 億美元。
內部駭客事件
由於加密貨幣具匿名性,駭客身分通常也難以追查。許多人推測,駭客其實可能就是協議開發者本身。他們預留漏洞並在可竊取的總資產累積到一定數量後才發動攻擊。駭客的真實身分往往難以稽查。
雖然沒有人能預測加密貨幣遭駭事件,但有些做法可降低數位代幣被駭客或網路犯罪分子竊取的風險。以下幾招能大幅提升您加密貨幣的資安:
Worldcoin 致力於在不犧牲去中心化及隱私等價值下,提升 Web3 環境安全。我們的 Orb 技術能驗證哪些加密貨幣錢包屬於唯一真人持有,而無需用戶提交個人證件。若想進一步瞭解 Worldcoin 如何降低加密貨幣駭客與詐騙、提升資安,歡迎訂閱我們的部落格。