Venus Protocol,一個去中心化金融借貸平台,成功追回北韓 Lazarus Group 透過精密釣魚攻擊從一名用戶盜取的總值 $1,350 萬美元加密貨幣。這次追回行動在星期二事件發生後 12 小時內完成,過程中有協調的緊急程序及安全夥伴介入。
要點摘要:
- Venus Protocol 的安全夥伴在釣魚攻擊發生數分鐘後偵測到可疑活動,平台隨即全面暫停
- 攻擊者使用惡意 Zoom 軟件騙取用戶關孫帳戶控制權,獲得未經授權的借貸及兌換權限
- 緊急治理投票通過強制清算攻擊者錢包,將被盜代幣轉入追回地址
迅速回應避免重大損失
攻擊者透過受感染的 Zoom 應用程式騙取用戶安裝,取得用戶在 Venus Protocol 平台上的委託控制權。安全公司 HExagate 及 Hypernative 在可疑交易發生數分鐘內率先識別,促使 Venus Protocol 立即暫停平台運作,防止資金繼續外流,並讓專家分析事件。
Venus Protocol 指出,平台的智能合約和用戶介面在事件全程依然安全。事故發生後進行的安全審計未發現平台核心基建有任何被入侵痕跡。
緊急治理投票促成追回
平台管理層啟動緊急治理投票應對危機。該民主程序授權 Venus Protocol 強制清算攻擊者的數碼錢包,讓追回團隊收回被盜資產並轉移至安全地址。
受害人關孫對團隊協作表示感謝。
「本來可以是一場大災難,最後卻成為一場我們贏了的戰役,全靠團隊的努力,」關孫於追回後公開表示。
多個組織參與是次救援,包括 PeckShield、Binance 及 SlowMist,在追回過程中提供技術支援,協助追蹤及奪回失竊資產。
攻擊手法解構
是次釣魚攻擊主要依靠社交工程,而非利用 Venus Protocol 系統漏洞。攻擊者說服關孫下載及安裝經過修改的 Zoom 會議軟件。
惡意應用程式內含隱藏程式碼,可在沒有直接授權下,讓攻擊者取得用戶加密資產帳戶許可權。軟件安裝後,攻擊者可自動執行轉帳,迅速將穩定幣及包裹資產從受害戶口轉走。
SlowMist 法證分析進一步確認事件與 Lazarus Group 有關,分析發現該釣魚行動的戰術與過往北韓相關攻擊吻合。關孫表示:「SlowMist 做了大量分析工作,是其中一個最早指出是 Lazarus 幕後的團隊。」
Lazarus Group 的罪行紀錄
Lazarus Group 是北韓情報機關下屬的國家級駭客組織,國際安全機構近年將多宗大規模加密貨幣盜竊歸咎於他們。
過往著名的 Lazarus Group 行動包括偷竊 Ronin Bridge $6 億美元及入侵 Bybit 交易所造成 $15 億美元損失,這些均是加密行業有史以來最大宗的案件。Lazarus 擁有國家資助,攻擊手法極為高級,對全球數碼資產平台構成持續威脅。
安全專家指出,北韓駭客常以加密平台為攻擊目標,藉此規避國際經濟制裁,將失竊資產兌換成外匯以資助國家行動。
重要術語解釋
去中心化金融(DeFi)平台如 Venus Protocol 無需傳統銀行作中介,用戶直接與智能合約互動,當指定條件達成即自動執行交易。這類平台主要提供借貸、借款及交易服務,全以區塊鏈技術運作。
穩定幣是價值盯住例如美元等參照資產的加密貨幣。
包裹資產是指將傳統加密貨幣如比特幣封裝,讓其可用於其他區塊鏈。這次盜竊中,上述兩種資產皆被針對。
緊急治理投票讓平台用戶及持分者於危機期間可迅速作出決策,無需等正常表決時限即可應對安全威脅。
總結
今次 Venus Protocol 事件體現了 DeFi 系統的風險及防護能力。雖然黑客成功執行初期釣魚行動,但透過及時偵測和協作應對,最終成功避免永久資產損失。12 小時內追回標誌著加密產業安全個案的新典範。