2024年7月,本应是加密市场在“比特币减半”余温下稳步前行的一个夏天,然而一则消息如同一颗深水炸弹,在平静的海面下引爆了滔天巨浪——价值超过14亿美元的以太坊在一个被广泛使用的钱包软件中被盗,这不仅仅是一起简单的盗窃案,它更像是一场针对整个Web3基础设施信任的“史诗级”突袭,其规模、手法和后续影响,足以载入加密货币发展的史册。
“史诗级”漏洞:问题出在哪里?
风暴的中心,是一款名为ImToken的加密货币钱包,作为全球最受欢迎的去中心化钱包之一,ImToken拥有数百万用户,管理着价值数百亿美元的数字资产,正是这款备受信赖的工具,被发现存在一个致命的“后门”。
据安全研究员和社区披露,攻击者利用了ImToken钱包在特定版本中的一个安全漏洞,这个漏洞允许攻击者通过某种方式(目前推测可能与钱包的“多签”功能或私钥生成机制有关)绕过安全验证,直接盗取存储在钱包中的以太坊(ETH)及多种主流代币。
一夜之间,无数用户发现自己的账户资金不翼而飞,只留下冰冷的零余额,被盗资金总额高达惊人的14亿美元,其中仅以太坊就超过15万枚,这一数字,不仅让无数个人投资者血本无归,也让一些大型机构和项目方措手不及,瞬间成为加密社区讨论的焦点。
“闪电贷”攻击:盗贼如何“洗白”巨款?
窃取巨款只是第一步,如何将这些“烫手”的资产变现而不被追踪,才是真正的挑战,此次事件中,攻击者展现出了高超的技术和周密的计划,他们动用了DeFi(去中心化金融)领域一个强大的工具——闪电贷(Flash Loan)。
闪电贷是一种无需任何抵押品、几乎瞬时借入巨额资金并在同一笔交易中归还的借贷方式,攻击者的操作流程大致如下:
- 借入天量资金
