Web3領域最大規模黑客攻擊事件分析

2025年2月21日，某知名交易平台的以太坊冷錢包遭遇嚴重攻擊，約401,346 ETH、15,000 cmETH、8,000 mETH、90,375 stETH和90 USDT被轉移至未知地址，總價值約14.6億美元。

攻擊者通過精心設計的釣魚手段，誘使該平台多重籤名錢包的籤名者批準了惡意交易。攻擊過程如下：

1. 攻擊者提前部署包含資金轉移後門的惡意合約。
2. 篡改Safe前端界面，使籤名者看到的交易信息與實際發送至硬體錢包的數據不一致。
3. 通過僞造的界面獲取三個有效籤名，將Safe多簽錢包的實現合約替換爲惡意合約，進而控制冷錢包並轉移資金。

受害平台委托Sygnia進行取證調查，以確定攻擊的根本原因，識別攻擊範圍和來源，並制定風險緩解策略。調查結果顯示：

• Safe的AWS S3存儲桶中的資源被注入了惡意JavaScript代碼。
• 資源修改時間和網路歷史檔案表明，惡意代碼直接注入Safe的AWS S3存儲桶。
• 注入的JavaScript代碼旨在操縱交易，在籤名過程中更改交易內容。
• 惡意代碼有特定的激活條件，僅在交易來源匹配特定合約地址時執行。
• 惡意交易執行後兩分鍾，更新版本的JavaScript資源被上傳，刪除了惡意代碼。
• 初步證據指向攻擊源自Safe的AWS基礎設施。
• 目前未發現受害平台基礎設施被入侵的跡象。

這起事件暴露了加密貨幣行業在安全管理和技術架構上的深層問題。主要問題在於AWS存儲服務被入侵，導致JavaScript被篡改，使Safe前端發起的交易內容被修改。如果Safe前端實施了基本的SRI驗證，即使JavaScript被篡改也可能避免此類事故。同時，受害平台在使用硬體錢包時未充分驗證交易信息就確認，這種對Safe前端的過度信任也是一個關鍵問題。

硬體錢包在處理復雜交易時存在局限性，無法完整解析和顯示多重籤名錢包的詳細交易數據，導致籤名者在未完全驗證交易內容的情況下進行"盲籤"。

隨着Web3技術的快速發展，前端安全與區塊鏈安全的界限日益模糊。傳統前端漏洞（如XSS、CSRF）在Web3環境下呈現新的攻擊維度，而智能合約漏洞、私鑰管理缺陷等問題進一步放大了風險。

爲應對這些挑戰，業界需要採取以下措施：

1. 實施EIP-712結構化籤名驗證，確保前端生成可驗證數據，智能合約驗證籤名。
2. 升級硬體錢包固件，支持EIP-712，並在鏈上強制執行語義匹配。
3. 全面提升設備安全、交易驗證和風控機制。
4. 前端開發需對DApp訪問、錢包連接、消息籤名、交易籤名和交易後處理等環節進行嚴格驗證。
5. 定期進行鏈上合約的安全審計。

只有通過多層面、全方位的安全措施，才能在Web3的開放環境中有效保護每一筆交易的價值與信任，實現從"被動修補"到"主動免疫"的轉變。