新一轮加密货
币安全漏洞再次席卷Web3领域,伪装成合法技术人员的黑客成功入侵多个与Pepe创始人大卫·弗里相关的NFT收藏项目,窃取接近100万美元资产。
据链上分析师ZackXBT披露,攻击者通过社会工程手段获取Favrr、Replicandy和ChainSaw等项目的内部访问权限。在获得控制权后,他们重新开启铸币合约,短时间内生成数千个NFT并迅速抛售,导致市场价格崩盘。
H2 受害项目与损失深度分析
此次攻击不仅清空了项目资金池,还严重破坏了生态系统的信任基础,暴露出当前Web3项目在权限管理与内部审计方面的重大缺陷。以Replicandy为例,其漏洞时间线显示攻击具有高度组织性,且存在多项异常信号:所有者权限被秘密转移至新地址0x9Fca,随后重启铸造流程,并向市场注入大量代币压低底价。
6月23日,类似攻击模式蔓延至Peplicator、Hedz和Zogz等项目,造成总计超过31万美元的直接损失。链上追踪发现被盗资金流向多个钱包,并最终进入MEXC交易所的USDT存款账户。此外,两个可疑的GitHub开发者账号——devmad119与sujitb2114——也被确认为攻击关联方。
更值得注意的是,内部日志揭示出多处反常行为:开发人员自称位于美国,但系统语言设置为韩语,时区显示亚洲或俄罗斯地区,且使用Astral VPN进行连接。这些特征强烈指向朝鲜协同行动的技术人员参与。
尽管Favrr团队迅速发布安全更新,但Chainsaw仅发出简短警告便删除公告,而项目核心人物Matt Furie始终保持沉默,引发外界对其是否知情的广泛猜测。
H2 朝鲜黑客势力的崛起与全球应对
2025年,超过70%的加密货币盗窃案被归因于朝鲜关联组织,总涉案金额逾16亿美元。其中,今年2月发生的Bybit被黑事件尤为惊人,15亿美元资金被窃,成为历史上规模最大的单次加密资产失窃案。
此类攻击已从单纯挖矿转向复杂的社会工程策略。臭名昭著的Ruby Sleet组织不仅渗透加密交易平台,还曾成功入侵美国国防承包商,如今则将目标转向招聘松散的Web3公司,利用虚假职位骗取技术权限。
面对日益严峻的安全威胁,全球监管机构正加快响应。美国特朗普政府推动多项支持性政策,包括禁止金融机构歧视加密企业、撤销SEC对稳定币的限制(如SAB 121),以及推进《GENIUS法案》立法,旨在建立清晰的数字资产监管框架。
与此同时,澳大利亚实施严格措施,设定加密ATM现金交易上限为5,000澳元,并强化身份验证机制与实时诈骗预警系统。
总体来看,随着加密行业进入高风险阶段,市场正在经历一场由技术漏洞与地缘政治因素共同驱动的安全重构。未来,加强链上透明度、提升项目治理标准及推动跨国协作将成为保障Web3可持续发展的关键路径。
loading...
514
