鯨魚多簽在數分鐘內被駭：攻擊分階段耗盡$40M

加密貨幣大戶多簽錢包遭高階攻擊洗劫

一名攻擊者在大戶多簽錢包創建後僅數分鐘內成功入侵，洗劫約2,730萬美元，並在過去44天內進行分階段洗錢活動。此事件引發對加密生態系統安全措施的關注，並凸顯針對高價值錢包的威脅日益演變。

區塊鏈安全公司PeckShield報告指出，攻擊者已洗錢約1260萬美元，約合4100 ETH，主要通過Tornado Cash進行。攻擊者還持有約$2 百萬美元的流動資產，並在Aave上進行槓桿交易。新的取證分析顯示，總損失可能超過$40 百萬美元，初步跡象可追溯到11月初的盜竊。

Hacken Extractor的取證調查負責人Yehor Rudytsia解釋說，被標記為“已被入侵”的錢包可能從一開始就不在受害者控制之下。鏈上數據顯示，該多簽錢包於11月4日UTC時間上午7:46創建，但所有權在六分鐘後轉移給攻擊者。Rudytsia表示：“很可能，攻擊者創建了多簽錢包，將資金轉入，然後幾乎立即控制了它。”

攻擊者分批洗錢。來源：PeckShield

控制錢包後，攻擊者展現出耐心，連續數週在Tornado Cash存款，從11月4日的1000 ETH開始，並在12月初以較小的分批交易持續操作。受害錢包中的資金仍然留存，現由攻擊者控制。Rudytsia也對錢包的配置提出疑慮。該多簽設為“1-of-1”，只需一個簽名即可批准交易——這種設計技術上不算多簽，且大大降低了安全性。

Hacken的安全專家警告，仍有多種攻擊途徑可行，包括惡意軟件感染、釣魚攻擊，以及操作失誤，例如不安全存儲私鑰或在多個設備上使用同一設備進行簽名。DApp審計員Abdelfattah Ibrahim強調，將設備存放於冷錢包並在用戶界面外驗證交易是關鍵的緩解策略。

AI生成漏洞帶來的新風險

Anthropic和Machine Learning Alignment & Theory Scholars (MATS)的最新研究顯示，先進的AI模型能自主開發並執行有利可圖的智能合約漏洞。在受控測試中，Anthropic的Claude Opus 4.5、Claude Sonnet 4.5以及OpenAI的GPT-5共同產生價值460萬美元的漏洞，展現自主駭客的潛力。

在進一步評估中，這些AI模型在測試近2850個新智能合約時，發現了先前未知的零日漏洞，產生的漏洞價值不到4000美元，且成本低於產生這些漏洞的費用。這一新興威脅凸顯隨著AI能力在區塊鏈領域快速進步，安全措施亟需加強。

本文最初刊登於Crypto Breaking News的《Whale Multisig Hacked in Minutes: Attack Drains $40M in Stages》——您的加密新聞、比特幣新聞與區塊鏈更新的可信來源。