鲸鱼多签在几分钟内被黑：攻击分阶段耗尽$40M

加密鲸鱼多签钱包遭复杂攻击被盗

一名攻击者在鲸鱼多签钱包创建仅数分钟后成功入侵，盗取约2730万美元，并在过去44天内执行了分阶段洗钱活动。此事件引发了对加密生态系统安全措施的担忧，并凸显了针对高价值钱包的不断演变的威胁。

区块链安全公司PeckShield报告称，攻击者已洗钱约1260万美元，约合4100 ETH，主要通过Tornado Cash进行。攻击者还持有大约$2 百万的流动资产，并在Aave上进行杠杆交易。新的取证分析显示，总损失可能超过$40 百万，初步迹象显示盗窃行为可追溯到11月初。

Hacken Extractor取证调查负责人Yehor Rudytsia解释说，被标记为“被攻破”的钱包可能从一开始就不在受害者控制之下。链上数据显示，该多签钱包于11月4日UTC时间7:46创建，但所有权在六分钟后转移给了攻击者。Rudytsia表示：“很可能，攻击者创建了多签钱包，将资金转入，然后几乎立即控制了它。”

攻击者分批洗钱。来源：PeckShield

控制钱包后，攻击者表现出耐心，连续数周在Tornado Cash存款，从11月4日的1000 ETH开始，直到12月初以较小的分批交易持续操作。仍有资金留在受攻破的钱包中，现在由攻击者控制。Rudytsia还对钱包的配置提出了担忧。多签设置为“1-of-1”，只需一签即可批准交易——这种设计实际上不符合多签定义，安全性大大降低。

Hacken的安全专家警告称，各种攻击途径仍然存在，包括恶意软件感染、钓鱼攻击以及操作失误，例如不安全存储私钥或在多个设备上使用相同设备进行签名。DApp审计员Abdelfattah Ibrahim强调，锁定设备在冷存储中以及在用户界面之外验证交易是关键的缓解策略。

AI生成漏洞带来的新兴风险

Anthropic和机器学习对齐与理论学者(MATS)的最新研究表明，先进的AI模型可以自主开发并执行有利可图的智能合约漏洞。在受控测试中，Anthropic的Claude Opus 4.5、Claude Sonnet 4.5以及OpenAI的GPT-5共同生成了价值460万美元的漏洞，展示了自主黑客的潜力。

在进一步评估中，这些AI模型在测试近2850个新智能合约时，识别出之前未知的零日漏洞，产生的漏洞价值不到4000美元，成本低于生成这些漏洞的费用。这一新兴威胁凸显了随着AI能力在区块链空间快速发展，增强安全措施的必要性。

本文最初发表于Crypto Breaking News——你的加密新闻、比特币新闻和区块链更新的可信来源，标题为“鲸鱼多签在几分钟内被黑：攻击分阶段耗尽$40M ”。