駭客再次出擊 — $21M 穩定幣贓款轉移至 Ethereum 網絡

一起大規模穩定幣盜竊事件於2025年10月10日（UTC +8）衝擊了加密貨幣領域，當時一名攻擊者清空了一個用戶錢包並將所得轉移到Ethereum上。根據報導，損失約為2100萬美元。這一事件再次引起人們對於一個洩露的秘鑰如何能夠導致數百萬資金損失的關注。

穩定幣：盜竊事件的關鍵細節

根據鏈上追蹤器和安全信息，在區塊鏈瀏覽器上顯示為0x0cdC…E955的受影響地址損失了約2100萬美元的穩定幣。報告指出，被盜資產中包括約1775萬DAI和約311萬的第二種穩定幣，一些追蹤器將其列為MSYRUPUSDP。

包括PeckShield在內的安全公司將此事件標記為私鑰洩露，這意味著攻擊者獲得了錢包簽名密鑰的直接控制權，並在不破壞平台代碼的情況下轉移了資金。

攻擊似乎是如何發生的

根據報導，這不是智能合約缺陷或橋接漏洞。穩定幣錢包的密鑰被暴露或被盜取。一旦發生這種情況，轉賬就可以立即簽名並廣播。

一些操作非常迅速。大額轉賬在到達Ethereum之前通過一個或多個跨鏈橋進行路由，資金在多個地址之間轉移。這種路由使追蹤變得更加困難，但鏈上監控器追蹤了許多跳轉。

追蹤顯示被盜穩定幣跨鏈轉移後在Ethereum上被洗混。觀察者注意到，瀏覽器中的代幣標籤並不總是與合約名稱匹配，這可能會使快速摘要產生混淆。

使用合約地址是在鏈上追蹤資金的唯一精確方法。報告稱，竊賊使用橋接來掩蓋來源，然後在多個地址之間轉移資產，如果資金未存入中心化服務，這一步驟會使資金追回工作變得更加複雜。

報告披露，多家媒體轉載了來自鏈安全組織的相同初始信息，且尚未有攻擊者的公開身份浮現。不同追蹤器之間的數字略有差異，這在代幣被包裝、重新命名或被不同瀏覽器以不同方式顯示時很常見。

安全分析師指出，更廣泛的數據顯示，近年來與私鑰和憑證相關的事件造成的損失超過10億美元，強調了這些事件仍然多麼普遍且代價高昂。

特色圖片來自Bleeping Computer，圖表來自TradingView