欧科云链链上卫士：CEX安全事件频发，热钱包为何沦为黑客捞金所？

一、背景

12月12日凌晨4时（HKT），欧科云链链上卫士团队注意到，顶峰AscendEX交易平台热钱包出现代币异常转移的情况，转账涉及Ethereum、BSC、Polygon、Litecoin以及BCH网络，造成总计7,000至8,000万美元的损失。

而就在一周前，12月5日，中心化加密资产交易平台BitMart因Ethereum和BSC网络热钱包存在大规模安全漏洞，导致约1.5亿美元资产被盗，涉及SHIB、MATIC、CRO、SAND、GALA等84种代币，黑客已经使用1inch、Tornado.Cash等工具转移被盗资金。

短短7天时间，两大中心化交易平台，至少2.2亿美元资产被盗，不免引起市场对于CEX安全问题的热议，尤其是近几年随着去中心化金融（DeFi）的迅速发展，并成为市场的主要驱动力之一，再加上中心化交易平台安全技术的持续升级，黑客的目标确实有所转移，因此短期内这2起较为大型的安全事故，才引起了市场的震颤。

经链上卫士团队分析，这两起攻击事件都与热钱包私钥被盗有关，考虑到近期关于Apache Log4j2的一个高危漏洞细节被公开，攻击者可直接构造恶意请求，触发远程代码执行漏洞，因此我们推测可能与攻击者直接拿到钱包地址的控制权限，通过Apache Log 4j2漏洞进行远程命令执行有关。

二、攻击细节分析

链上卫士团队针对两起安全事件进行了分析，以下为具体分析过程。

1. AscendEX

截至12月14日，ETH网络损失6,000万美元，BSC网络损失920万美元，Polygon网络损失850万美元，而BCH和LTC仍需等待官方进一步的披露，针对ETH链，链上卫士团队附上了黑客相关地址，以及资金的流转链路。

首先攻击者利用热钱包漏洞使得AscendEX热钱包地址「0x986a」向黑客地址1「0x2c69」发起多笔未经授权的转账，接着黑客地址1「0x2c69」将资金转移至黑客地址2「0x9eEE」，然后再将资金拆分汇至黑客地址3「0x5629」和黑客地址4「0x70Dc」。

2. BitMart

通过链上卫士Pro追踪工具，输入黑客地址1「0x39fb」和黑客地址2「0x4bb」，我们获得了以下两张资金流入流出图。

经过整理、分析，链上卫士团队绘制出了黑客链上操作流程图。

1)攻击者盗取BitMart私钥后，攻击BitMart热钱包「0x68b2」，从热钱包「0x68b2」转出到黑客地址1「0x39fb」和黑客地址2「0x4bb7」，再经由1inch变现和Tornado.Cash混币后转移资金；

2)在【盗取BitMart私钥】时，黑客地址1「0x39fb」和黑客地址2「0x4bb7」分别获得了AKITA、ARX、AXS等84种ERC20代币，另外黑客地址1「0x39fb」还获得了ETH；

3)攻击者调取【1inch合约变现】，分别将黑客地址1「0x39fb」和黑客地址2「0x4bb7」的ERC20兑换成18,045 ETH和3,110 ETH，再转移至黑客地址2「0x4bb7」；

4)攻击者通过Tornado.Cash分别将黑客地址1「0x39fb」的100 ETH和黑客地址2「0x4bb7」的21,170 ETH进行【混币】。

三、总结

经链上卫士团队分析，AscendEX和BitMart两起中心化交易所被攻击事件源于热钱包私钥被盗，结合近期Apache Log4j2漏洞，我们猜测可能与该漏洞有关，但不排除其他原因。Apache Log4j2是一款流行的Java日志框架，官方已经发布补丁，建议广大交易平台、钱包、项目方等抓紧自查并升级该版本。

此外，链上卫士团队已经对相关地址进行了监控，并将持续进行追踪。

虽然黑客攻击和网络犯罪无法完全禁止，无论是CEX还是DeFi，安全问题都应当被视为是重中之重，我们也希望行业能从每一次攻击中反思，提升安全性。