Punkcan pfp
Punkcan
@punkcan
1/🧵 当安全专家也需要安全专家时,你就知道——大事不妙了 6 月 20 日 Web3 安全公司 Hacken 被黑:桥接合约的私钥泄露,攻击者一夜之间印出 9 亿 $HAI,导致币价暴跌 99%。讽刺的是,他们早就警告过这种事。 👇全程复盘
1 reply
0 recast
0 reaction
Punkcan pfp
Punkcan
@punkcan
2/ 最早发现异常的是 PeckShield 「$HAI 遭攻击 价格血崩」 Cyvers 紧跟着补充信息 攻击者获取了 mint 权限 直接释放巨量代币 攻击原因不复杂 是人为失误 不是合约漏洞
1 reply
0 recast
0 reaction
Punkcan pfp
Punkcan
@punkcan
3/ 桥的私钥被留在一台废弃的 DigitalOcean 服务器上 没关 没收回 攻击者不需要高明手法 只要把钥匙捡起来 然后开门!?WTF
1 reply
0 recast
0 reaction
Punkcan pfp
Punkcan
@punkcan
4/ 攻击地址是同一个 BSC 和 Ethereum 两边同时铸币 BSC 铸了三笔 Ethereum 一笔 总共 9 亿枚 清清楚楚写在链上 没人阻止 也没人预警
1 reply
0 recast
0 reaction
Punkcan pfp
Punkcan
@punkcan
5/ 事发后 Hacken 立刻关闭桥 但为时已晚 由于流动性不足 实际套现金额约 17 万美元 不算多 但对一个代币来说 跌 99% 基本上是完了
1 reply
0 recast
0 reaction
Punkcan pfp
Punkcan
@punkcan
6/ 此时套利者已经进场 Gate.io 的 API 泄露了 ETH 链的充值口 虽然 UI 隐藏了这个选项 但有人发现还能直接打进去 于是从攻击链搬币套利 一波翻倍操作开始了
1 reply
0 recast
0 reaction
Punkcan pfp
Punkcan
@punkcan
7/ 市场进入混乱状态 有人在抄底反弹赚 8 倍 有人拿着毫无价值的假币被锁交易所 也有人还没意识到发生了什么就被清了仓位
1 reply
0 recast
0 reaction
Punkcan pfp
Punkcan
@punkcan
8/ CEO Dyma Budorin 连夜发文:「我们正在调查」 随后风向开始转向控制损害 他说这是「架构升级中的人为错误」 同时宣布 HAI 将并入 Hacken 股权体系 未来将转型为合法金融工具
1 reply
0 recast
0 reaction
Punkcan pfp
Punkcan
@punkcan
9/ 换句话说 这不是灾难 是转型机会 不是攻击 是成长痛 听起来像是 房子起火了 然后说正好打算重新装修
1 reply
0 recast
0 reaction
Punkcan pfp
Punkcan
@punkcan
10/ 三天后 攻击者被追踪到在 KuCoin 存入资金 链上分析工具锁定地址 账户被冻结 Budorin 宣布执法部门已介入 KYC 一度被质疑 这次成了追溯真凶的线索起点
1 reply
0 recast
0 reaction
Punkcan pfp
Punkcan
@punkcan
11/ 最值得玩味的部分在这里: Hacken 自己在 2025 Q1 安全报告中写过 「Web3 最大损失来源不再是代码漏洞 而是权限控制失败」 他们写了报告 然后按报告内容 出了事故
1 reply
0 recast
0 reaction
Punkcan pfp
Punkcan
@punkcan
12/ 整个事件没有复杂攻击 没有高阶技术 没有黑客电影 只是一个旧密钥 没收 一家公司 忘了最基础的事
1 reply
0 recast
0 reaction
Punkcan pfp
Punkcan
@punkcan
13/ Hacken 现在说要把这次事故变成教育案例 讲给别人听 教别人怎么避免类似错误 也确实挺有说服力的 毕竟这是他们用自己换来的教材 #Firefly_Crosspost @cookiedotfun @KaitoAI
0 reply
0 recast
0 reaction