202X 年 10 月 31 日,Garden Finance 遭受了一次重大的安全漏洞,导致跨多个区块链的 1080 万美元被盗。这些被盗资金的很大一部分,特别是 665 万美元,随后通过隐私混合器 Tornado Cash 洗钱,加剧了对 Garden Finance exploit Tornado Cash 关联的审查,并引发了对资金可追溯性和 DeFi 安全的担忧。
剖析 Garden Finance 漏洞
202X 年 10 月 31 日,Garden Finance 平台遭受了一次重大漏洞利用,导致约 1080 万美元的数字资产被非法盗取。这次多链攻击影响了 Arbitrum、Ethereum 和 Solana 等主要网络中持有的资金。区块链调查员 ZachXBT 是最早发现这些未经授权的提款的人之一,从而曝光了该事件。
漏洞发生后,Garden Finance 团队向攻击者提供了 10% 的白帽赏金,这是加密货币领域中希望追回资金的常见做法。然而,这一提议没有得到回应,相反,犯罪者开始通过隐私协议清洗被盗资产,这表明他们有明确的意图掩盖其踪迹。
追踪被盗加密货币:Garden Finance exploit Tornado Cash 管道
安全公司 CertiK 仔细追踪了被盗资金的流动,确认价值 665 万美元的被盗加密货币确实被转移到了 Tornado Cash。这笔款项包括大量的 501 BNB 和 1,910 ETH,这些资金被故意通过混合器进行路由,以匿名化其来源和目的地。虽然大部分资金已被洗钱,但据报道,大约 91 万美元的被盗资产仍在一个攻击者的地址中,为潜在的追回带来了一线希望,尽管希望渺茫。
相互矛盾的说法:团队的立场与链上现实
在漏洞发生后,Garden Finance 联合创始人 Jaz Gulati 于 202X 年 11 月 5 日发布了一份更新,声称该漏洞仅针对第三方求解器的 web2 基础设施。Gulati 明确表示,“没有用户资金或协议合约受到影响”,并坚称“所有系统在故障条件下都按预期运行”。该团队随后概述了运营恢复、增强求解器安全性和集成其他独立求解器以加强冗余的计划。
然而,这种说法很快受到了链上证据的挑战。ZachXBT 分享了来自 Garden 部署者地址的链上消息的引人注目的屏幕截图,该消息直接发送给攻击者。这条消息与公开声明截然相反,明确承认,“我们的系统在多个区块链上受到了损害。” 团队的公开保证与可验证的链上沟通之间的这种明显不一致,引发了人们对漏洞的真实程度以及协议沟通透明度的严重质疑。
争议模式:先前的指控和未来的影响
Garden Finance exploit Tornado Cash 事件因先前对该平台的指控而变得更加复杂。在最近的安全事件发生之前,区块链调查员 ZachXBT 曾指控 Garden Finance 协助洗钱。他声称,Garden 超过 25% 的运营活动与来自重大黑客攻击的洗钱资金有关,其中包括臭名昭著的 14 亿美元 Bybit 漏洞。
更复杂的是,Garden Finance 由前 Ren Protocol 开发人员开发。Ren Protocol 本身也有处理超过 5.4 亿美元非法资金的历史,之后被主要交易所除名,给其继任者蒙上了一层阴影。调查人员甚至推测,与朝鲜民主主义人民共和国有关的臭名昭著的黑客组织“危险密码”可能策划了 Garden 攻击,突显了 DeFi 协议面临的复杂而持续的威胁。由于数百万美元现在通过隐私协议被掩盖,资金追回的前景似乎极其渺茫,这突显了在不断发展的 DeFi 格局中,采取强有力的安全措施和勤勉的尽职调查的至关重要性。对于那些希望驾驭这些复杂市场并监控安全趋势的人来说,像 cryptoview.io 这样的工具提供了有价值的见解。
