新加坡加密货币交易所Phemex遭黑客攻击，损失达7000万美元

23日，新加坡加密货币交易所Phemex遭受了一起规模达7000万美元的黑客攻击事件。多位区块链安全专家提出，此次攻击可能与朝鲜黑客组织有关。

据当地媒体报道，Phemex在收到区块链安全公司关于可疑活动的警告后，立即暂停了提款服务。最初有3000万美元被盗，随后又有更多代币被窃取，导致损失规模进一步扩大。

Phemex首席执行官Federico Variola通过社交平台表示，目前正在调查热钱包的安全情况，而冷钱包则保持安全。

攻击模式分析

此次攻击显示出与其他主要加密货币交易所黑客事件相似的威胁模式。MetaMask首席安全研究员Taylor Monahan解释道："所有的盗窃或欺诈行为都会在链上表现出独特的行为模式，通过这些模式可以了解事件的发生情况、涉及人员数量以及威胁行为者的经验水平。"

Monahan补充道："在这个案例中，多个链上的各种资产同时被窃取，攻击者从可能被冻结的稳定币开始，按照价值顺序立即将代币兑换为原生资产。"

与许多攻击类似，黑客首先窃取了比特币（BTC）、以太坊（ETH）、Solana（SOL）等主要代币和稳定币。特别是，他们将数百万美元的USDC和USDT迅速转换为ETH。

随着时间的推移，攻击者开始针对不太知名的代币。最后三笔交易涉及ARPA 1000美元、ZRC 997美元和NKN 1020美元。据Arkham称，攻击者在交易所钱包中只留下了价值几美分的小额山寨币。

Monahan表示："虽然所有活动都是同时发生的，但并非通过脚本执行。资产被手动转移到新地址进行交换，完成后又转移到另一个新地址。随后，实际的洗钱团队会在下周或下个月来收取这些资金。"

考虑到交易数量和目标区块链的广泛范围，Monahan分析认为，这次攻击很可能是"之前多次进行过类似攻击的威胁行为者群体"所为。

自称为加密货币威胁调查员的匿名人士SomaXBT.eth表示，此次攻击背后很可能是与朝鲜有关或位于朝鲜的组织。他说："攻击方式与他们的攻击相似。在其他链上我们从未见过这种活动。"

另一位要求匿名的安全研究员指出，这次攻击与朝鲜国家支持的黑客组织TraderTraitor的手法相似，该组织曾从日本交易平台DMM窃取了3.08亿美元。

根据Etherscan的数据，仅EVM链相关的交易就达到了275笔。该组织仅在以太坊主链上就拥有至少8个用于资产转移的地址，还拥有Arbitrum、Base、Polygon、Optimism、zkSync等Layer2链的地址。

通过主要关联钱包（0x5b34），至少有4400万美元被转移。该钱包还拥有用于Avalanche、币安智能链、Polkadot、Solana、Tron资产转移的地址。

根据各种区块链浏览器的数据，至少有价值1600万美元的Solana、1200万美元的XRP和500万美元的比特币被盗。

Phemex目前仍持有约18亿美元的加密货币资产。其中大部分是交易所代币PT，价值11亿美元，其次是价值3.55亿美元的比特币和价值2.09亿美元的USDT。

按交易量排名第55位、CoinGecko可信度评分排名第37位的Phemex表示，正在为黑客攻击受害者制定赔偿计划。

与黑客攻击相关的地址交易于美国东部时间上午10点、平壤时间午夜左右停止。