MyAlgo 錢包發生攻擊事件，導致損失 850 萬美元，Algorand 現在面臨哪些安全風險以及智能合約上的漏洞？

MyAlgo 錢包遭攻擊：損失 850 萬美元，CDN API 金鑰漏洞曝光

2023 年 2 月，Algorand 網路主要錢包服務 MyAlgo 發生重大安全漏洞，約 850 萬美元資產遭未授權轉移。本次攻擊波及多位用戶，Algorand 用戶緊急被提醒儘速轉移資金並加強帳戶安全。調查顯示，事件主因為 CDN API 金鑰外洩，攻擊者藉此非法存取錢包基礎設施並轉移用戶資產。

安全分析確認，MyAlgo 本次遭駭並非源自 Algorand 協議或智能合約本身缺陷，而是基礎設施安全管理不當造成營運漏洞，Algorand 底層區塊鏈技術並未出現安全疑慮。事件共影響約 2,500 個用戶帳戶，資金於平台採取補救前已遭轉移。發現 CDN 漏洞後，MyAlgo 立即採取措施阻斷攻擊，並協助受影響用戶了解損失範圍，同時升級安全協定以防止類似事件重演。

Algorand 生態智能合約漏洞：Tinyman DEX 與 Algodex 事件

Algorand 生態 DeFi 基礎設施曾因主流協議成為智能合約攻擊目標，面臨重大安全挑戰。Tinyman 作為 Algorand 上的自動化做市商 (AMM)，提供代幣兌換及收益耕種流動性池。平台智能合約可被直接存取，2022 年 1 月，攻擊者利用漏洞自流動性池非法提取約 300 萬美元。駭客透過 Tinyman 智能合約公開 API，繞過常規介面限制，直接在 Algorand 區塊鏈執行未授權交易。

此次攻擊揭示智能合約架構存取控制不足，攻擊者得以直接自流動性池提取資產。駭客將池內資產兌換為穩定幣並轉移至外部錢包及交易所，導致交易對儲備被抽空。事件造成 Algorand DeFi 社群停擺約一週，流動性提供者緊急撤資，生態安全問題引發廣泛關注。

同時期，Algodex 亦曝露類似漏洞，進一步凸顯 Algorand DeFi 層安全短板。事件顯示智能合約權限控管不足、輸入驗證鬆散及外部互動不安全等缺陷，可能危及協議整體安全。漏洞暴露 Algorand 虛擬機 (AVM) 架構設計問題，以及 DeFi 協議部署前必須進行完整安全稽核。兩起事件均反映 Algorand 生態必須嚴格測試智能合約並強化安全體系，以防止未來類似攻擊。

Algorand 應用的中心化託管風險與瀏覽器端金鑰存儲威脅

Algorand 應用如採用中心化託管或瀏覽器端儲存私鑰，安全風險將進一步加劇。在中心化託管模式下，用戶須將 ALGO 代幣交由第三方掌控私鑰，安全責任完全轉移予服務商。MyAlgo 錢包事件即為典型例子，基礎設施遭破壞直接導致 850 萬美元損失。託管服務一旦出現安全漏洞，用戶因無法掌控私鑰，幾乎無力挽回資產。

瀏覽器端金鑰儲存則帶來不同類型的安全威脅，進一步擴大整體風險。許多 Algorand Web 應用將加密私鑰存於 localStorage 或 IndexedDB，形成持久攻擊面。惡意軟體可在解密過程攔截金鑰，跨站腳本攻擊 (XSS) 可誘使用戶簽署惡意交易。瀏覽器自動填充亦可能將錢包密碼暴露給分析擊鍵模式的駭客。近期供應鏈攻擊已針對加密錢包擴充套件底層相依套件，顯示基礎設施一旦遭攻破，風險可蔓延至整個 Algorand 生態。

在此情境下，託管錢包與非託管錢包的區別尤其重要。託管錢包雖然便利，但用戶完全倚賴機構安全防護且無法自行稽核；非託管模式賦予用戶金鑰主權，但本地安全防護要求極高，多數開發者難以達到真正安全。Web 環境下私鑰管理本質上難以符合嚴格安全標準，瀏覽器沙箱機制無法防禦針對錢包應用的高階攻擊。因此，機構級託管與硬體錢包整合，仍是 Algorand 安全架構的核心。

Algorand 核心協議安全性確認：應用層風險與協議層安全差異

Algorand 核心協議已由 CertiK、BlockApex、Runtime Verification 等權威機構全面稽核，最近一次評估為 2023 年 9 月。專業評估結果顯示，底層共識機制在正常狀況下展現高度可靠性。其純權益證明 (PPoS) 協議採用可驗證隨機函數選取驗證者與投票者，只要多數持幣者並非惡意方，系統安全即可保障。此設計有效規避其他共識模型的固有漏洞。

關鍵在於區分協議層安全與應用層漏洞。Algorand 底層架構具備高度韌性，而 MyAlgo 錢包攻擊造成 850 萬美元損失，完全屬於應用層，與協議本身無關。部署於 Algorand 的智能合約仍面臨如邊界錯誤、權限管理疏漏、交易重放攻擊等獨立風險，開發者需透過嚴格程式碼審查與安全實踐加以防範。理解協議安全與應用安全的本質區別極為重要：協議層安全與應用漏洞相互獨立，錢包或 DApp 遭攻擊並不會影響 Algorand 共識機制及區塊鏈本身安全。

常見問題

MyAlgo 錢包 850 萬美元竊案發生過程及攻擊者利用了哪些漏洞？

攻擊者透過中間人攻擊運用 CDN API 金鑰，在用戶與 MyAlgo 錢包介面間注入惡意程式碼。API 金鑰取得方式尚未明朗，最終導致 850 萬美元資產遭竊。

Algorand 智能合約存在哪些已知安全漏洞與風險？

Algorand 智能合約主要安全風險包括重入攻擊、未授權存取、整數溢位等。應用層還有錢包金鑰外洩與瀏覽器端儲存風險。但 Algorand 核心協議透過純權益證明與形式化驗證維持高度安全，尚未發生被攻破紀錄。

MyAlgo 錢包 850 萬美元攻擊對 Algorand 生態信任及安全有何影響？

MyAlgo 攻擊影響應用層安全，但 Algorand 核心協議未受影響，網路仍以純權益證明機制維持安全。事件凸顯錢包基礎設施風險，也強化用戶採用非託管錢包與經過驗證智能合約的重要性。

如何在 Algorand 上安全儲存與管理資產？最佳實務為何？

應自主管理助記詞並離線保存，設置強密碼保護。大額轉帳建議加設額外口令。切勿洩漏私鑰，互動前務必核查智能合約，可降低潛在風險。

Algorand 基金會及開發者社群採取哪些措施防範類似安全事件？

Algorand 攻擊事件後已提升安全協定並發布用戶警示。基金會強化錢包軟體安全性，增加智能合約稽核，強調非託管方案。核心協議安全由 Runtime Verification 及 CertiK 進行形式化驗證。

與主流區塊鏈平台相比，Algorand 的安全性與智能合約風險水準如何？

Algorand 採純權益證明機制，安全性高且智能合約風險較低。設計有效抵禦惡意攻擊並支援高效智能合約執行，在主流區塊鏈中具備高度競爭力。

如何評估與選擇 Algorand 錢包及 DeFi 應用以降低安全風險？

應審查開發團隊背景及安全稽核報告，優先選擇程式碼公開、歷史穩定的項目，關注社群活躍度，避免使用未經驗證的應用。建議選用具備多簽功能及權威安全認證的錢包。