比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

區塊鏈:安全事件頻發,小白用戶如何保護錢包安全?

Author:

Time:1900/1/1 0:00:00

10月13日,全球領先的區塊鏈數據與技術服務提供商歐科云鏈在TwitterSpace上舉辦了一場主題為“安全事件頻發,小白用戶如何保護錢包安全?”的線上交流會,本次活動歐科云鏈首次對外公開了鏈上衛士產品線及目前在鏈上安全領域的布局。此外,本場活動還邀請到了三位深耕鏈上安全領域的嘉賓共同探討近期層出不窮的跨鏈橋安全事件,普通用戶該采取哪些策略、養成哪些習慣,來保障自身資產安全?

以下為本次TwitterSpace文字版回顧:

BNBChainBSC跨鏈橋遭黑客攻擊,價值5.6億美金200萬枚BNB被憑空增發,對此安全事件的分析眾多,但是都較為晦澀難懂,請審計師幫我們分析一下...

OKLink安全研究員Raymond:

這次BNBChainBSC跨鏈橋遭黑客攻擊,是黑客利用了BNBSmartChain校驗代碼的一個漏洞。按照正常流程,在校驗IAVL提交的數據過程中,會根據用戶提供的證明路徑,計算各層哈希值,但是校驗代碼少處理了一種情況,實際也就是少了三行代碼,它沒有處理一個節點左右都有字節點情況,黑客在正常數據里面,添加了個右節點,這個右節點由于前面說的代碼漏洞,沒有參與哈希計算,從而繞過了驗證,BNBSmartChain的TokenHub按照數據請求,直接給黑客增發200w個BNB,黑客拿BNB去Venus抵押,借出了大量的穩定幣,然后調用Stargate跨鏈橋,將資產轉移到ETH,AVAX,Fantom等鏈,轉價值近一個億美金的鏈上資產。事后幣安協調BNBSmartChain各個節點緊急停鏈,黑客被凍結在BNBSmartChain上的資產大概還有4.2個億美金。后來,BNBSmartChain各個節點將黑客地址加入黑名單,禁用了0x65預編譯合約的調用,并對鏈進行了重啟。據最新消息,BNBSmartChain已對校驗代碼進行了修改,節點重新進行硬分叉重啟,并重新開啟了跨鏈功能。

慢霧:2021年上半年共發生78起區塊鏈安全事件,總損失金額超17億美元:據慢霧區塊鏈被黑事件檔案庫統計,2021年上半年,整個區塊鏈生態共發生78起較為著名的安全事件,涉及DeFi安全50起、錢包安全2起,公鏈安全3起,交易所安全6起,其他安全相關17起,其中以太坊上27起,幣安智能鏈(BSC)上22起,Polygon上2起,火幣生態鏈(HECO)、波卡生態、EOS上各1起,總損失金額超17億美元(按事件發生時幣價計算)。

經慢霧AML對涉事資金追蹤分析發現,約60%的資金被攻擊者轉入混幣平臺,約30%的資金被轉入交易所。慢霧安全團隊在此建議,用戶應增強安全意識,提高警惕,選擇經過安全審計的可靠項目參與;項目方應不斷提升自身的安全系數,通過專業安全審計機構的審計后才上線,避免損失;各交易所應加大反洗錢監管力度,進一步打擊利用加密資產交易的洗錢等違規行為。[2021/7/1 0:20:42]

Q2:以太坊的創始人V神此前也發推討論了對多鏈未來的信念,但對跨鏈生態系統表示懷疑。各位大佬對跨鏈橋或者層出不窮的跨鏈橋安全事件有何看法?底層原因是什么呢?

庫幣安全事件更新:新增WAN、VET、STX等9種代幣充提服務:據庫幣KuCoin交易所消息,庫幣已于10月4日新增WAN、VET、STX等9種代幣充提服務。截至目前,庫幣已開放共計52種代幣充提服務。庫幣CEO Johnny Lyu在此前的推特中表示,價值超過2.04億美金的資產已安全脫離可疑地址范圍。庫幣正逐漸恢復完整服務,包括BTC、ETH、USDT在內的更多代幣的充值和提現服務近期也將開放。[2020/10/5]

數據分析師Phyrex:

由于跨鏈橋本身并不是原生資產,用戶在參與一些跨鏈橋項目時,需考慮項目方自身作惡的可能性。建議用戶盡量不要使用非官方的跨鏈橋,針對不熟悉的項目不要貪圖APY。送給廣大用戶DeFiSummer階段常用的一句話“當你不知道項目收益從何處來時,你就是收益本身。”

OKLink安全研究員Raymond:

跨鏈橋實現整體業務邏輯復雜,信息傳遞鏈條很長,因此跨鏈橋在安全風險方面極易出現問題。對黑客而言,跨鏈橋規模巨大的TVL比普通協議更具吸引力。最常見的比如私鑰安全問題、智能合約漏洞或者操作錯誤都可能導致跨鏈橋的大部分或全部資金損失。

庫幣安全事件更新:已開放ORN、UTK、OCEAN等11種代幣充提:據庫幣KuCoin交易所消息,截至目前,庫幣已重新開放ALEPH、BNS、VRA、BEPRO、CV、PAZZI、UTK、OCEAN、NOIA、KAI以及ORN在內的11種代幣充提服務。庫幣CEO Johnny Lyu在此前的直播中表示,價值超過1.4億美金的資產已安全脫離可疑地址范圍。[2020/10/2]

建議用戶在選擇跨鏈橋時,安全應首先考慮。此外除關注用戶體驗、低滑點高效率外,安全性是評估跨鏈橋的重中之重。

OKLinkAuditPMUna:

目前就跨鏈橋來說,首先是跨鏈橋數量多,光以太坊上就有100個跨鏈橋配套設施,其次是跨鏈資產多,以BTC為例,你應該看到過很多和BTC相關的資產,如WBTC、anyBTC、VBTC等等,其實這些都是基于BTC生成的跨鏈資產。同時跨鏈滲透到各種各樣的生態和DAPP中。目前光是以太坊生態中的橋鎖倉量就達到了78億美元,當然這也就吸引了黑客的注意。

所以用戶在使用跨鏈橋產品時,一定要仔細甄別判斷跨鏈橋的安全性。目前跨鏈橋主要有3種技術方案:鎖定鑄造/銷毀類,資金池類和原子置換類。不同的技術方案,其安全設置也是各有不同,比如“鎖定鑄造/銷毀”這一類的跨鏈橋通常來說如果在驗證者去中心化分布、驗證者被要求質押資產、作惡有罰沒機制、資產由智能合約托管的情況下還是相對安全的。

庫幣安全事件更新:現已開放KardiaChain (KAI) 充提服務:據庫幣交易所公告,針對于此次庫幣熱錢包異常轉賬事件涉及到的5.25億枚KAI代幣(約1020萬美元),KAI已聯合庫幣完成代幣1:1更換,Swap映射后的地址為:0xd9ec3ff1f8be459bb9369b4e79e9ebcf7141c093

充提服務已于9月30日重新開放。據悉,KAI在Pool-X平臺的鎖倉收益并未受到影響,將正常發放。此外ORN提現服務已于9月29日正式開放。庫幣表示更多項目充提服務將于近期陸續開放。[2020/9/30]

數據派交易員鏈研社:

可以通過可靠的中心化平臺進行資產跨鏈。在完成跨鏈后,需要注意相關DApp的授權,如無必要建議解除授權。

星球日報資深作者秦曉峰:

跨鏈項目尋求創新又各自為戰,難免會留下一些代碼的安全漏洞,已經導致了非常多安全事件的發生。

Q3:根據各位的經驗,分享一下,平時我們應該采取哪些策略、養成哪些習慣,以便普通用戶進一步提升交易安全?

動態 | 2019年區塊鏈安全事件總結:全球損失超60億美元:在2019年數字資產犯罪案件中,美國占比為28%為全球最多,歐洲占24%,其后為中國占比18%。成都鏈安統計,從2019年1月至2019年12月中旬,全球約發生超萬次數字資產黑客事件,我國發生的與數字資產相關刑事案件多達2000件,涉及包括黑客攻擊盜幣、詐騙、非法集資、洗錢、暗網非法交易等,總計損失超60億美元,網絡犯罪和暗網交易類涉案金額大體相當,項目方跑路類涉案金額是前二者的2倍還多,其中由于系統漏洞對區塊鏈造成的損失超過10億美元。[2019/12/19]

數據分析師Phyrex:

可以配置三個錢包:

首先是“簽名錢包”,錢包里不要存放資產只在一些需要簽名授權的場景下使用。

其次是“交互錢包”,錢包里盡量只放一些gas費。交互過后,也及時解除授權。

最后是“資產錢包”,只存放資產使用。

另外也提醒大家,一定要管理好自己的設備,不要給其他人保管。

數據派交易員鏈研社:

針對大部分普通用戶而言,選擇大平臺產品存儲資產是最簡單、也是最省心的。如果一定要自我保存,建議用戶可從提升自身安全意識、不盲目相信項目方、斷網式資產存儲三個維度來避免賬戶被黑、提升自身交易安全。具體來說,用戶需要監控錢包和合約的授權行為,和陌生網站的交互需要多加小心。另外,私鑰的生成步驟和保存環境也要足夠安全,盡量使用經過大量用戶驗證過的錢包應用。

OKLink安全研究員Raymond:

在提升鏈上交互安全方面,除以上嘉賓所說的使用大平臺產品、取消不必要的資產授權外,我這邊建議用戶善用區塊鏈工具來降低鏈上交互風險。比如通過OKLink多鏈瀏覽器,提前判斷交互地址是否存在“負面地址標簽”:如hack、phishing等,降低與黑灰地址交互帶來的隱藏風險;通過鏈上衛士“風險代幣掃描”工具,避免落入貔貅盤的圈套。

OKLinkAuditPMUna:

錢包安全是離用戶最近的一環,對于普通用戶來說,錢包安全主要分為防盜和防丟。在防盜層面,我們發現很多風險事件都是在授權那一步出現的,黑客通過設置一個釣魚網站騙走用戶的授權,再將用戶資金轉移。針對此類情況,衛士目前正在開發針對不同代幣標準的授權檢測接口,后面這個接口檢測能力也會對外開放,不過這個這一點也從側面說明授權動作是風險極高的,在錢包授權時候,一定要仔細閱讀錢包的授權信息,如果沒有寧可換一個錢包,如果是一個盲簽信息,不要冒險,一旦私鑰被盜所有資產都可能會丟失。而防丟層面遇到最多的就是“助記詞丟失”,因此建議廣大用戶盡量用硬件錢包、保存好助記詞,私鑰、助記詞盡可能通過web0的方式保存,不要通過網絡傳輸。

星球日報資深作者秦曉峰:

大家普遍比較認同大型中心化平臺在跨鏈時速度更快、更安全,即使出現安全漏洞平臺也會承擔這部分損失。這種跨鏈的原理是通過用戶從A鏈將資產充入平臺的A鏈充幣地址,再從同一賬號的B鏈地址提幣至用戶在B鏈的錢包地址,但這種做法也有限制:需要平臺在B鏈提供該資產,且不容易參與跨鏈橋項目并獲得額外收益。

Q4:OKLink鏈上衛士有什么重要布局嗎?類似于這次的攻擊類型,您認為可以在哪些方面幫到用戶?

OKLinkAuditPMUna:

我們之所以選擇啟動鏈上衛士產品線,主因是雖然區塊鏈的發明讓「信任」這種寶貴的東西得以部分解決。但在區塊鏈代碼世界里,人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鉆了空子,頻繁將黑手伸進了人們的錢包,造成了大量的資金損失。近年來在被攻擊的項目中,70%由第三方審計機構審計。然而,在剩下的30%未經審計的項目中,因攻擊而遭受的損失占總損失額的60%以上。

而鏈上衛士審計團隊致力于開發基于安全和數據的產品。我們的核心能力可以分為數據安全能力和代碼安全能力。一方面,我們為商業客戶提供服務。另一方面,尋求安全需求的客戶和區塊鏈初學者也可以享受幫助。我們堅持以用戶需求為導向,打造低門檻、全面、有效的產品,擴大區塊鏈用戶的認知。

就好比我們剛開放的鏈上衛士產品:TokenScanner,支持對貔貅盤、交易稅等30風險項檢測。針對C端用戶已開放風險掃描、安全評分、代幣分類器3大功能,能夠幫助用戶快速洞察代幣的風險程度;而針對B端用戶開發的「API功能」,預計將于年底覆蓋支持9條EVM鏈的風險代幣檢測能力,目前首期僅支持ETH/BSC兩條公鏈,截至目前已檢測超353萬代幣資產,其中通過風險掃描功能,確認約有10.6萬個代幣存在風險。

TwitterSpace回看鏈接:https://twitter.com/oukeyunlian/status/1580106713134297089

Tags:區塊鏈BNBHAICHA哪個是區塊鏈最核心的內容WarlockbnbPEPE Chainbitpaychain

歐易okex官網
比特幣:比特幣、山寨幣隨著PPI數據暴跌,CPI數據將扮演什么角色?

隨著全球加密貨幣市值暴跌1.50%并達到9098億美元,空頭已經控制了整個加密貨幣市場。這次市場崩盤是由比特幣引發的,這是第一個誕生的加密貨幣//加威信JQSQ6789//它已經損失了19,20.

1900/1/1 0:00:00
DAO:今晚CPI公布會不會打破震蕩的局面?

美股幣圈都在橫盤等待cpi,無論數數據怎樣大餅以太都會借此打破橫盤大半月的僵局。目前cpi預期8.1,前值8.3.

1900/1/1 0:00:00
CRYPT:幣安支付推出“Crypto Box”限時活動,與您分享999,999 BUSD!

?? 活動期間:2022年10月14日12:00至2022年11月01日07:59幣安支付推出“CryptoBox”限時活動,符合條件的用戶每人可以獲得高達10BUSD等值代幣券.

1900/1/1 0:00:00
COS:Cosmos跨鏈功能IBC存在嚴重漏洞,安全補丁公開版本預計今日發布

10月14日消息,Cosmos聯合創始人EthanBuchman在Cosmos官方論壇中表示,在BSC漏洞利用之后,Cosmos和Osmosis核心團隊的成員一直在對IBC進行廣泛的審計.

1900/1/1 0:00:00
LOC:10月是今年加密黑客攻擊最多的月份、INTER蓄勢待發

我們尚未完成10月上半月,而這個月已經成為2022年整個2022年加密黑客攻擊最多的月份。本月到目前為止,加密黑客已經損失了超過7.18億美元.

1900/1/1 0:00:00
GAT:Gate.io 首發上線Startup項目Vemate(VMT)及免費認購規則公告(免費瓜分2,702,703 個VMT)

關于Gate.ioStartup免費空投計劃為回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.

1900/1/1 0:00:00
ads