今年以來,黑客攻擊事件頻繁,僅10月20日到10月25日就發生了5余起安全事件,這還是除去各類的釣魚網站、虛假賬戶以及項目方跑路等安全事件。那么,今年哪些板塊和生態黑客攻擊事件最為頻繁?最近加密領域又有哪些安全事件值得注意?這些安全事件折射出加密市場有哪些亟需彌補的短板?未來Web3將朝著哪些方向發展?作為用戶,我們又能做些什么來保證我們的資產安全呢?本文將就這些問題進行探討。
加密世界愁云慘淡,下半年黑客攻擊異常猖獗
今年毫無疑問是加密市場的熊市之年,不少散戶和項目方本就因幣價下跌而損失慘重,可“屋漏偏又逢陰雨”,整個加密市場又不斷遭受黑客“洗劫”。到了今年下半年,黑客攻擊更是異常猖獗,下面就將今年主要黑客攻擊事件進行匯總梳理。
被黑客攻擊的加密貨幣交易所Mango法律費用激增:金色財經報道,在Avi Eisenberg被指控攻擊基于區塊鏈的交易協議 Mango Markets 并獲得超過1億美元近一年后,該平臺的利益相關者正在努力承擔不斷增長的法律費用。根據該平臺創始人一項關鍵提案的早期投票結果,社區似乎不愿意繼續買單。Mango Labs是構建Solana區塊鏈交易所的主要公司,比計劃提前六個月花費了近 200 萬美元(其2023 年全部預算),目前資金短缺。隨著更多“監管調查”的臨近,該公司已要求Mango DAO成員批準另外 200 萬美元的法律費用,但項目內部人士要求提高公司預算管理方式的透明度。
據Realms網站稱,Mango DAO金庫中約有 8900 萬美元,但其中大部分以 MNGO 代幣計價,而這些代幣的市場流動性可能不足以快速輕松地出售它們。[2023/8/8 21:30:58]
據派盾數據統計,2022年上半年黑客攻擊總共加密市場總損失達11.3599億美元,其中大約53%的攻擊是利用合約漏洞,大約26.6%的攻擊涉及閃電貸。從黑客攻擊領域看,大約71%的攻擊發生在DeFi領域,受多方面因素影響,DeFi市場TVL從1月初的2760億美元下降到6月底的800億美元,下降了71%。
FTX CEO確認遭受黑客攻擊并與執法部門合作:金色財經報道,FTX新任首席執行官約翰-雷周六在Twitter上證實,上周五申請破產保護的FTX及其美國子公司FTX US昨晚遭到黑客攻擊,該攻擊使交易所的錢包中數億美元的加密貨幣被抽出。在通過FTX的總法律顧問Ryne Miller在Twitter上發表的聲明中,Ray表示FTX US和FTX.com \"繼續盡一切努力確保所有資產的安全,無論位于何處\"。(coindesk)[2022/11/13 12:57:17]
進入到今年三季度,黑客事件更是頻發。從攻擊類型看,加密市場總共發生98起退出騙局,共計損失5619萬美元,發生23起閃電貸攻擊,共計損失1737萬美元,發生50起其他攻擊事件,共計損失4.3億美元。從生態系統上看,BNBChain生態黑客安全事件最多,共發生105起,其次是以太坊生態,共發生25起,黑客攻擊造成生態損失最大的是Multichain,共發生6起事件,共計損失3.53億美元。從時間上看,7月發生59起安全事件,8月發生56起安全事件,9月發生53起安全事件。十月也是多事之秋,僅10月20日到10月25日就發生了5余起,這還是除去各類的釣魚網站、虛假賬戶以及項目方跑路等安全事件,以下是近期相對典型的安全事件:
Nickydooodles.eth遭黑客攻擊,17枚ETH和Doodles等NFT藏品被竊:6月28日消息,據知名NFT創建人和沉浸式Web3項目Meta bergs創作者Nickydooodles.eth在社交媒體披露,其錢包遭到黑客攻擊,損失了17枚ETH(約合21,077美元)和全部NFT藏品,包括Goblintown NFT、Doodles NFT、Sandbox Land等。據Nickydooodles.eth稱,黑客使用了釣魚攻擊手段,之后還設法控制了他的個人Twitter帳戶。[2022/6/28 1:35:30]
10月20日,以太坊鬧鐘服務漏洞被利用,導致約26萬美元被黑客盜取。
10月23日,Optimism生態投資項目Layer2DAO遭遇黑客攻擊,黑客通過獲取Layer2DAO的多重簽名權限盜走約4995萬枚L2DAOToken并將部分拋售,使得L2DAO價格一度下跌約90%。
Uniswap遭黑客攻擊損失1,278枚ETH:今天下午,Tokenlon發消息稱Uniswap上的imBTC池遭到黑客攻擊并已耗盡。PeckShield安全人員跟進研究發現,Uniswap在此次攻擊中損失了1,278個ETH,價值約22萬美元,此外還有大約18.37個 imBTC被0x3195c3和0x17559a開頭的兩個套利者以較低的價格獲取。此次事件具體攻擊方式為:黑客利用Uniswap和ERC777的兼容性問題,在進行 ETH-imBTC 交易時,利用ERC777中的多次迭代調用tokensToSend來實現重入攻擊。這次攻擊損失僅限于 Uniswap 上的ETH-imBTC 流動池,其他 DeFi 協議及 BTC 托管均未受影響。PeckShield 認為,自從年初的bZx攻擊事件開始,這又是一起黑客利用DeFi系統性風控漏洞實施的攻擊。目前Tokenlon已全面恢復 imBTC 合約轉賬及交易功能,不過在此期間建議用戶先暫停使用Uniswap的 ETH-imBTC 流動池。[2020/4/18]
10月24日,SBF發推稱一些用戶在虛假網站上注冊交易,并泄露了自己的FTXAPI密鑰。
動態 | PeckShield安全播報:EOS競猜游戲MyEosVegas正遭黑客攻擊 損失已超9,000個EOS:據PeckShield態勢感知平臺數據顯示:今晨08:09至晚間19:38之間,黑客已共計向MyEosVegas游戲合約(eosvegasjack)發起超700次攻擊,已獲利超9,000個EOS,截止目前,攻擊還在持續。此次攻擊事件為首的黑客(1supereosman)共利用了aaaaasssss22、zhumeng15132、chenpj111111 等10余個賬號實施攻擊,獲利后統一轉賬至1supereosman,最后將獲利7,530個EOS轉至Binance交易所賬號(binancecleos)。此外還有10余個賬號參與攻擊獲利2,000余EOS,暫未明確資金最終流向。根據當前EOS市場價格37元估算,此次攻擊給MyEosVegas游戲帶來損失已超33萬元。PeckShield安全人員分析發現,此次MyEosVegas游戲被攻擊,黑客采用是的類似隨機數缺陷的合約參數處理漏洞。接連發生的EOS DApp安全攻擊事件,持續給EOS DApp生態安全敲響警鐘,EOS競猜類游戲機制還存在較大設計缺陷[2018/11/10]
10月24日,QuickSwap因閃電貸攻擊損失22萬美元。
10月25日,Web3音樂項目Melody合約受到黑客攻擊,代幣SNS被盜。
Web3安全該如何保障,聽一聽行業大V的建議
在Web2向Web3的發展過程中,區塊鏈帶來了諸多好處,比如公開透明、自己掌控資產和數據等;但是,合約代碼開源、鏈上數據不可篡改以及權力下放等似乎又給了黑客可乘之機。那么該如何看待區塊鏈技術這把雙刃劍?未來Web3的安全問題又該如何解決呢?筆者整理了部分行業KOL的觀點,供讀者參考。
Polygon首席安全官MuditGupta認為,完美的代碼和密碼學是不夠的,希望Web3公司聘請傳統安全專家來結束容易預防的黑客攻擊。最近發生的幾起加密攻擊最終是Web2安全漏洞的結果,例如私鑰管理和網絡釣魚攻擊以獲取登錄信息,而不是設計不良的區塊鏈技術;在不采用標準Web2網絡安全實踐的情況下獲得經過認證的智能合約安全審計并不足以保護協議和用戶的錢包不被攻擊。我一直建議所有大公司至少聘請一位真正重視密鑰管理的專門安全人員。
Beosin安全團隊子玉表示,一定要對運維等內部人員做好安全培訓,因為人其實是安全環節里最充滿可變性和不穩定性的一個環節;前陣子有一個跨鏈橋遭受了攻擊,當時大家都以為是私鑰被盜/泄露了,結果后來發現是社工釣魚。團隊中的一個工程師想找工作,隨后收到了一個高薪offer,當他打開offer文檔時,電腦就被入侵了,導致了數據泄露。
BAICapital合伙人Will表示:這個行業強調codeislaw,立法和執法都是沒有的。之前的Web3用戶以程序員為主,大家需要對自己完全負責。現在用戶圈層逐漸擴大到了小白,這類用戶是帶著傳統移動端時代對于應用的盲性/體驗上的慣性來到Web3的。所以我覺得安全問題更應該是面向C端解決的,在開發者端、網站端和項目端也需要有安全對策。
安全公司TrailofBits前顧問、數字支付公司安全工程師BobbyTonic認為,對于Web3公司來說,最重要的是了解系統技術的復雜性以及確保其應用程序設計的正確性。對于Web3組織而言,不能保證代碼的復雜性和正確性會產生災難性的后果,因為攻擊者可以隨時查看其系統和應用程序的源代碼。因此,Web3將他們開發的應用程序提交給第三方安全研究公司進行審查已經成為了一種共識:即向用戶承諾該應用已經通過了安全測試,可以放心使用。
給用戶的一些小建議
在Web3世界,權力下放到用戶手中,要想在Web3世界中暢游,安全意識是必不可少的。筆者在此給出一些安全指南,希望可以給剛進入行業的小白一些幫助。
在錢包的使用方面:1、郵箱密碼要至少12位以上,并且開啟二步驗證;2、不要告訴任何人你的任何數字貨幣信息;3、使用硬件錢包管理賬戶;4、注意使用chrome插件;5、使用VPN保護你的連接免受窺探者的侵害;6、使用2FA;7、把日常用錢包和主要錢包分開;8、經常換錢包;9、結合使用冷熱錢包。
另外,用戶也要持續保持防范意識,謹防假網站釣魚、電信詐騙、跑路風險等詐騙類型。對所參與項目的最新進展可以多加關注,日常刷刷官方通告渠道或社區,一旦有技術升級、產品更新、服務暫停、漏洞預警或事故披露,也能第一時間獲悉,并行動起來保護資產。
作者:比推AsherZhang
原文標題:《加密合規:TornadoCash制裁后時代|ZONFFResearch》原文作者:Sullivan,ZonffPartners投資總監2022年8月8日.
1900/1/1 0:00:00消費者的行為可以在一夜之間或幾十年內發生轉變。幾乎在一夜之間,這種大流行病將全球對遠程工作的看法從"一個不錯的選擇"轉變為正常商業運作的需要.
1900/1/1 0:00:00原標題:《與EA三十年合作分手,FIFA找到了NFT》2022年卡塔爾世界杯將在11月20日正式開幕,隨著距離世界杯的時間越來越近,與之相關的加密板塊也由原來的不溫不火變得燥熱起來了.
1900/1/1 0:00:00原文標題:《CracksAtKraken:Crypto''sNearEmptyC-Suite》原文作者:StevenEhrlich原文編譯:郭倩雯.
1900/1/1 0:00:00原文標題:《Web3徹底顛覆品牌行業的底層敘事》撰文:VIONWILLIAMS 序言 盡管Web3+品牌是一個被普遍看好的方向,但目前缺乏一個從底層邏輯上完全不同于Web2的敘事邏輯.
1900/1/1 0:00:00“區塊鏈互聯網”認為,未來的建設者將優先考慮專業化和主權。這一對加密貨幣未來的獨特看法,正獲得越來越多的動力和支持.
1900/1/1 0:00:00