2022年是Web3崛起以來,損失最慘重的一年。
Web3這一個月來風波不斷。
8月初,明星公鏈Solana發生黑客盜幣事件,超過9000個錢包地址被襲擊,損失約400多萬美元,在用戶中引發了一波恐慌情緒,也讓Solana陷入信用危機。
幾天后,加密貨幣混幣器TornadoCash被美國財政部的下屬機構——海外資產控制辦公室列入制裁名單,其中包括40多個與TornadoCash協議相關的以太坊地址,涉及價值超4億美元的資產被凍結。
定位于隱私服務的混幣器,在加密社區的名聲一直備受爭議,其中的「頭部」TornadoCash更是有「臟幣銷金窟」之稱。
TornadoCash被美國財政部制裁后,其代幣價格大幅下降。
這次制裁意味著美國的社區用戶,無論個人還是實體,都不得再與TornadoCash平臺以及和它綁定的錢包地址進行經濟交易。按照過往的案例,如果違規,可能面臨高達30多萬美元的罰款和最高30年的監禁。
Linea公共測試網忠誠度計劃Linea Voyage第7周活動將延長2天至6月21日:6月20日消息,ConsenSys的Layer2解決方案Linea表示將其公共測試網忠誠度計劃Linea Voyage第7周的社交和娛樂周活動持續時間延長2天,用戶可以在美國東部標準時間6月21日23:59之前執行任務。[2023/6/20 21:48:35]
緊接著,外媒曝出29歲的TornadoCash開發者在荷蘭阿姆斯特丹被逮捕,當地執法部門稱TornadoCash涉嫌隱瞞非法資金流動和協助洗錢,從今年6月份開始一直在對其進行調查。
TornadoCash被制裁,在加密行業引發「站隊」。有人公開表達不滿,認為美國財政部監管越界,侵犯了美國公民的隱私權和自由;也有人帶頭響應監管,穩定幣USDC的發行方Circle迅速凍結了TornadoCash相關錢包地址上的資產。
Web3正面臨著崛起以來最嚴峻的安全考驗與審查壓力。2022年上半年,Web3領域的資產損失約為20億美元,超過了去年全年被黑客攻擊的總損失數額。隨之而來的連鎖反應是,監管執法之手越伸越長。
人們的慣常認知中,強調去中心化邏輯的Web3本應擁有更強的安全性和私密性,如今卻被黑客和監管雙雙盯上。加密世界正經歷著對其未來命運影響深遠的動蕩時刻。
Mongraal或將接受1380 ETH的“吉米鑰匙”出價,比原報價低三分之一:金色財經報道,知名電競選手及主播@Mongraal在社交媒體要求United Planetary DAO將Dookey Dash游戲“吉米鑰匙”的出價(690 ETH)提高一倍,即1380 ETH,約合220萬美元,并稱將接受這一報價。不過,1380 ETH的出價比@Mongraal在OpenSea的報價2,222 ETH低了約三分之一。另據OpenSea數據顯示,United Planetary DAO當前690 ETH的出價將會在美東時間2月26日下午3:44到期,也是迄今對“吉米鑰匙”的唯一正式報價。[2023/2/26 12:29:53]
01黑客打劫Solana:一場懸而未決的「公案」
距離Solana發生黑客盜幣時間已經過去半個多月,官方依然沒有給出最終的調查結果。
區塊鏈安全公司慢霧科技團隊分析發現,根據Solanafoundation提供的數據顯示,近60%被盜用戶使用的是Phantom錢包,此外有30%左右地址使用了Slope錢包,并且iOS和Android版本的應用都有相應的受害者。
事發3天后,Slope曾在twitter上發布了一個官方錢包地址,并公開表示,一直在與執法部門和情報公司合作追蹤被盜資產,如果黑客愿意歸還,可以向其支付10%的賞金。「收回這些資金后,我們就不會再繼續追究,也不會采取任何法律行動。」
上海寶山發布工業元宇宙產業發展三年行動計劃,將打造示范工廠:金色財經消息,9月2日,以“數實融合,產業元生”為主題的第九屆中國產業互聯網高峰論壇暨2022世界人工智能大會分論壇在上海寶山區舉行,《寶山區工業元宇宙產業發展三年行動計劃》同步發布,明確到2025年,寶山區工業元宇宙相關產業規模突破100億元。同時,還要實現工業元宇宙與主導產業融合發展,助力寶山區新材料、生物醫藥、機器人及智能制造、新一代信息技術產業規模分別突破1500億元、200億元、1000億元和300億元。(上觀新聞)[2022/9/2 13:04:28]
Slope團隊給黑客留了48小時的時間來歸還資產,但這個賞金要約并未得到黑客的回應。
Slope錢包官方向黑客發出賞金要約
硬件錢包Keystone創始人劉力心還記得,事發當天,他被拉進了一個有100多位白帽黑客的「warroom」,安全專家們討論了事件可能的經過。
「最初的猜測是某個NFT項目被集體攻擊。」劉力心回憶,從被黑的錢包地址數量來看,八九千個的量級通常是某個NFT項目發行的常見數量,最初的猜測是某個NFT項目方作惡,例如進行了惡意授權。
巴西金融科技公司BEE4將推出首個本地Token化股票市場:金色財經消息,BEE4首席執行官Patricia Stille周二向媒體表示,一家位于巴西的金融科技公司BEE4計劃在未來幾周內推出首個Token化股票市場。
該公司計劃復制證券交易所的結構,將允許年收入在180萬美元至5500萬美元之間的巴西公司進行高達1900萬美元的公開募股。此外,將允許公司在基于以太坊區塊鏈的Quorum網絡上對其公開發行進行Token化。(Coindesk)[2022/7/21 2:27:46]
但這個猜測很快被否定。安全技術人員發現,有幾筆被盜交易的發生是由于用私鑰做簽名,而不是錯誤授權導致資產轉移。接下來,關于事故原因的猜測還有供應鏈攻擊、黑客撞取隨機數、采取不恰當的簽名方式等等,隨后也都被一一推翻。
當天下午,一位海外研究人員發現,Solana鏈上的Slope錢包私有化部署了第三方應用監控服務Sentry,會收集用戶的私鑰或助記詞等信息,然后上傳到中心化的服務器。
Sentry是一個應用監測平臺,可以實時監控應用在運行狀態時出現的異常或錯誤日志信息。如果Sentry發現了系統bug,會通過郵件等方式通知應用方的技術人員。
印度中央銀行將采用“分級方法”推出數字貨幣:金色財經報道,印度中央銀行印度儲備銀行 (RBI) 已提議采用“分級方法”來推出該國的中央銀行數字貨幣 (CBDC)。印度儲備銀行還表示,它正在探索在印度引入數字盧比的利弊。印度儲備銀行周五發布了 2021-22 年度報告。印度央行數字貨幣(CBDC)是報告中討論的眾多主題之一,報告詳細詳細說明:CBDC 的設計需要符合貨幣政策、金融穩定性以及貨幣和支付系統的高效運行。儲備銀行建議采用分級方法引入 CBDC,逐步通過概念證明、試點和啟動階段。
印度財政部長 Nirmala Sitharaman 在提交 2022-23 年聯邦預算時宣布了央行計劃在 2 月推出數字貨幣。與此同時,印度儲備銀行一直保持反加密立場。盡管如此,印度政府尚未決定該國的加密貨幣政策,但目前對加密貨幣收入征收 30% 的稅。此外,1% 的源頭減稅(TDS) 即將在印度生效。(news.bitcoin)[2022/5/29 3:48:47]
在加密世界,Sentry服務被廣泛應用,Slope錢包就是其一。但使用Sentry時需要注意一個問題,如果出現了配置錯誤,Sentry可能會收集到額外的數據,如私鑰或助記詞等私密信息。
安全專家們推測,在Solana盜幣事件中,用戶創建錢包時,Slope將助記詞和私鑰等敏感數據錯誤發送給了Sentry。這給黑客提供了可乘之機,黑客竊取了存儲在Sentry中心化服務器上的私鑰。
經過調查后,Slope發布聲明稱,雖然上述安全漏洞確實存在,但被攻擊的Slope地址的數量只是這次被盜錢包地址總數的一小部分。目前也暫無證據表明Sentry官方遭到了入侵和攻擊,因為Slope錢包使用的Sentry服務部署在私有服務器。
此外,具體數據來看,服務器上的私鑰和助記詞派生出來的地址中,與受害者地址有交集的,只有5個以太坊地址和1388個Solana地址。也就是說,Slope此次被黑的超過2700個錢包中只有一半存在Sentry漏洞,這無法解釋其余用戶錢包是如何被黑的。
就已經掌握的調查結果來看,已知的攻擊者地址有4個,被盜資產在Solana鏈上尚未出現進一步轉移,但在ETH鏈上,一些資金已經被轉移到疑似OTC個人錢包地址,剩余部分被兌換為ETH后,轉移到了TornadoCash。
02Web3「危機四伏」
在這次Solana被襲同期,跨鏈橋NomadBridge也受到攻擊。值得注意的是,參與攻擊NomadBridge的黑客有上百位,甚至包含了「白帽子」,損失近2億美元。
慢霧科技首席信息安全官張連鋒告訴極客公園,目前對Web3的攻擊類型主要有兩種:
一是鏈上攻擊,例如假充值、重入攻擊、重放攻擊、重排攻擊等。這類攻擊往往更加隱秘,需要通過專業的代碼安全審計、完備的鏈上分析監測預警等方法來識別。
二是鏈下攻擊,如高級長期威脅、網絡釣魚、供應鏈攻擊等。這類都是傳統Web2常見的安全問題,但是目前卻對Web3生態安全產生了很大影響。
今年4月,周杰倫丟失價值超300萬人民幣的無聊猿編號3738的NFT,就是因為無意中點擊了釣魚鏈接。
周杰倫被盜的無聊猿NFT
Web3自帶金融屬性,金錢的誘惑下,更容易被黑客盯上。隨著Web3玩家的體量不斷擴大,加密貨幣犯罪也呈現快速上漲趨勢。
根據慢霧區塊鏈被黑事件檔案庫統計,2022年上半年,Web3領域的資產損失接近20億美元,已經超過2021年全年因黑客攻擊漏洞造成的總損失。
2022年因此被稱作「Web3興起以來損失最慘重的一年」。其中,以去中心化程度低、流動資金量大的跨鏈橋受損最為嚴重。
截至6月30日,今年共發生7起跨鏈橋安全事件,損失超過10億美元,占上半年總資產損失的半數以上。在上半年損失金額達到上億美元的4起事件中,有3起波及跨鏈橋。
比較有代表性的是區塊鏈游戲AxieInfinity的側鏈RoninNetwork被襲,造成6.24億美元的損失,以及Solana的跨鏈橋項目Wormhole被攻擊,損失3.26億美元。
除了跨鏈橋,區塊鏈錢包也是安全事件發生的「重災區」。
錢包是用戶管理加密資產的工具,也是用戶進入各類Web3應用的賬戶入口,加密世界的交互和交易通過錢包來進行。
錢包包含著基于公鑰和私鑰生成的地址,表面上看是一組有字母、數字構成的符號串。其中的私鑰可以對照理解為Web2支付工具的密碼,掌握這個「密碼」的人才是加密資產的真正主人。
所以,私鑰一般是黑客攻擊竊取的關鍵信息。通常來說,大部分錢包都會與網絡連接,私鑰泄露的風險系數較高。
加密貨幣被黑客盜取后,主要流向就是洗錢場景,以混幣器為代表性「幫兇」。
從隱私保護出發的混幣器,本來的設想是消除用戶的鏈上交易痕跡,卻被黑客用作轉移被盜資產后的洗錢工具。不久前被制裁的TornadoCash自2019年創建以來,已經「清洗」了價值超過70億美元的虛擬貨幣。
今年5月份的時候,美國曾經制裁了中心化混幣平臺Blender,理由是Blender涉嫌幫助朝鮮知名黑客組織LazarusGroup清洗從AxieInfinity盜取的部分資產。
LazarusGroup是一個來自朝鮮的網絡黑客集團,在2021年共竊取了價值超4億美元的加密貨幣
以美國政府為代表的監管勢力盯上混幣器,黑客們的如意算盤未來或許打得不那么響。制裁犯罪固然重要,但另一個關鍵的問題是,加密世界亟需更優化的安全方案,在財產、隱私保護與犯罪監管之間尋求平衡。
無論對淺試Web3的個體玩家還是Allin的建設者來說,在通向一個美麗新世界之前,先要走過一片遍布安全陷阱的暗黑森林。
來源:金色財經
盡管最近下跌,以太坊經典價格不斷閃爍買入信號,因此巨大的購買壓力推高了價格。有趣的是,雖然假設回調,但價格似乎準備削減看跌設置.
1900/1/1 0:00:008月22日晚,觀火瑯琊榜第五季第四期播出,閣主史興國先生在本期的對談嘉賓是易寶支付聯合創始人余晨先生.
1900/1/1 0:00:00在本文中,我將向您介紹ARABLEPROTOCOL,它是世界上第一個合成單產農業協議。我將花時間介紹這個令人興奮的項目,并簡化和解釋該項目的工作原理以及該項目必須提供的令人驚嘆的服務.
1900/1/1 0:00:00親愛的全球用戶: 全球首個以古典音樂領域為依托所創建的NFT平臺KOLO.Market,基于生態未來發展的需要,經過社區討論考量,決定從Polygon整體遷移至ETH主鏈.
1900/1/1 0:00:00前言 3月12日,世界級說唱天王Akon轉發的一條推特引起了千萬粉絲及加密愛好者的關注和期待。該推文顯示,Akon將聯合ElementBlack發行音樂盲盒NFT.
1900/1/1 0:00:00在這個熊市期間,一些山寨幣具有彈性,以太坊就是其中之一。以太坊抵制比特幣,并試圖繼續超越加密貨幣之王.
1900/1/1 0:00:00