撰文:雪小顽
来源:?极客公园
Web3 这一个月来风波不断。
8 月初,明星公链 Solana 发生黑客盗币事件,超过 9000 个钱包地址被袭击,损失约 400 多万美元,在用户中引发了一波恐慌情绪,也让 Solana 陷入信用危机。
几天后,加密货币混币器 Tornado Cash 被美国财政部的下属机构——海外资产控制办公室(OFAC)列入制裁名单,其中包括 40 多个与 Tornado Cash 协议相关的以太坊地址,涉及价值超 4 亿美元的资产被冻结。
定位于隐私服务的混币器,在加密社区的名声一直备受争议,其中的「头部」Tornado Cash 更是有「脏币销金窟」之称。
Tornado Cash 被美国财政部制裁后,其代币价格大幅下降。|来源:business2community.com
这次制裁意味着美国的社区用户,无论个人还是实体,都不得再与 Tornado Cash 平台以及和它绑定的钱包地址进行经济交易。按照过往的案例,如果违规,可能面临高达 30 多万美元的罚款和最高 30 年的监禁。
数据:2022年上半年比特币百万富翁数量减少近70%:6月29日消息,Finbold获得的数据显示,截至2022年6月29日,比特币百万富翁的数量约为30626人。此外,根据BitInfoCharts.com的统计,比特币余额超过100万美元的地址有26284个。
与此同时,4342个地址的余额约为1000万美元或更多。根据Wayback Machine的数据,今年1月5日有99092个余额价值超过100万美元的比特币地址,这意味着此类地址数量比今年年初减少了69.09%。(Finbold)[2022/6/29 1:39:38]
紧接着,外媒曝出 29 岁的 Tornado Cash 开发者在荷兰阿姆斯特丹被逮捕,当地执法部门称 Tornado Cash 涉嫌隐瞒非法资金流动和协助,从今年 6 月份开始一直在对其进行调查。
Tornado Cash 被制裁,在加密行业引发「站队」。有人公开表达不满,认为美国财政部监管越界,侵犯了美国公民的隐私权和自由;也有人带头响应监管,稳定币 USDC 的发行方 Circle 迅速冻结了 Tornado Cash 相关钱包地址上的资产。
Web3 正面临着崛起以来最严峻的安全考验与审查压力。2022 年上半年,Web3 领域的资产损失约为 20 亿美元,超过了去年全年被黑客攻击的总损失数额。随之而来的连锁反应是,监管执法之手越伸越长。
Currency.com2021年上半年客户增长130%:9月28日消息,欧洲加密货币平台Currency.com报告称,截至2021年7月1日的前六个月,全球客户数量和交易活动强劲增长。与2020年下半年相比,在加密货币平台Currency.com上开设账户的新客户数量在2021年上半年增加了130%。
同期,加密平台报告交易活动激增,总交易量增长了197%。今年上半年,客户在平台上的交易活动也有所增加。客户执行的交易总数比2020年下半年增加了968%,交易者对狗狗币的兴趣显着。2021年上半年平台上交易量最大的加密货币包括比特币、以太坊、XRP、莱特币和流行的模因币。(investing)[2021/9/28 17:12:21]
人们的惯常认知中,强调去中心化逻辑的 Web3 本应拥有更强的安全性和私密性,如今却被黑客和监管双双盯上。加密世界正经历着对其未来命运影响深远的动荡时刻。
距离 Solana 发生黑客盗币时间已经过去半个多月,官方依然没有给出最终的调查结果。
区块链安全公司慢雾科技团队分析发现,根据 Solana foundation 提供的数据显示,近 60% 被盗用户使用的是 Phantom 钱包,此外有 30% 左右地址使用了 Slope 钱包,并且 iOS 和 Android 版本的应用都有相应的受害者。
动态 | 2019年半年报中提及区块链的52家区块链概念股营收相比去年同期增12.8%:数据显示:2019年半年报中提及区块链的52家区块链概念股营收相比去年同期增12.8%
近日,118家区块链概念股公司发布年中财报,其中有52家提及区块链。52家区块链概念股总体市值6443.53亿元,其中苏宁易购以835.06亿元位居榜首。在52家区块链概念股中,流通市值低于100亿元的有34家,占比65.38%。100-200亿元的有10家,200-500亿元有5家,500亿元以上的有3家。总的来看,在2019年半年报中提及区块链的52家区块链概念股营收相比去年同期增12.8%,净利润降低9.91%。(巴比特)[2019/9/1]
事发 3 天后,Slope 曾在 twitter 上发布了一个官方钱包地址,并公开表示,一直在与执法部门和情报公司合作追踪被盗资产,如果黑客愿意归还,可以向其支付 10% 的赏金。「收回这些资金后,我们就不会再继续追究,也不会采取任何法律行动。」
Slope 团队给黑客留了 48 小时的时间来归还资产,但这个赏金要约并未得到黑客的回应。
Slope 钱包官方向黑客发出赏金要约。|来源:twitter
动态 | 上半年84只区块链概念股平均涨幅逾30% 5家涨超100%:据证券日报7月4日消息,东方财富Choice统计的数据显示,截至今年上半年末,84只区块链概念股总市值为1.14万亿元,上半年有70只个股上涨,平均每只个股涨幅超30%。其中,今年上半年5只个股涨幅超过一倍,科蓝软件(300663.SZ)居首,累计涨超200%,甚至超过比特币的同期涨幅。经梳理发现,上述5家涨幅居前的上市公司主要在金融、通信、交通等领域布局区块链技术。不过,需要注意的是,区块链概念股的过快上涨也引起监管关注。算力智库认为,大多数上市公司的区块链业务处于探索研发阶段,并无实质性业务进展。对此,某业内资深人士对记者表示,上市公司在区块链技术与实体产业应用融合中发挥着重要作用,上市公司应厘清业务场景与区块链技术相融合核心价值逻辑,促进区块链技术在优势业务场景落地,真正使区块链赋能实体经济。[2019/7/4]
硬件钱包 Keystone 创始人刘力心还记得,事发当天,他被拉进了一个有 100 多位白帽黑客的「war room」,安全专家们讨论了事件可能的经过。
「最初的猜测是某个 NFT 项目被集体攻击。」刘力心回忆,从被黑的钱包地址数量来看,八九千个的量级通常是某个 NFT 项目发行的常见数量,最初的猜测是某个 NFT 项目方作恶,例如进行了恶意授权。
动态 | 上半年国内金融科技融资占全球83.3% 区块链融资最多:据证券日报报道,零壹数据统计得知,2018年上半年,全球至少发生569笔金融科技投融资事件,涉及资金总额约2760亿元,同比增长346.3%,环比增长208.1%,总金额几乎为2017年全年的2倍。国内获得融资总额约为2300亿元,占全球的83.3%。其中,区块链领域获得融资金额最多,共获得164亿元融资。[2018/7/20]
但这个猜测很快被否定。安全技术人员发现,有几笔被盗交易的发生是由于用私钥做签名,而不是错误授权导致资产转移。接下来,关于事故原因的猜测还有供应链攻击、黑客撞取随机数、采取不恰当的签名方式等等,随后也都被一一推翻。
当天下午,一位海外研究人员发现,Solana 链上的 Slope 钱包私有化部署了第三方应用监控服务 Sentry,会收集用户的私钥或助记词等信息,然后上传到中心化的服务器。
Sentry 是一个应用监测平台,可以实时监控应用在运行状态时出现的异常或错误日志信息。如果 Sentry 发现了系统 bug,会通过邮件等方式通知应用方的技术人员。
在加密世界,Sentry 服务被广泛应用,Slope 钱包就是其一。但使用 Sentry 时需要注意一个问题,如果出现了配置错误,Sentry 可能会收集到额外的数据,如私钥或助记词等私密信息。
安全专家们推测,在 Solana 盗币事件中,用户创建钱包时,Slope 将助记词和私钥等敏感数据错误发送给了 Sentry。这给黑客提供了可乘之机,黑客窃取了存储在 Sentry 中心化服务器上的私钥。
经过调查后,Slope 发布声明称,虽然上述安全漏洞确实存在,但被攻击的 Slope 地址的数量只是这次被盗钱包地址总数的一小部分。目前也暂无证据表明 Sentry 官方遭到了入侵和攻击,因为 Slope 钱包使用的 Sentry 服务部署在私有服务器。
此外,具体数据来看,服务器上的私钥和助记词派生出来的地址中,与受害者地址有交集的,只有 5 个以太坊地址和 1388 个 Solana 地址。也就是说,Slope 此次被黑的超过 2700 个钱包中只有一半存在 Sentry 漏洞,这无法解释其余用户钱包是如何被黑的。
就已经掌握的调查结果来看,已知的攻击者地址有 4 个,被盗资产在 Solana 链上尚未出现进一步转移,但在 ETH 链上,一些资金已经被转移到疑似 OTC 个人钱包地址,剩余部分被兑换为 ETH 后,转移到了 Tornado Cash。
在这次 Solana 被袭同期,跨链桥 Nomad Bridge 也受到攻击。值得注意的是,参与攻击 Nomad Bridge 的黑客有上百位,甚至包含了「白帽子」,损失近 2 亿美元。
慢雾科技首席信息安全官(CISO)张连锋告诉极客公园,目前对 Web3 的攻击类型主要有两种:
一是链上攻击,例如假充值、重入攻击、重放攻击、重排攻击等。这类攻击往往更加隐秘,需要通过专业的代码安全审计、完备的链上分析监测预警等方法来识别。
二是链下攻击,如高级长期威胁(APT)、网络钓鱼、供应链攻击等。这类都是传统 Web2 常见的安全问题,但是目前却对 Web3 生态安全产生了很大影响。
今年 4 月,周杰伦丢失价值超 300 万人民币的无聊猿编号 3738 的 NFT,就是因为无意中点击了钓鱼链接。
周杰伦被盗的无聊猿 NFT。|图片源自网络
Web3 自带金融属性,金钱的诱惑下,更容易被黑客盯上。随着 Web3 玩家的体量不断扩大,加密货币犯罪也呈现快速上涨趋势。
根据慢雾区块链被黑事件档案库(SlowMist Hacked)统计,2022 年上半年,Web3 领域的资产损失接近 20 亿美元,已经超过 2021 年全年因黑客攻击漏洞造成的总损失。
2022 年因此被称作「Web3 兴起以来损失最惨重的一年」。其中,以去中心化程度低、流动资金量大的跨链桥受损最为严重。
截至 6 月 30 日,今年共发生 7 起跨链桥安全事件,损失超过 10 亿美元,占上半年总资产损失的半数以上。在上半年损失金额达到上亿美元的 4 起事件中,有 3 起波及跨链桥。
比较有代表性的是区块链游戏 Axie Infinity 的侧链 Ronin Network 被袭,造成 6.24 亿美元的损失,以及 Solana 的跨链桥项目 Wormhole 被攻击,损失 3.26 亿美元。
除了跨链桥,区块链钱包也是安全事件发生的「重灾区」。
钱包是用户管理加密资产的工具,也是用户进入各类 Web3 应用的账户入口,加密世界的交互和交易通过钱包来进行。
钱包包含着基于公钥和私钥生成的地址,表面上看是一组有字母、数字构成的符号串。其中的私钥可以对照理解为 Web2 支付工具的密码,掌握这个「密码」的人才是加密资产的真正主人。
所以,私钥一般是黑客攻击窃取的关键信息。通常来说,大部分钱包都会与网络连接,私钥泄露的风险系数较高。
加密货币被黑客盗取后,主要流向就是场景,以混币器为代表性「帮凶」。
从隐私保护出发的混币器,本来的设想是消除用户的链上交易痕迹,却被黑客用作转移被盗资产后的工具。不久前被制裁的 Tornado Cash 自 2019 年创建以来,已经「清洗」了价值超过 70 亿美元的虚拟货币。
今年 5 月份的时候,美国曾经制裁了中心化混币平台 Blender,理由是 Blender 涉嫌帮助朝鲜知名黑客组织 Lazarus Group 清洗从 Axie Infinity 盗取的部分资产。
Lazarus Group 是一个来自朝鲜的网络黑客集团,在 2021 年共窃取了价值超 4 亿美元的加密货币。
以美国政府为代表的监管势力盯上混币器,黑客们的如意算盘未来或许打得不那么响。制裁犯罪固然重要,但另一个关键的问题是,加密世界亟需更优化的安全方案,在财产、隐私保护与犯罪监管之间寻求平衡。
无论对浅试 Web3 的个体玩家还是 All in 的建设者来说,在通向一个美丽新世界之前,先要走过一片遍布安全陷阱的暗黑森林。
极客公园
个人专栏
阅读更多
金色早8点
Bress
链捕手
财经法学
PANews
成都链安
Odaily星球日报
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。