区块见闻 区块见闻
Ctrl+D收藏区块见闻

金色观察|Uniswap V3的“漏洞”风云

作者:

时间:

熊市的盛夏,黑客攻击频出,让已经对价格无感的持币者们还要为安全担心。

北京时间7月12日上午9时,币安创始人赵长鹏发布推文:

“我们的威胁情报在 ETH 区块链上检测到 Uniswap V3 存在潜在漏洞。到目前为止,黑客已经窃取了 4295 ETH,他们正在通过 Tornado Cash 进行。有人可以通知Uniswap

吗?我们可以提供帮助。谢谢。”

并附上了黑客地址:

该地址已经被Etherscan标注为黑客地址。

很快,赵长鹏又发文并附上与Uniswap沟通的截图表示:

“与Uniswap团队联系后,协议是安全的。该攻击看起来像是来自网络钓鱼攻击。团队反应迅速。都很好。对于警报很抱歉。要学会保护自己免受网络钓鱼。不要点击链接。”

Uniswap创始人Haydenz?Adams也回复赵长鹏的最新推文:

金色晚报 | 12月12日晚间重要动态一览:12:00-21:00关键词:BitGo、ZCash、比特币开发人员、Origin Protocol、BitMEX

1. 机构托管平台BitGo向加密贷款平台SBI VC Trade转移近2.5亿枚XRP。

2. 报告:自2017年以来,比特币开发人员增长了70%。

3. Origin Protocol公布“OUSD闪电贷攻击”详细补偿计划。

4. BitMEX已优化比特币协议集成,即将支持原生隔离见证地址。

5. 存储在屏蔽池中的ZCash达到70万枚,创历史新高。

6. 韦氏评级:每次加密泡沫都会带来新人,这是加密行业的发展之道。

7. Aave V2治理提案进入投票程序。

8. 数据:过去几个月中,中心化交易所几乎所有的以太坊交易费都用于取款。[2020/12/13 15:01:42]

“这是一种网络钓鱼攻击,导致一些 LP NFT 被从批准恶意交易的个人手中夺取,与协议完全无关,这是一个很好的提醒,以保护自己免受网络钓鱼,不要点击恶意链接。”

这看似是一次公开的简单的沟通,但已经引起外界的情绪。

有twitter用户评价赵长鹏:

“他创造了 FUD(恐惧、不确定、怀疑),他是第一个发现它的人……(这很奇怪),在不确定的情况下,他在 Uniswap 的用户中引起恐慌。这一切都是他精心策划的,他目标是在 Uniswap 用户中产生不信任。并且认为币安是非常安全的,用户都应该迁移到那里,这个人非常恶意。”

也有twitter用户表示:

“Uniswap似乎隐藏了一些东西。”

更多的用户讨论的核心是:

“赵长鹏发推文而不是私下询问团队,即使是一个漏洞,但实际与合约没有关系,币安团队没有去仔细核查这个漏洞,而直接发了推文,这让实际情况变得很糟糕。”

但似乎有用户支持赵长鹏的操作,该用户表示:

“当这样的事情发生的时候,你们也是希望事实透明的人,任何人都可以看到赵长鹏发布的链上漏洞被利用的消息,这样就会很快被传到团队。”

此用户似乎将赵长鹏发布推文公布消息的行为类比为链上透明可见的交易。除了讨论操作之外,还有用户对以太坊的编程语言有所表态。

该用户认为:

“所有这些黑客行为,都在使用这种不安全的语言。最好使用另一种程序语言,否则这种情况会一直发生。”

很明显的,该用户认为以太坊上的编程语言导致了合约编辑过程中的漏洞较多,而这促成了黑客攻击。

但仍有其他用户表达了相反意见。其表示:

“这是一次网络钓鱼攻击。也就代表代码没有错。除非比特币可以阻止人们成为社会工程的牺牲品,否则你不会成为这里的聪明人(即技术不能改正人的错误)。”

经由这一次小的黑客攻击引发的讨论,角度很全面。

首先是行业内普遍认为,安全漏洞会是对合约、协议团队的打击。作为行业标杆的Uniswap其合约一直备受推崇,而此次非合约漏洞的乌龙,会是一次利空,让有用户不信任该团队和产品。

因此,有用户会质疑赵长鹏,笔者记得几年前,在Uniswap初出茅庐的时候,也和币安发生过因合约问题导致的资产责任争论。

其次,经核查后,此次黑客攻击是因为钓鱼攻击,这是利用用户行为的漏洞,而不是因为黑客发现了合约代码编辑上的漏洞以及链上漏洞导致的。

这也算是社会化攻击中的一种,因为用户未能识别危险的链接、网站、工具等,被盗取了私钥,或截取了代币授权,而转移了用户资产。

严格来说,这与平台无关,并且,在完全开放的链上,这样的黑客攻击方式,无法寻觅,用户只能自认倒霉。

最后,当用户提及以太坊编程语言漏洞较多的信息,已经把安全防护讨论深入到了基础设施的部分,在很多新链上确实也因为应用新语言提升了安全级别,但对于安全事件来说,技术不能修正人的错误。

公链上是原始森林,对于钱包团队以及defi等团队无法提前识别是否有安全问题,只能提示会有安全风险,同时,也无法控制用户行为,只要私钥等暴露在外部环境里,就有可能被盗取,且没有第三方可以去负责追回损失。

这也是用户无法左右的地方,在原始森林里只能自己保护自己。

标签:比特币BTCMETATRA比特币坑了多少中国人LFBTC币METAGINeternalcontract

币安app官网下载热门资讯
金色早报 | 二季度DeFi市值下跌74.6%

▌ 数据:二季度DeFi市值下跌74.6% 金色财经报道,据Coingecko本周发布报告披露数据显示,由于Terra及其Stablecoin TerraUSD Classic(USTC)在5月崩盘,DeFi市场在今年二季度的市值从1.42亿美元下降至3600万美元,下跌74.6%,但用户活动仍然保持相对弹性。

NFT行业新范式:NFT营销或成品牌营销新利器

NFT为什么要和实体商品结合? 当NFT形成一种热潮时,我们不禁会思考,今后的世界是完全数字化的世界吗?这种猜想在早期似乎会成为现实。 人们热衷于购买虚拟世界中的虚拟资产,包括虚拟土地、虚拟服装等等,并且随着元宇宙、Web3领域的兴起,探索虚拟的数字化世界势在必行。

美国通胀数据将导致“混乱” 本周关于比特币需要了解的5件事

文:WILLIAM SUBERG 在比特币价格挣扎之际,CPI等数据的有力结合让这一周出现了问题。 比特币在新的宏观动荡之前,以接近2万美元的不稳定的位置开始了新的一周。 这一最大的加密货币在经历了自3月以来最大的一周涨幅后,正艰难地守住最近恢复的水平。 主要阻力区仍在上方,并且通胀数据将于本周稍晚公布,未来几天可能令所有风险资产不安。

Web3 将与 Web2 并行发展 而不是淘汰 Web2

当我们谈论 Web3 时,大多数人会立刻想到 NFT、加密资产或 DeFi。因为从 Twitter Crypto 的活动来看,这是事实。 但作为一名开发人员,我真正感兴趣的并不是这三者。事实上,我估计目前有 95% 的 Web3 项目是高风险的,并且其中一些是局——而且绝对没有准备好提供给用户使用。 同时,我也觉得剩下 5% 的精品项目是值得提倡的。

8个里程碑式NFT实例的启迪

实际上 从 Beeple 的作品破圈让很多人知道 NFT 到今天,时间还不到 18 个月。但行业的变化实在太快,新的热点目不暇接,有种稍纵即逝的感觉。就让我们从下面的 8 个例子来回顾下,对行业产生过深远影响的应用(事件)。

CertiK Skynet天网监测到的数笔可疑交易背后:又一欺诈项目Forest Tiger Pro被确认

北京时间2022年7月15日21点,CertiK动态扫描监测系统Skynet天网监测到若干导致TIGER代币价格下跌的可疑交易。经过对交易的分析,CertiK安全团队已确认Forest Tiger Pro项目为欺诈项目。