区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 火必APP > 正文

WEB:半年被盗20 亿美金 黑客与监管都盯上了 Web3_WEB3

作者:

时间:

撰文:雪小顽

来源:?极客公园

Web3 这一个月来风波不断。

8 月初,明星公链 Solana 发生黑客盗币事件,超过 9000 个钱包地址被袭击,损失约 400 多万美元,在用户中引发了一波恐慌情绪,也让 Solana 陷入信用危机。

几天后,加密货币混币器 Tornado Cash 被美国财政部的下属机构——海外资产控制办公室(OFAC)列入制裁名单,其中包括 40 多个与 Tornado Cash 协议相关的以太坊地址,涉及价值超 4 亿美元的资产被冻结。

定位于隐私服务的混币器,在加密社区的名声一直备受争议,其中的「头部」Tornado Cash 更是有「脏币销金窟」之称。

Tornado Cash 被美国财政部制裁后,其代币价格大幅下降。|来源:business2community.com

这次制裁意味着美国的社区用户,无论个人还是实体,都不得再与 Tornado Cash 平台以及和它绑定的钱包地址进行经济交易。按照过往的案例,如果违规,可能面临高达 30 多万美元的罚款和最高 30 年的监禁。

Aave社区提议上半年为Aave Grants DAO提供325万美元预算:金色财经报道,Aave 社区提议在接下来的两个季度为 Aave Grants DAO 提供 325 万美元(每季度 162.5 万美元)的预算。这是 Aave Grants DAO 的第四个提案。该提案已在 Snapshot 上进行投票,投票结束日期为 1 月 13 日。

Aave Grants DAO是一个由社区主导的赠款计划,专注于通过资助有利于 Aave 生态系统的想法、项目和活动,在 Aave 内部建立一个繁荣的贡献者生态系统。[2023/1/8 11:01:00]

紧接着,外媒曝出 29 岁的 Tornado Cash 开发者在荷兰阿姆斯特丹被逮捕,当地执法部门称 Tornado Cash 涉嫌隐瞒非法资金流动和协助,从今年 6 月份开始一直在对其进行调查。

Tornado Cash 被制裁,在加密行业引发「站队」。有人公开表达不满,认为美国财政部监管越界,侵犯了美国公民的隐私权和自由;也有人带头响应监管,稳定币 USDC 的发行方 Circle 迅速冻结了 Tornado Cash 相关钱包地址上的资产。

Web3 正面临着崛起以来最严峻的安全考验与审查压力。2022 年上半年,Web3 领域的资产损失约为 20 亿美元,超过了去年全年被黑客攻击的总损失数额。随之而来的连锁反应是,监管执法之手越伸越长。

港股上市公司网龙:上半年加密货币投资亏损为5521万元:9月20日消息,港股上市公司万龙在昨日公布的半年报中表示,截止6月30日,由于加密货币市场动荡,其加密货币投资确认减值亏损5521万元。而在此前公布的2021年报中,该公司表示其持有的加密货币账面价值为1.27亿元。

此前在去年11月,该公司的海外子公司曾在Solana发行尼奥宠物系列NFT,共计4233个NFT被售出,销售金额为8708个SOL。[2022/9/20 7:08:33]

人们的惯常认知中,强调去中心化逻辑的 Web3 本应拥有更强的安全性和私密性,如今却被黑客和监管双双盯上。加密世界正经历着对其未来命运影响深远的动荡时刻。

距离 Solana 发生黑客盗币时间已经过去半个多月,官方依然没有给出最终的调查结果。

区块链安全公司慢雾科技团队分析发现,根据 Solana foundation 提供的数据显示,近 60% 被盗用户使用的是 Phantom 钱包,此外有 30% 左右地址使用了 Slope 钱包,并且 iOS 和 Android 版本的应用都有相应的受害者。

事发 3 天后,Slope 曾在 twitter 上发布了一个官方钱包地址,并公开表示,一直在与执法部门和情报公司合作追踪被盗资产,如果黑客愿意归还,可以向其支付 10% 的赏金。「收回这些资金后,我们就不会再继续追究,也不会采取任何法律行动。」

PayPal或将在今年上半年完成对Curv的收购:PayPal或将在2021年上半年完成对加密货币托管公司Curv的收购,具体交易细节未透露,但一位知情人士透露,收购价格或近2亿美元。

此前消息,PayPal正以5亿美元价格收购加密货币托管商Curv。(TheBlock)[2021/3/8 18:26:27]

Slope 团队给黑客留了 48 小时的时间来归还资产,但这个赏金要约并未得到黑客的回应。

Slope 钱包官方向黑客发出赏金要约。|来源:twitter

硬件钱包 Keystone 创始人刘力心还记得,事发当天,他被拉进了一个有 100 多位白帽黑客的「war room」,安全专家们讨论了事件可能的经过。

「最初的猜测是某个 NFT 项目被集体攻击。」刘力心回忆,从被黑的钱包地址数量来看,八九千个的量级通常是某个 NFT 项目发行的常见数量,最初的猜测是某个 NFT 项目方作恶,例如进行了恶意授权。

但这个猜测很快被否定。安全技术人员发现,有几笔被盗交易的发生是由于用私钥做签名,而不是错误授权导致资产转移。接下来,关于事故原因的猜测还有供应链攻击、黑客撞取随机数、采取不恰当的签名方式等等,随后也都被一一推翻。

政策 | 中国央行:下半年要加快推进我国法定数字货币研发步伐:人民银行召开2019年下半年工作电视会议。会议要求,要因势利导发展金融科技,加强跟踪调研,积极迎接新的挑战。加快推进我国法定数字货币(DC/EP)研发步伐,跟踪研究国内外虚拟货币发展趋势,继续加强互联网金融风险整治。[2019/8/2]

当天下午,一位海外研究人员发现,Solana 链上的 Slope 钱包私有化部署了第三方应用监控服务 Sentry,会收集用户的私钥或助记词等信息,然后上传到中心化的服务器。

Sentry 是一个应用监测平台,可以实时监控应用在运行状态时出现的异常或错误日志信息。如果 Sentry 发现了系统 bug,会通过邮件等方式通知应用方的技术人员。

在加密世界,Sentry 服务被广泛应用,Slope 钱包就是其一。但使用 Sentry 时需要注意一个问题,如果出现了配置错误,Sentry 可能会收集到额外的数据,如私钥或助记词等私密信息。

安全专家们推测,在 Solana 盗币事件中,用户创建钱包时,Slope 将助记词和私钥等敏感数据错误发送给了 Sentry。这给黑客提供了可乘之机,黑客窃取了存储在 Sentry 中心化服务器上的私钥。

经过调查后,Slope 发布声明称,虽然上述安全漏洞确实存在,但被攻击的 Slope 地址的数量只是这次被盗钱包地址总数的一小部分。目前也暂无证据表明 Sentry 官方遭到了入侵和攻击,因为 Slope 钱包使用的 Sentry 服务部署在私有服务器。

声音 | 中国网信网:2018年上半年我国区块链等技术发展势头向好:中国网信网发文称,2018年上半年,我国在量子信息技术、天地通讯、类脑计算、AR/VR/MR、人工智能、区块链、超级计算机、工业互联网等信息领域核心技术发展势头向好,产业应用稳步推进。我国量子信息技术首次在国际上实现18个量子比特纠缠,不断刷新世界纪录。[2018/9/3]

此外,具体数据来看,服务器上的私钥和助记词派生出来的地址中,与受害者地址有交集的,只有 5 个以太坊地址和 1388 个 Solana 地址。也就是说,Slope 此次被黑的超过 2700 个钱包中只有一半存在 Sentry 漏洞,这无法解释其余用户钱包是如何被黑的。

就已经掌握的调查结果来看,已知的攻击者地址有 4 个,被盗资产在 Solana 链上尚未出现进一步转移,但在 ETH 链上,一些资金已经被转移到疑似 OTC 个人钱包地址,剩余部分被兑换为 ETH 后,转移到了 Tornado Cash。

在这次 Solana 被袭同期,跨链桥 Nomad Bridge 也受到攻击。值得注意的是,参与攻击 Nomad Bridge 的黑客有上百位,甚至包含了「白帽子」,损失近 2 亿美元。

慢雾科技首席信息安全官(CISO)张连锋告诉极客公园,目前对 Web3 的攻击类型主要有两种:

一是链上攻击,例如假充值、重入攻击、重放攻击、重排攻击等。这类攻击往往更加隐秘,需要通过专业的代码安全审计、完备的链上分析监测预警等方法来识别。

二是链下攻击,如高级长期威胁(APT)、网络钓鱼、供应链攻击等。这类都是传统 Web2 常见的安全问题,但是目前却对 Web3 生态安全产生了很大影响。

今年 4 月,周杰伦丢失价值超 300 万人民币的无聊猿编号 3738 的 NFT,就是因为无意中点击了钓鱼链接。

周杰伦被盗的无聊猿 NFT。|图片源自网络

Web3 自带金融属性,金钱的诱惑下,更容易被黑客盯上。随着 Web3 玩家的体量不断扩大,加密货币犯罪也呈现快速上涨趋势。

根据慢雾区块链被黑事件档案库(SlowMist Hacked)统计,2022 年上半年,Web3 领域的资产损失接近 20 亿美元,已经超过 2021 年全年因黑客攻击漏洞造成的总损失。

2022 年因此被称作「Web3 兴起以来损失最惨重的一年」。其中,以去中心化程度低、流动资金量大的跨链桥受损最为严重。

截至 6 月 30 日,今年共发生 7 起跨链桥安全事件,损失超过 10 亿美元,占上半年总资产损失的半数以上。在上半年损失金额达到上亿美元的 4 起事件中,有 3 起波及跨链桥。

比较有代表性的是区块链游戏 Axie Infinity 的侧链 Ronin Network 被袭,造成 6.24 亿美元的损失,以及 Solana 的跨链桥项目 Wormhole 被攻击,损失 3.26 亿美元。

除了跨链桥,区块链钱包也是安全事件发生的「重灾区」。

钱包是用户管理加密资产的工具,也是用户进入各类 Web3 应用的账户入口,加密世界的交互和交易通过钱包来进行。

钱包包含着基于公钥和私钥生成的地址,表面上看是一组有字母、数字构成的符号串。其中的私钥可以对照理解为 Web2 支付工具的密码,掌握这个「密码」的人才是加密资产的真正主人。

所以,私钥一般是黑客攻击窃取的关键信息。通常来说,大部分钱包都会与网络连接,私钥泄露的风险系数较高。

加密货币被黑客盗取后,主要流向就是场景,以混币器为代表性「帮凶」。

从隐私保护出发的混币器,本来的设想是消除用户的链上交易痕迹,却被黑客用作转移被盗资产后的工具。不久前被制裁的 Tornado Cash 自 2019 年创建以来,已经「清洗」了价值超过 70 亿美元的虚拟货币。

今年 5 月份的时候,美国曾经制裁了中心化混币平台 Blender,理由是 Blender 涉嫌帮助朝鲜知名黑客组织 Lazarus Group 清洗从 Axie Infinity 盗取的部分资产。

Lazarus Group 是一个来自朝鲜的网络黑客集团,在 2021 年共窃取了价值超 4 亿美元的加密货币。

以美国政府为代表的监管势力盯上混币器,黑客们的如意算盘未来或许打得不那么响。制裁犯罪固然重要,但另一个关键的问题是,加密世界亟需更优化的安全方案,在财产、隐私保护与犯罪监管之间寻求平衡。

无论对浅试 Web3 的个体玩家还是 All in 的建设者来说,在通向一个美丽新世界之前,先要走过一片遍布安全陷阱的暗黑森林。

极客公园

个人专栏

阅读更多

金色早8点

Bress

链捕手

财经法学

PANews

成都链安

Odaily星球日报

标签:WEBWEB3SOLSENTMETAWEB3PAweb3.0币种怎么提现sol币创始人是谁SENT币

火必APP热门资讯
区块链:应对以太坊粉尘攻击的解决方案:用户主动销毁受污染资产_ETH

文:Nicholas Yoder最近对Tornado Cash的制裁以及随后围绕审查制度、和社会惩罚的争论,提出了以太坊社区需要解决的几个重要问题.

CRYPTO:“无聊猿”版权解读:IP合作 需要注意哪些地方?_VETH2

从法律条款入手,解读“无聊猿”版权和IP合作的细枝末节。作者:肖飒法律团队原文:《肖飒团队 | “无聊猿”IP合作,饶不过的授权和CC0》即使是不关注元宇宙、NFT的朋友们,在坐地铁回家的时候、.

BAY:元宇宙给国家层面带来的四个挑战_Santas War NFT Epic

元宇宙是一个新生事物,许多人都认为元宇宙是科技产物的终极形态,未来充满了无限的可能,并带来许多的就业机会和商业模式.

WEB:元宇宙地产演化史:从文本时代到区块链时代_WEBN

原文标题:《元宇宙地产演化史》撰文:Jeran Miller 翻译:MetaCat 谁能否认今年围绕虚拟房地产(「VRE」)的炒作?问题不在于是否有炒作(事实上有很多).

ENT:虚拟数字人 元宇宙应用中最先盈利的领域?_元宇宙沉浸式体验馆

元宇宙是当下非常火热的话题,虚拟数字人又是元宇宙范畴中应用落地比较领先的领域。虚拟数字人作为链接虚拟世界(元宇宙)与物理世界的一个重要媒介,是元宇宙在当前阶段的重要分支应用场景.

HER:详解 MEV 原理及策略:以太坊合并后的 MEV 民主化如何?_PAMPTHER

原文标题:《TheTie:详解合并后 MEV 的民主化未来》(MEV: An Intro to Value Extraction)撰文:Vaish Puri 编译:西早先生 以太坊越来越复杂.