2022年第三季度,黑客从Web3.0领域中盗取了总价值约5亿美元的资产,这个数字相比上季度减少了32.32%,同时今年的损失总额增长至28.8亿美元。
第三季度共发生了98起退出局,导致了5619万美元的资产损失,23起闪电贷攻击则导致了1737万美元的资产损失。
仅6起多链安全事件造成的高达4.3亿美元的损失金额就占到了本季度总损失的85.3%。
第三季度CertiK审计的Web3.0项目数量新增了537个,同时CertiK审计的项目总数达到了4737个。37个Web3.0项目成功通过KYC项目背景调查,47个项目入驻CertiKSkynet。
截至目前,2022年CertiK已完成了183个项目的KYC项目背景调查服务,同时有846个新的Web3.0项目入驻CertiKSkynet。?
第三季度攻击损失清单
①以攻击类型分类
98起退出局,共计损失5619万美元
23起闪电贷攻击,共计损失1737万美元
50起其他攻击事件,共计损失4.3亿美元
②?以生态系统分类
Avalanche:4起事件,共计损失316万美元
BNBChain:105起事件,共计损失5389万美元
Ethereum:25起事件,共计损失2838万美元
Fantom:2起事件,共计损失39万美元
Multichain:6起事件,共计损失3.53亿美元
Polygon:3起事件,共计损失106万美元
Solana:4起事件,共计损失2102万美元
其他/非区块链:11起事件,共计损失531万美元
③以时间分类?
Coin98宣布获DWF Labs七位数投资:8月8日消息,Coin98宣布已获得DWF Labs的七位数投资,以推动Web3的大规模采用。[2023/8/8 21:32:15]
7月:59起事件,共计损失6673万美元
8月:56起事件,共计损失2.55亿美元
9月:53起事件,共计损失1.82亿美元?
概要
7月是今年到目前为止安全态势最为良好的一个月,黑客攻击、行为、漏洞利用和其他安全事件仅造成了6600万美元损失,但该数量在之后两个月内再次攀升。8月总损失的74%源于NomadFinance跨链桥攻击事件,而9月总损失的89%源于做市商Wintermute钱包被盗的1.62亿美元。
2022年第三季度,Web3.0行业仍然多受退出局的困扰。本季度,CertiK共记录了169起独立安全事件,其中58%被归类为退出局。
如果仍然有一些经验不足的用户考虑把钱投资到未经审计的项目中,或是甘愿冒着风险急于成为代币早期持有人,那么退出局就会持续扩散,整个产业也将被其阴影笼罩。??
跑路的过程其实非常简单明了,欺诈团队所要做的仅仅是复制粘贴现成的局项目代码并将其部署,为去中心化交易所的交易对增加流动性,然后将代币推销给用户,直到他们投入了足以让欺诈团队脱身的大量资金。
代码审计很容易就能发现项目钱包所存在的中心化风险及访问特权,从而根据一些疑点揭露团队欺诈。我们建议Web3.0用户不要投资任何未经审计,或者那些审计发现了中心化和特权风险却未修复的项目。
其实所有退出局基本都遵循着类似的套路,要规避那些明显有退出局迹象的项目并不困难,因此退出局并不能提供Web3.0安全方面的最具启发性案例分析。?
BTC交易所流入量达23个月低点:10月9日消息,据Glassnode数据显示,BTC交易所流入量达23个月低点,7日均值数额为20,343,612.84美元。[2022/10/10 12:51:05]
但是第三季度还发生了许多其他不寻常的事件,可以让Web3.0用户和开发者汲取到新的经验。本报告将分享三个案例,就其事件进行分析并从中为读者提取安全相关的重要启示。
Nomad跨链桥黑客攻击事件:损失1.9亿美元,成为本季度最严重的安全事件;做市商Wintermute钱包私钥泄露事件:被盗1.62亿美元;Slope被黑事件:损失800万美元,其是Solana生态中比较流行的热钱包,被黑数额相对较小。然而,以上所有损失都是由于不安全的应用程序代码所致,这就表明要实现Web3.0的全面安全不仅关乎智能合约,技术堆栈的各个层面也必须保证安全。?
实际上,Nomad跨链桥被黑和Wintermute私钥泄露事件的资产损失合计占据了第三季度总损失的近70%,这说明成功的漏洞攻击很可能不需要黑客付出过多“努力”,而其所得的回报有可能是巨大的。换句话说,无论目标钱包存有162美元还是1.62亿美元,如果攻击者想要暴力破解其私钥,所要付出的算力都是一样的。而在Nomad被黑事件中,任何普通用户都能简单复制原始攻击者的交易,并换成自己的钱包地址实施攻击,这也更加凸显Web3.0世界的残酷性。毫无疑问,所有漏洞都会受到最大程度地利用。Web3.0开发者必须认真对待安全问题,不仅是为了保护用户资金,也是为了保障整个项目的长期生存和发展。?
重大安全事件
私钥安全危机四伏
导致Slope钱包被黑的漏洞并不常见,该事件涉及了9000多个钱包地址,损失金额高达800万美元。大部分因退出局或智能合约代码错误造成的损失只发生在区块链上,但这次事件却源自一个链下漏洞。?
数据:Sudoswap AMM总费用收入突破25万美元:金色财经报道,据Dune Analytics数据显示,Sudoswap AMM总费用收入已经突破25万美元,本文撰写时为254,860美元,总交易额达到51,388,533美元。此外,Sudoswap上已创立了31,828个AMM流动性池,其中NFT交易总量已接近20万枚,截至目前为196,052枚。[2022/9/25 7:19:36]
8月2日晚,Solana用户钱包中的资产开始神秘消失,且每笔转账都是有效交易,就像是钱包主人自己操作签名转移了所有代币。调查人员在调查被黑钱包之间共性的过程中,关于漏洞起源的一系列假设也开始流传。?
这些假设和结论让那些担忧大型DeFi平台被黑导致数十万用户和价值数十亿美元的资产都将处于险境之中的人们松了口气。因为就在前一天刚刚发生了Nomad跨链桥被黑事件,人们仍然处于神经紧绷的状态中。最终Slope的漏洞是在其钱包应用程序的代码中被发现的——该程序会在服务器上以明文形式存储用户的助记词。当攻击者获得该数据库的访问权时,就能完全控制所有受到影响的钱包,并立即卷走资产。
一些反应迅速的用户已将资金转移到了硬件钱包或其他不受Slope漏洞影响的热钱包中。?安全启示:使用硬件钱包或者网络隔离电脑离线生成密钥是最安全的做法,而在热钱包中生成或导入的私钥都不宜用于存放任何重要资产。
谨慎处理钱包密钥?
9月20日,最大数字资产做市商之一的Wintermute因私钥泄露造成1.62亿美元损失,原因是Wintermute使用第三方工具生成的“vanity”地址存在漏洞,并遭到黑客利用。造成这次意外事件的原因不同于由智能合约漏洞所致的常见情况,而是来自外部的基础设施问题。
大多数以太坊地址看起来是一串完全随机的字母和数字,开头都为0x。这样的好处是提供了一定程度的隐私性,但这并不能满足想要一个独特地址的用户。基于人们对“vanity地址”的追求,一个名为“Profanity”的vanity生成器应运而生,它可帮助用户为包含指定单词或字符串的地址生成密钥。
波场孙宇晨:2021仍将是DeFi大年,预计明年还会有大量以太坊需求外溢至波场:12月23日,“瞰见未来—国际区块链技术创新峰会暨Cointelegraph中文一周年”大会在三亚湾海居铂尔曼酒店拉开序幕,本次大会由Cointelegraph中文主办、Nova联合主办,汇聚重磅嘉宾、聚焦行业热门议题,共讨2020年区块链技术发展、落地应用场景,展望区块链行业的未来发展趋势。
会上,Cointelegraph中文CEO Vadim Krekotin与波场创始人孙宇晨围绕加密货币采用、比特币市场变化、DeFi发展趋势等话题展开线上炉边对话。
孙宇晨在对话中表示,“2021仍将是DeFi大年。我认为明年还会有大量以太坊需求外溢至波场,其实我们看到的波场版USDT就是一个很明显的例子。目前,波场一天转帐量大概在40万至50万笔,这其实已经远远大于以太坊本身的需求”。[2020/12/23 16:17:06]
除此之外,Profanity还可以被用来创建钱包地址,以优化手续费,这也是Wintermute团队创建0x00000000AE347......b92280f9e75地址的初衷,但却最终导致了钱包被黑。开头那串冗长的0简化了地址,减少了以太坊网络的算力需求,从而在一定程度上降低了交易手续费——这些节省下来的手续费看似微小,却会在成千上万的交易中积少成多。
2022年1月,用户k06a曾在Profanity的GitHub:https://github.com/johguse/profanity/issues/61,提出了一个关于私钥生成方式的问题:Profanity使用一个随机的32位种子数来生成256位私钥。
2022年9月15日,1Inch发表了一篇文章,详细介绍了如何破解Profanity生成的钱包私钥的方法。
2020减半币种行情播报:金色财经数据显示,10个减产币种今日4涨6跌。涨幅前三为:HPT(0.008美元,+4.94%)、BCH(346.42美元,+2.85%)、DASH(92.77美元,+2.75%);跌幅前三为:BCD(0.7美元,-1.6%)、ETC(8.11美元,-1.15%)、XZC(5.52美元,-1.01%)。[2020/3/7]
仅过两天,该漏洞就在众目睽睽之下遭到黑客利用。0x6...b93钱包账户抽空了多个vanity钱包,包括来自0x0Babe...B05的500枚ETH、0x888888888...597的100枚ETH、0x000000...422的104.4枚ETH,以及更多其他钱包的资产,总价值为330万美元。?
在技术发展瞬息万变的Web3.0世界,只需要四天就能借助这一漏洞攻破一个Wintermute的DeFi交易钱包,其损失的1.62亿美元也是今年因私钥泄露造成的最高资产损失。??
事发后,攻击者迅速将价值1.14亿美元的稳定币转入CurveFinance的3Pool。有人猜测这是为了避免被盗资金被USDT和USDC列入黑名单并冻结。
但问题还没解决:所有基于Profanity创建的钱包都存在风险。9月25日,vanity地址0x000000000......Ff3791338975被黑,攻击者卷走了钱包中价值超过95万美元的各种代币,将其换成732.3枚ETH后,又通过15次交易把这些代币全部存入TornadoCash。
通过SkyTrace可视化追踪黑客钱包?
数字金融服务提供商AmberGroup称其团队能够在48小时内利用一台M1处理器和16G内存的MacBook复现黑客构建的漏洞并发起攻击。
安全启示:所有使用Profanity生成钱包的用户都应尽快将资产转移到可离线生成密钥的钱包中。?
Nomad跨链桥遭劫
8月1日,NomadFinance在Ethereum、Moonbeam、Avalanche、Evmos和Milkomeda之间的跨链桥遭到攻击,涉案金额约1.9亿美元。
在一次常规升级部署后,由于一个错误配置允许黑客绕过验证信息,最终导致了这起悲剧发生。最初攻击的消息被传开以后,其他黑客、机器人以及社区成员也纷纷效仿,通过克隆原始黑客的交易数据、换上他们自己的地址发起攻击,几乎抽空了跨链桥的所有资产。?
百闻不如一见:人们对一个持有9位数资产的跨链桥实施了去中心化式抢劫?–@0xfoobar?
这次的漏洞本质上源于acceptableRoot(messages)函数中的一个错误,它允许用户绕过从跨链桥上提取资金所需要的验证。关于此次事件的完整技术分析,欢迎阅读CertiK官方公众号发布的Nomad事件分析报告。
跨链桥为巨额资金提供托管服务,是其成为黑客主要目标的原因。今年初,Wormhole跨链桥遭漏洞利用,损失超过3.2亿美元,是有史以来第二大DeFi被黑事件。
值得注意的是,在这场混乱不堪的攻击中,所有对相关技术稍有了解的投机用户都能轻松复制原始攻击者的交易,这些人蜂拥而上将跨链桥洗劫一空。?
作为回应,Nomad宣布向所有归还赃款的用户提供10%的白帽赏金,同时将对那些不归还资金的人采取法律行动。
安全启示:某个漏洞一旦被公开,就别指望恶意者不会抓紧机会闻风而动,因为开源的代码意味着所有人都可以对其进行最大程度的恶意利用。?
本季度大事记
以太坊已顺利合并
9月15日凌晨,无数目光聚焦在以太坊。Web3.0史上最重大的网络升级顺利完成,以太坊的共识机制正式转为PoS权益证明。关闭PoW工作证明后,以太坊的网络能耗从112TW/年骤降为0.01TW/年。这99.95%的能耗降幅不仅减少了以太坊网络对环境的影响,也让ETH在面对那些曾因环保顾虑而放弃了合作的用户和投资者时更具吸引力。
本次合并是一项了不起的技术成就,此次升级的巨大成功也得益于开发者与网络成员多年的精心准备。如果升级失败,整个网络都将承受灾难性的后果。?
尽管人们仍然担心验证者的中心化问题,但如果消除了对昂贵挖矿设备的需求,更加多样的网络参与者会被吸引加入。虽然还有许多其他PoS网络也在运行,但对于锁定价值数千亿美元资产的以太坊网络来说,其雄心勃勃的发展计划已经箭在弦上。
史上最强制裁风暴?
8月8日,美国财政部下属海外资产控制办公室宣布将以太坊混币隐私应用TornadoCash和相关44个钱包地址纳入制裁名单,禁止任何美国个人和实体与TornadoCash相关地址进行交互,并要求TornadoCash向OFAC报告其平台上所有的美国资产。?
与此同时,现年29岁的TornadoCash软件开发者AlexeyPertsev被荷兰当局逮捕,理由是“涉嫌利用TornadoCash以太坊混合服务参与和隐瞒犯罪资金流动”。截至发稿前,Pertsev尚未被正式指控任何罪行,而荷兰法律规定犯罪嫌疑人在未受指控的情况下最长可被羁押110天。
美国财政部对TornadoCash采用“声名狼藉”的描述也并非毫无理由。TornadoCash自2019年成立以来,已被用于价值超过70亿美元的数字货币活动。其中包括由朝鲜国家支持的黑客组织LazarusGroup所盗取的超过4.55亿美元、来自HarmonyBridge漏洞攻击的9600万美元,以及2022年8月2日NomadHeist事件中的至少780万美元等事件。?
但美国财政部将TornadoCash的所有应用均概括为活动就有失偏颇了。虽然TornadoCash的确成了犯罪分子清洗不义之财的首选工具,但在区块链技术的开放世界中,该平台也作为重要的金融隐私工具之一发挥着作用。以太坊联合创始人VitalikButerin在制裁后透露,他曾使用TornadoCash进行过私人捐款。而仅在今年,反对金融监管的斗争已经赢得了来自不同意识形态的个人和团体支持,如美国的支持选择权活动家和加拿大的反疫苗授权抗议者。
在禁令宣布后,TornadoCash在GitHub上的开源代码被迅速删除,但在OFAC就此事作出了澄清后,代码又被重新恢复。9月13日,OFAC在其常见问题页面中发布了指导意见:
“虽然美国被禁止与TornadoCash或其被封锁的财产或财产权益进行任何交易,但只要不涉及禁止交易,与TornadoCash开源代码本身的互动就是被允许的。例如,美国制裁法规不会禁止人们复制开源代码并将其在线提供给他人查看、讨论以及教学,或将开源代码收录于书面出版物中。”?
这个仍在继续的Web3.0传奇故事凸显了Web3.0资产与行业相关实体所面临的挑战:在试图遵守严格的政府行动的同时,又要对事后迟来的指导意见及时作出反应。
在过去的六个月里,有一条链对Cosmos的发展至关重要,它就是为跨链未来提供动力的Axelar。如今,Axelar已经有了不错的进展,让我们一起来看看.
在过去的一年,我阅读了数百篇关于网红营销、社交媒体广告和创作者经济的文章。还花了几个小时采访专业人士,聆听新声。除此之外,我还积极参与了网络社区中关于创作者经济趋势预测的讨论.
ElonxTwitter几乎已成定局。在过去的几个月里,马斯克表达了如果他接手他将做出的改变。 以下是他的计划: 1.算法开源 马斯克支持Twitter开源,因为它将“解决信任和效率问题” 2.
争夺增量用户成为所有人的共识!上一轮牛市中,各类协议已经吃饱,但Web3应用还处在发育阶段,而在本轮项目中,Bulider已更多在考虑大众如何使用及参与的问题.
近期BNB跨链桥受攻击,导致近$570M损失。这一事件再次把跨链桥的安全性问题推上热议。根据Messari8月的研报数据,过去一年内共有8起跨链桥攻击事件,构成将近$2B美金的资产损失.
要点 尽管协议价格下跌,仍在吸引流动性。投资者正寻求机会从核心资产中获利,Uniswap池中持有的资产市场份额同比翻倍.