以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

半年被盜 20 億美金 黑客與監管都盯上了 Web3_WEB

Author:

Time:1900/1/1 0:00:00

作者:雪小頑

2022 年是 Web3 崛起以來,損失最慘重的一年。

Web3 這一個月來風波不斷。

8 月初,明星公鏈 Solana 發生黑客盜幣事件,超過 9000 個錢包地址被襲擊,損失約 400 多萬美元,在用戶中引發了一波恐慌情緒,也讓 Solana 陷入信用危機。

幾天后,加密貨幣混幣器 Tornado Cash 被美國財政部的下屬機構——海外資產控制辦公室(OFAC)列入制裁名單,其中包括 40 多個與 Tornado Cash 協議相關的以太坊地址,涉及價值超 4 億美元的資產被凍結。

定位于隱私服務的混幣器,在加密社區的名聲一直備受爭議,其中的「頭部」Tornado Cash 更是有「臟幣銷金窟」之稱。

Tornado Cash 被美國財政部制裁后,其代幣價格大幅下降。|來源:business2community.com

這次制裁意味著美國的社區用戶,無論個人還是實體,都不得再與 Tornado Cash 平臺以及和它綁定的錢包地址進行經濟交易。按照過往的案例,如果違規,可能面臨高達 30 多萬美元的罰款和最高 30 年的監禁。

韓國ST0相關法律修正案將于今年上半年提交,最早將于2024年年底實施:3月6日消息,韓國金融委員會資本市場部Lee部長(???)宣布,將于今年上半年提交《電子證券法》和《資本市場法》修正案,以為上半年代幣證券(ST0)的發行和分配奠定基礎。Lee預計,根據國民議會的立法討論,代幣證券(ST0)體系最早可以在2024年底實施。據悉,《電子證券法》的修正案包括承認分布式賬本技術作為證券數字化的方式之一,以及建立新的發行人賬戶管理機構。《資本市場法》的修正案包括設立場外交易經紀業務,并允許發行非典型證券,例如投資合同證券和非貨幣信托受益憑證。

金融監督院宣布,將支持相關行業統一認定數字資產是否為證券。政府的基本政策是,比特幣等不屬于證券的數字資產,不受資本市場法或電子證券法的約束,并通過國會立法單獨監管。如果發現目前在韓國虛擬資產交易所交易的數字資產是證券,發行人將因違反《資本市場法》而受到制裁。此外,金融監督院還計劃全面改革與代幣證券(ST0)發行和分銷相關的監管體系。

此前金色財經報道,韓國金融服務委員計劃允許ST0以證券形式發行和流通,區別于虛擬資產。(韓聯社)[2023/3/6 12:44:35]

緊接著,外媒曝出 29 歲的 Tornado Cash 開發者在荷蘭阿姆斯特丹被逮捕,當地執法部門稱 Tornado Cash 涉嫌隱瞞非法資金流動和協助洗錢,從今年 6 月份開始一直在對其進行調查。

金融科技公司Arch推出加密借貸產品,去年下半年曾籌集275萬美元:1月18日消息,面向另類資產投資者的金融科技公司 Arch 于周三宣布推出其首款加密借貸產品,該公司還宣布已完成一輪 275 萬美元的融資,該融資于去年下半年結束。這筆資金將有助于發展團隊和金融合作伙伴關系,Arch 還將借出部分資金。

總部位于紐約的 Arch 平臺成立于 2022 年 2 月,允許用戶通過組合另類資產(從加密貨幣開始)進行抵押貸款。這些貸款由 BitGo 托管,以美元或 USDC 穩定幣計價(可以以兩者的任意組合償還)。[2023/1/18 11:19:23]

Tornado Cash 被制裁,在加密行業引發「站隊」。有人公開表達不滿,認為美國財政部監管越界,侵犯了美國公民的隱私權和自由;也有人帶頭響應監管,穩定幣 USDC 的發行方 Circle 迅速凍結了 Tornado Cash 相關錢包地址上的資產。

Web3 正面臨著崛起以來最嚴峻的安全考驗與審查壓力。2022 年上半年,Web3 領域的資產損失約為 20 億美元,超過了去年全年被黑客攻擊的總損失數額。隨之而來的連鎖反應是,監管執法之手越伸越長。

人們的慣常認知中,強調去中心化邏輯的 Web3 本應擁有更強的安全性和私密性,如今卻被黑客和監管雙雙盯上。加密世界正經歷著對其未來命運影響深遠的動蕩時刻。

動態 | 韓國互聯網巨頭Kakao今年下半年將推出加密錢包\"Klip\":據new1報道,韓國互聯網巨頭Kakao今年下半年將正式推出加密錢包\"Klip\"。8月12日,Kakaotalk公開了“Klip”的預告頁面,用戶通過“Klip”能夠存儲管理kakao代幣“klay”。根據分析,“Klip”將同時支持區塊鏈平臺klaytn發行的加密貨幣。[2019/8/12]

黑客打劫 Solana:

一場懸而未決的「公案」

距離 Solana 發生黑客盜幣時間已經過去半個多月,官方依然沒有給出最終的調查結果。

區塊鏈安全公司慢霧科技團隊分析發現,根據 Solana foundation 提供的數據顯示,近 60% 被盜用戶使用的是 Phantom 錢包,此外有 30% 左右地址使用了 Slope 錢包,并且 iOS 和 Android 版本的應用都有相應的受害者。

事發 3 天后,Slope 曾在 twitter 上發布了一個官方錢包地址,并公開表示,一直在與執法部門和情報公司合作追蹤被盜資產,如果黑客愿意歸還,可以向其支付 10% 的賞金。「收回這些資金后,我們就不會再繼續追究,也不會采取任何法律行動。」

Slope 團隊給黑客留了 48 小時的時間來歸還資產,但這個賞金要約并未得到黑客的回應。

動態 | 三菱UFJ區塊鏈結算網絡計劃于2020年上半年開始提供服務:據CoinDesk Japan消息,4月19日,三菱UFJ金融集團副社長龜澤宏規與Akamai Technologies首席執行官Tom Leighton在東京舉行記者招待會。會上提到,三菱UFJ金融集團與Akamai Technologies合作開發的基于區塊鏈技術的高速結算網絡計劃于2020年上半年開始提供服務。兩家公司將該支付平臺命名為“GO-NET”,將首先在日本國內市場運營。[2019/4/19]

Slope 錢包官方向黑客發出賞金要約。|來源:twitter

硬件錢包 Keystone 創始人劉力心還記得,事發當天,他被拉進了一個有 100 多位白帽黑客的「war room」,安全專家們討論了事件可能的經過。

「最初的猜測是某個 NFT 項目被集體攻擊。」劉力心回憶,從被黑的錢包地址數量來看,八九千個的量級通常是某個 NFT 項目發行的常見數量,最初的猜測是某個 NFT 項目方作惡,例如進行了惡意授權。

但這個猜測很快被否定。安全技術人員發現,有幾筆被盜交易的發生是由于用私鑰做簽名,而不是錯誤授權導致資產轉移。接下來,關于事故原因的猜測還有供應鏈攻擊、黑客撞取隨機數、采取不恰當的簽名方式等等,隨后也都被一一推翻。

行情 | 比特幣價格接近成本價 半年蒸發超1.5萬億美元:6月25日消息,據火幣網數據,今天(25日)凌晨,比特幣最低跌至5772美元附近。比特幣最新的低位價格比歷史最高點下跌近七成。按照1700萬個比特幣計算,半年來比特幣總市值蒸發超2400億美元(約合1.57萬億人民幣)。[2018/6/25]

當天下午,一位海外研究人員發現,Solana 鏈上的 Slope 錢包私有化部署了第三方應用監控服務 Sentry,會收集用戶的私鑰或助記詞等信息,然后上傳到中心化的服務器。

Sentry 是一個應用監測平臺,可以實時監控應用在運行狀態時出現的異常或錯誤日志信息。如果 Sentry 發現了系統 bug,會通過郵件等方式通知應用方的技術人員。

在加密世界,Sentry 服務被廣泛應用,Slope 錢包就是其一。但使用 Sentry 時需要注意一個問題,如果出現了配置錯誤,Sentry 可能會收集到額外的數據,如私鑰或助記詞等私密信息。

安全專家們推測,在 Solana 盜幣事件中,用戶創建錢包時,Slope 將助記詞和私鑰等敏感數據錯誤發送給了 Sentry。這給黑客提供了可乘之機,黑客竊取了存儲在 Sentry 中心化服務器上的私鑰。

經過調查后,Slope 發布聲明稱,雖然上述安全漏洞確實存在,但被攻擊的 Slope 地址的數量只是這次被盜錢包地址總數的一小部分。目前也暫無證據表明 Sentry 官方遭到了入侵和攻擊,因為 Slope 錢包使用的 Sentry 服務部署在私有服務器。

此外,具體數據來看,服務器上的私鑰和助記詞派生出來的地址中,與受害者地址有交集的,只有 5 個以太坊地址和 1388 個 Solana 地址。也就是說,Slope 此次被黑的超過 2700 個錢包中只有一半存在 Sentry 漏洞,這無法解釋其余用戶錢包是如何被黑的。

就已經掌握的調查結果來看,已知的攻擊者地址有 4 個,被盜資產在 Solana 鏈上尚未出現進一步轉移,但在 ETH 鏈上,一些資金已經被轉移到疑似 OTC 個人錢包地址,剩余部分被兌換為 ETH 后,轉移到了 Tornado Cash。

Web3「危機四伏」

在這次 Solana 被襲同期,跨鏈橋 Nomad Bridge 也受到攻擊。值得注意的是,參與攻擊 Nomad Bridge 的黑客有上百位,甚至包含了「白帽子」,損失近 2 億美元。

慢霧科技首席信息安全官(CISO)張連鋒告訴極客公園,目前對 Web3 的攻擊類型主要有兩種:

一是鏈上攻擊,例如假充值、重入攻擊、重放攻擊、重排攻擊等。這類攻擊往往更加隱秘,需要通過專業的代碼安全審計、完備的鏈上分析監測預警等方法來識別。

二是鏈下攻擊,如高級長期威脅(APT)、網絡釣魚、供應鏈攻擊等。這類都是傳統 Web2 常見的安全問題,但是目前卻對 Web3 生態安全產生了很大影響。

今年 4 月,周杰倫丟失價值超 300 萬人民幣的無聊猿編號 3738 的 NFT,就是因為無意中點擊了釣魚鏈接。

周杰倫被盜的無聊猿 NFT。|圖片源自網絡

Web3 自帶金融屬性,金錢的誘惑下,更容易被黑客盯上。隨著 Web3 玩家的體量不斷擴大,加密貨幣犯罪也呈現快速上漲趨勢。

根據慢霧區塊鏈被黑事件檔案庫(SlowMist Hacked)統計,2022 年上半年,Web3 領域的資產損失接近 20 億美元,已經超過 2021 年全年因黑客攻擊漏洞造成的總損失。

2022 年因此被稱作「Web3 興起以來損失最慘重的一年」。其中,以去中心化程度低、流動資金量大的跨鏈橋受損最為嚴重。

截至 6 月 30 日,今年共發生 7 起跨鏈橋安全事件,損失超過 10 億美元,占上半年總資產損失的半數以上。在上半年損失金額達到上億美元的 4 起事件中,有 3 起波及跨鏈橋。

比較有代表性的是區塊鏈游戲 Axie Infinity 的側鏈 Ronin Network 被襲,造成 6.24 億美元的損失,以及 Solana 的跨鏈橋項目 Wormhole 被攻擊,損失 3.26 億美元。

除了跨鏈橋,區塊鏈錢包也是安全事件發生的「重災區」。

錢包是用戶管理加密資產的工具,也是用戶進入各類 Web3 應用的賬戶入口,加密世界的交互和交易通過錢包來進行。

錢包包含著基于公鑰和私鑰生成的地址,表面上看是一組有字母、數字構成的符號串。其中的私鑰可以對照理解為 Web2 支付工具的密碼,掌握這個「密碼」的人才是加密資產的真正主人。

所以,私鑰一般是黑客攻擊竊取的關鍵信息。通常來說,大部分錢包都會與網絡連接,私鑰泄露的風險系數較高。

加密貨幣被黑客盜取后,主要流向就是洗錢場景,以混幣器為代表性「幫兇」。

從隱私保護出發的混幣器,本來的設想是消除用戶的鏈上交易痕跡,卻被黑客用作轉移被盜資產后的洗錢工具。不久前被制裁的 Tornado Cash 自 2019 年創建以來,已經「清洗」了價值超過 70 億美元的虛擬貨幣。

今年 5 月份的時候,美國曾經制裁了中心化混幣平臺 Blender,理由是 Blender 涉嫌幫助朝鮮知名黑客組織 Lazarus Group 清洗從 Axie Infinity 盜取的部分資產。

Lazarus Group 是一個來自朝鮮的網絡黑客集團,在 2021 年共竊取了價值超 4 億美元的加密貨幣。|來源:bleepingcomputer.com

以美國政府為代表的監管勢力盯上混幣器,黑客們的如意算盤未來或許打得不那么響。制裁犯罪固然重要,但另一個關鍵的問題是,加密世界亟需更優化的安全方案,在財產、隱私保護與犯罪監管之間尋求平衡。

無論對淺試 Web3 的個體玩家還是 All in 的建設者來說,在通向一個美麗新世界之前,先要走過一片遍布安全陷阱的暗黑森林。

極客公園

個人專欄

閱讀更多

金色早8點

Bress

PANews

鏈捕手

財經法學

成都鏈安

Odaily星球日報

區塊律動BlockBeats

Tags:WEBWEB3NTRCASHWEB幣WEB3ALLBI幣NTRCbMeme Cash

火幣交易所
ERC-20、ERC-721、ERC-1155、ERC-4626 和可組合性_API

來源:@SalomonCrypto作者:Haym Salomon 代幣標準和可組合性 ERC-20、ERC-721、ERC-1155、ERC-4626、ERC-之類的.

1900/1/1 0:00:00
人類交易史:證券交易所、加密貨幣交易所和去中心化交易所的發展與比較 (下)_加密貨幣

報告分為上中下三篇發放:上篇闡述報告的第一章節探尋人類交易史的意義和第二章節歷史背景;中篇敘述證券交易所、加密貨幣交易所和去中心化交易所的技術發展;下篇說明三種交易所市場結構的形成與演進、突破性.

1900/1/1 0:00:00
以太坊合并最全投資指南:ETH 被市場提前定價了嗎?_ETH

撰文:Hal Press,North Rock Digital 創始人編譯:AididiaoJP,Foresight News隨著以太坊合并逐漸推進,我們一直想提供一篇關于如何看待以太坊生態.

1900/1/1 0:00:00
金色早報 | 美國總統拜登簽署《通脹削減法案》_區塊鏈

頭條 ▌拜登簽署《通脹削減法案》 民主黨獲得期待已久的勝利金色財經報道,美國總統喬·拜登周二正式簽署《通脹削減法案》,在11月中期選舉之前確定一項重大立法勝利.

1900/1/1 0:00:00
NFT如何增強在Web3領域的實用性?_NFT

NFT在過去一年間風靡全球,然而它并不是一個新概念。早在2017年,第一個在以太坊上引起流量的Cryptokitties應用程序就屬于NFT概念.

1900/1/1 0:00:00
CertiK將CryptoCars識別為“rug pull”是一次誤警報_CER

在市場低迷、加密貨幣禁令傳言和去中心化金融(DeFi)騙局期間,區塊鏈愛好者可能會對他們所關注的項目中最小的異常非常敏感,有時會錯誤地擔心情況惡化.

1900/1/1 0:00:00
ads