半年被盜20 億美金 黑客與監管都盯上了 Web3_WEB

撰文：雪小頑

來源：?極客公園

Web3 這一個月來風波不斷。

8 月初，明星公鏈 Solana 發生黑客盜幣事件，超過 9000 個錢包地址被襲擊，損失約 400 多萬美元，在用戶中引發了一波恐慌情緒，也讓 Solana 陷入信用危機。

幾天后，加密貨幣混幣器 Tornado Cash 被美國財政部的下屬機構——海外資產控制辦公室（OFAC）列入制裁名單，其中包括 40 多個與 Tornado Cash 協議相關的以太坊地址，涉及價值超 4 億美元的資產被凍結。

定位于隱私服務的混幣器，在加密社區的名聲一直備受爭議，其中的「頭部」Tornado Cash 更是有「臟幣銷金窟」之稱。

Tornado Cash 被美國財政部制裁后，其代幣價格大幅下降。｜來源：business2community.com

這次制裁意味著美國的社區用戶，無論個人還是實體，都不得再與 Tornado Cash 平臺以及和它綁定的錢包地址進行經濟交易。按照過往的案例，如果違規，可能面臨高達 30 多萬美元的罰款和最高 30 年的監禁。

比特幣礦企Bitfarms今年上半年共挖掘1357枚比特幣:金色財經報道，比特幣礦企Bitfarms于7月14日發布了比特幣產量更新。Bitfarms使用綠色水電在2021年前六個月挖掘了1357枚比特幣，這是公開交易的礦商報告的北美最大的比特幣挖掘數量。具體來說，該礦商在2021年6月挖掘了265枚新比特幣，實現了2021年最大的月產量，比同年1月的產量高出約三分之一。Bitfarms的Magog數據中心接收并安裝了來自MicroBT的1500臺比特幣礦機，使得Bitfarms 6月的總產量增加120 PH/s。此外，Bitfarms計劃在7月份挖掘超過400枚比特幣 。[2021/7/15 0:53:17]

緊接著，外媒曝出 29 歲的 Tornado Cash 開發者在荷蘭阿姆斯特丹被逮捕，當地執法部門稱 Tornado Cash 涉嫌隱瞞非法資金流動和協助洗錢，從今年 6 月份開始一直在對其進行調查。

Tornado Cash 被制裁，在加密行業引發「站隊」。有人公開表達不滿，認為美國財政部監管越界，侵犯了美國公民的隱私權和自由；也有人帶頭響應監管，穩定幣 USDC 的發行方 Circle 迅速凍結了 Tornado Cash 相關錢包地址上的資產。

Web3 正面臨著崛起以來最嚴峻的安全考驗與審查壓力。2022 年上半年，Web3 領域的資產損失約為 20 億美元，超過了去年全年被黑客攻擊的總損失數額。隨之而來的連鎖反應是，監管執法之手越伸越長。

劉昌用：看好加密貨幣下半年行情:北京大學經濟學博士、知密大學創始人劉昌用發微博表示，加密貨幣的價值支撐包括兩部分，一是跟主流資產一樣的普通的投資組合需求，一種是革新主流經濟的創新投資需求。前者跟主流資產同步漲跌，后者跟主流資產反向漲跌。2017年牛市導致前一種需求比重成主體，最近跟隨主流經濟暴跌，消化了前一種需求，革新需求比例增長。主流危機剛剛開始，看好加密貨幣下半年行情。[2020/3/19]

人們的慣常認知中，強調去中心化邏輯的 Web3 本應擁有更強的安全性和私密性，如今卻被黑客和監管雙雙盯上。加密世界正經歷著對其未來命運影響深遠的動蕩時刻。

距離 Solana 發生黑客盜幣時間已經過去半個多月，官方依然沒有給出最終的調查結果。

區塊鏈安全公司慢霧科技團隊分析發現，根據 Solana foundation 提供的數據顯示，近 60% 被盜用戶使用的是 Phantom 錢包，此外有 30% 左右地址使用了 Slope 錢包，并且 iOS 和 Android 版本的應用都有相應的受害者。

事發 3 天后，Slope 曾在 twitter 上發布了一個官方錢包地址，并公開表示，一直在與執法部門和情報公司合作追蹤被盜資產，如果黑客愿意歸還，可以向其支付 10% 的賞金。「收回這些資金后，我們就不會再繼續追究，也不會采取任何法律行動。」

分析 | 如果FCoin經營上出現問題 在2018年下半年可能就已經顯現:北京鏈安今日發布分析文章認為，2018年，FCoin可謂橫空出世，“交易即挖礦”的模式讓其一時間成為最紅交易所。但是，從12rU7whLERNrkDb8bTe9VJJSKZvCXy7dj7這個冷錢包存放的比特幣總量變化來看，危機可能就在當年顯露。

北京鏈安通過ChainsMap監測系統，重現了這個冷錢包中比特幣總量的變化曲線，很明顯，在2018年上半年，大量用戶向交易所充值，并匯聚到熱錢包最終向這個冷錢包匯集。2018年7月22日，該錢包迎來巔峰時刻，總量達到11509枚BTC，但是此后整體呈現下降趨勢。在2019年一季度后，這個地址上的比特幣存量其實已經比巔峰時期少很多，2000枚出頭，在2019年9月到10月更是基本清空，只剩數十比特幣。因此，如果是經營上出現問題，在2018年下半年可能就已經顯現，這也與FCoin創始人的自述，以及FT價格暴跌的時間線基本吻合。[2020/2/19]

Slope 團隊給黑客留了 48 小時的時間來歸還資產，但這個賞金要約并未得到黑客的回應。

Slope 錢包官方向黑客發出賞金要約。｜來源：twitter

動態 | 上半年政府上鏈占比兩成，三家上市公司落地區塊鏈+政務:金色財經報道，截至今年上半年，全國33個省市的共有71項區塊鏈政務應用，占區塊鏈應用總量的20.3%。2019年第二季度區塊鏈政務應用的數量，較第一季度上漲了59.3%。在A股上市公司中，有7家公司同時涉足區塊鏈和政務領域。不過只有數字認證(300579.SZ)、恒久科技(002808.SZ)、常山北明(000158.SZ)能將二者有效結合，未來也將充分受益區塊鏈政務的成長。[2019/11/12]

硬件錢包 Keystone 創始人劉力心還記得，事發當天，他被拉進了一個有 100 多位白帽黑客的「war room」，安全專家們討論了事件可能的經過。

「最初的猜測是某個 NFT 項目被集體攻擊。」劉力心回憶，從被黑的錢包地址數量來看，八九千個的量級通常是某個 NFT 項目發行的常見數量，最初的猜測是某個 NFT 項目方作惡，例如進行了惡意授權。

但這個猜測很快被否定。安全技術人員發現，有幾筆被盜交易的發生是由于用私鑰做簽名，而不是錯誤授權導致資產轉移。接下來，關于事故原因的猜測還有供應鏈攻擊、黑客撞取隨機數、采取不恰當的簽名方式等等，隨后也都被一一推翻。

當天下午，一位海外研究人員發現，Solana 鏈上的 Slope 錢包私有化部署了第三方應用監控服務 Sentry，會收集用戶的私鑰或助記詞等信息，然后上傳到中心化的服務器。

動態 | 新西蘭發布金融市場半年報告 重點關注加密貨幣投資方面教育:據financemagnates消息，新西蘭金融市場管理局（FMA）今天公布了其上半年的年度報告。報告重點關注監管機構改善金融公司行為的舉措，以及在加密貨幣投資方面教育新西蘭居民。FMA首席執行官Rob Everett表示：“新西蘭金融服務業的行為監管不再是新概念。所有市場參與者都應了解其許可條件和義務。如果我們發現違規行為，我們將相應予以處理，缺乏時間或經驗不是借口。”[2018/10/25]

Sentry 是一個應用監測平臺，可以實時監控應用在運行狀態時出現的異常或錯誤日志信息。如果 Sentry 發現了系統 bug，會通過郵件等方式通知應用方的技術人員。

在加密世界，Sentry 服務被廣泛應用，Slope 錢包就是其一。但使用 Sentry 時需要注意一個問題，如果出現了配置錯誤，Sentry 可能會收集到額外的數據，如私鑰或助記詞等私密信息。

安全專家們推測，在 Solana 盜幣事件中，用戶創建錢包時，Slope 將助記詞和私鑰等敏感數據錯誤發送給了 Sentry。這給黑客提供了可乘之機，黑客竊取了存儲在 Sentry 中心化服務器上的私鑰。

經過調查后，Slope 發布聲明稱，雖然上述安全漏洞確實存在，但被攻擊的 Slope 地址的數量只是這次被盜錢包地址總數的一小部分。目前也暫無證據表明 Sentry 官方遭到了入侵和攻擊，因為 Slope 錢包使用的 Sentry 服務部署在私有服務器。

此外，具體數據來看，服務器上的私鑰和助記詞派生出來的地址中，與受害者地址有交集的，只有 5 個以太坊地址和 1388 個 Solana 地址。也就是說，Slope 此次被黑的超過 2700 個錢包中只有一半存在 Sentry 漏洞，這無法解釋其余用戶錢包是如何被黑的。

就已經掌握的調查結果來看，已知的攻擊者地址有 4 個，被盜資產在 Solana 鏈上尚未出現進一步轉移，但在 ETH 鏈上，一些資金已經被轉移到疑似 OTC 個人錢包地址，剩余部分被兌換為 ETH 后，轉移到了 Tornado Cash。

在這次 Solana 被襲同期，跨鏈橋 Nomad Bridge 也受到攻擊。值得注意的是，參與攻擊 Nomad Bridge 的黑客有上百位，甚至包含了「白帽子」，損失近 2 億美元。

慢霧科技首席信息安全官（CISO）張連鋒告訴極客公園，目前對 Web3 的攻擊類型主要有兩種：

一是鏈上攻擊，例如假充值、重入攻擊、重放攻擊、重排攻擊等。這類攻擊往往更加隱秘，需要通過專業的代碼安全審計、完備的鏈上分析監測預警等方法來識別。

二是鏈下攻擊，如高級長期威脅（APT）、網絡釣魚、供應鏈攻擊等。這類都是傳統 Web2 常見的安全問題，但是目前卻對 Web3 生態安全產生了很大影響。

今年 4 月，周杰倫丟失價值超 300 萬人民幣的無聊猿編號 3738 的 NFT，就是因為無意中點擊了釣魚鏈接。

周杰倫被盜的無聊猿 NFT。｜圖片源自網絡

Web3 自帶金融屬性，金錢的誘惑下，更容易被黑客盯上。隨著 Web3 玩家的體量不斷擴大，加密貨幣犯罪也呈現快速上漲趨勢。

根據慢霧區塊鏈被黑事件檔案庫（SlowMist Hacked）統計，2022 年上半年，Web3 領域的資產損失接近 20 億美元，已經超過 2021 年全年因黑客攻擊漏洞造成的總損失。

2022 年因此被稱作「Web3 興起以來損失最慘重的一年」。其中，以去中心化程度低、流動資金量大的跨鏈橋受損最為嚴重。

截至 6 月 30 日，今年共發生 7 起跨鏈橋安全事件，損失超過 10 億美元，占上半年總資產損失的半數以上。在上半年損失金額達到上億美元的 4 起事件中，有 3 起波及跨鏈橋。

比較有代表性的是區塊鏈游戲 Axie Infinity 的側鏈 Ronin Network 被襲，造成 6.24 億美元的損失，以及 Solana 的跨鏈橋項目 Wormhole 被攻擊，損失 3.26 億美元。

除了跨鏈橋，區塊鏈錢包也是安全事件發生的「重災區」。

錢包是用戶管理加密資產的工具，也是用戶進入各類 Web3 應用的賬戶入口，加密世界的交互和交易通過錢包來進行。

錢包包含著基于公鑰和私鑰生成的地址，表面上看是一組有字母、數字構成的符號串。其中的私鑰可以對照理解為 Web2 支付工具的密碼，掌握這個「密碼」的人才是加密資產的真正主人。

所以，私鑰一般是黑客攻擊竊取的關鍵信息。通常來說，大部分錢包都會與網絡連接，私鑰泄露的風險系數較高。

加密貨幣被黑客盜取后，主要流向就是洗錢場景，以混幣器為代表性「幫兇」。

從隱私保護出發的混幣器，本來的設想是消除用戶的鏈上交易痕跡，卻被黑客用作轉移被盜資產后的洗錢工具。不久前被制裁的 Tornado Cash 自 2019 年創建以來，已經「清洗」了價值超過 70 億美元的虛擬貨幣。

今年 5 月份的時候，美國曾經制裁了中心化混幣平臺 Blender，理由是 Blender 涉嫌幫助朝鮮知名黑客組織 Lazarus Group 清洗從 Axie Infinity 盜取的部分資產。

Lazarus Group 是一個來自朝鮮的網絡黑客集團，在 2021 年共竊取了價值超 4 億美元的加密貨幣。

以美國政府為代表的監管勢力盯上混幣器，黑客們的如意算盤未來或許打得不那么響。制裁犯罪固然重要，但另一個關鍵的問題是，加密世界亟需更優化的安全方案，在財產、隱私保護與犯罪監管之間尋求平衡。

無論對淺試 Web3 的個體玩家還是 All in 的建設者來說，在通向一個美麗新世界之前，先要走過一片遍布安全陷阱的暗黑森林。

極客公園

個人專欄

閱讀更多

金色早8點

Bress

鏈捕手

財經法學

PANews

成都鏈安

Odaily星球日報

Tags：WEB比特幣WEB3ENTWeBlock比特幣鉆石未來價值web3域名交易記錄MENT

以太坊交易所