作者:W3C DAO
Web3是一個去中心化的網絡,它利用區塊鏈、加密貨幣、NFT和DeFi等技術,為用戶提供更多的自由、隱私和創新。然而,Web3也不是完美的,它也存在著許多的安全風險和騙局,讓不少用戶遭受了損失和傷害。
01 Poly Network黑客攻擊
2022年8月10日,跨鏈協議Poly Network遭到了史上最大規模的黑客攻擊,導致超過6億美元的資金被盜。黑客利用了Poly Network在不同區塊鏈之間轉移資產時的漏洞,從以太坊、波場和幣安智能鏈上分別轉走了2.7億、2.5億和8500萬美元的代幣。
這起事件引起了整個Web3社區的震驚和關注,許多項目方和交易所紛紛表示愿意協助追回被盜資金。令人意外的是,黑客在攻擊后不久就開始與Poly Network進行溝通,并表示愿意歸還部分資金。截至2022年8月23日,黑客已經歸還了超過3.4億美元的資金,并表示剩余的資金將由一個多簽名錢包管理。
為了避免這種騙局,用戶應該謹慎選擇跨鏈協議,并檢查其是否有經過專業的審計和測試。用戶也應該注意跨鏈協議的安全性和可靠性,是否有足夠的保險或賠償機制。此外,用戶應該控制自己的跨鏈轉賬額度,不要將過多的資金放在一個協議上。
02 Squid Game代幣拉盤跑路
美國司法部調查Sabre Labs創始人:金色財經報道,據兩位知情人士透露,美國司法部正在調查 Solana 穩定幣交易所 Sabre Labs 背后的兩兄弟 Ian 和 Dylan Macalinao。根據CoinDesk 8 月份的報告顯示,Macalinao 兄弟使用一個由 11 個假名身份組成的網絡來建立一個互鎖金融產品生態系統,該生態系統通過在他們之間傳遞代幣來對加密貨幣存款進行雙重和三次計算。在 2021 年加密貨幣牛市高峰期,他們的努力將 Solana 的一項關鍵增長指標提高了數十億美元,并且據 Ian 稱,還提高了 SOL 的價格。
其中一位知情人士說,調查人員正在網上尋找圍繞 Sabre 運行的加密項目的信息。其中包括 DeFi 收益農業應用程序 Sunny Aggregator 以及在 3 月份的黑客攻擊中損失了數百萬美元的穩定幣項目Cashio。Ian 使用假名秘密為這兩個項目編寫了代碼。[2023/1/12 11:07:10]
2022年10月25日,一款以Netflix熱播劇《Squid Game》為主題的Web3游戲項目發布了自己的代幣Squid。該項目聲稱將通過智能合約模擬劇中的六個游戲,并讓玩家用Squid代幣參與競爭。該項目迅速吸引了大量關注和投資,Squid代幣在短短幾天內漲幅超過8萬倍,市值一度達到28億美元。
波蘭、意大利加入歐盟知識產權局區塊鏈:金色財經報道,2021年4月17日,?歐洲知識產權局?(EUIPO) 在其 IP Register區塊鏈上創建了創世區塊。區塊鏈用于記錄商標和設計文件的所有注冊和更新。本周,EUIPO宣布波蘭和意大利的專利局最新加入該網絡,使網絡上的節點數量達到六個。[2022/11/26 20:46:38]
然而,在2022年11月1日,該項目突然暴跌99%,市值縮水至300萬美元。原來,該項目是一個典型的拉盤跑路騙局,項目方在吸引了大量投資者后,將項目中的資金全部提走,并關閉了網站和社交媒體賬號。更糟糕的是,由于Squid代幣設置了一個只能買不能賣的機制,投資者無法及時退出或兌換其他代幣。
為了避免這種騙局,用戶應該對項目進行充分的調查和分析,比如查看項目的代碼是否經過審計、團隊成員是否公開身份、代幣分配是否合理、社區反饋是否積極等。用戶也應該注意項目是否有過度炒作、價格波動異常、鎖倉機制不清晰等風險信號。
03 Beeple NFT釣魚騙局
2022年3月11日,知名數字藝術家Beeple在佳士得拍賣會上以6930萬美元的價格,創造了NFT(非同質化代幣)的最高成交紀錄。這一事件引發了全球對NFT的熱潮,也讓Beeple成為了一個備受關注的名字。然而,就在這時,一些騙子利用了Beeple的名氣,發起了一場針對NFT愛好者的釣魚騙局。
加密創企Hivemapper推出原生代幣HONEY:11月4日消息,總部位于舊金山的區塊鏈行車記錄儀制造商及地圖加密創企宣布Hivemapper推出原生代幣HONEY,旨在為提供駕駛數據和道路圖像的行車記錄儀用戶提供獎勵。
據悉,車主后續可以通過上傳由Hivemapper專用行車記錄儀記錄的道路圖像來賺取加密貨幣。
此前報道,Hivemapper于今年四月完成1800萬美元融資,Multicoin Capital領投,Solana創始人、前蘋果地圖(Apple Maps)高管和Helium首席執行官等參投。(forkast)[2022/11/4 12:18:06]
騙子通過偽造Beeple的推特賬號,宣布將免費贈送一些NFT作品給粉絲,只要他們點擊一個鏈接,并輸入自己的MetaMask錢包密碼。不幸的是,有不少人上當受騙,導致他們的錢包被盜取了所有的資金和代幣。
為了避免這種騙局,用戶應該保護好自己的私鑰、助記詞、密碼等,不要向任何人透露或輸入。用戶也應該仔細檢查網站、郵件、消息或電話的真實性,比如是否有拼寫錯誤、是否有安全證書、是否與官方信息一致等。
04 Bitconnect龐氏騙局
Bitconnect是一個于2016年推出的Web3平臺,它聲稱可以讓用戶通過借貸和交易其代幣BCC來獲得高達40%的月收益。
加密媒體The Block將推出代幣化付費墻:8月25日消息,加密媒體The Block將推出代幣化付費墻(paywall),允許消費者通過一組統一的代幣購買多個媒體或創作者的訂閱內容。其中當用戶在The Block網站上點擊付費墻時,他們可以“抵押”或暫時提交一定數量的代幣來訪問網站的內容,每個參與的訂閱媒體或創作者都可以根據其訂閱成本來規定用戶必須抵押的代幣數量的最小值。對于不想將付款轉換為代幣的訂閱者,他們仍然可以通過The Block的舊域名使用信用卡訂閱付款;The Block最初將把代幣化的付費墻應用于其網站上發布的大約20%的文章,最終希望將付費墻擴展到所有內容,但可能需要5-10年以實現該目標。[2022/8/26 12:49:12]
該平臺還設立了一個多層次的推薦計劃,來獎勵那些推薦新用戶加入的人。由于Bitconnect承諾了過于美好的回報,它很快吸引了數以萬計的投資者,BCC代幣在2017年年底達到了4.3億美元的市值。
然而,在2018年1月16日,Bitconnect突然宣布關閉其借貸和交易平臺,并停止發行BCC代幣。原來,Bitconnect是一個典型的龐氏騙局,它利用新投資者的資金來支付舊投資者的收益,并沒有真正的商業模式或價值創造。當新投資者不足以支撐舊投資者時,騙局就崩潰了,導致大部分人損失慘重。
為了避免這種騙局,用戶應該警惕那些過于美好的承諾,比如無風險、保本保息、每日分紅等。用戶也應該了解項目的收益來源,是否有真實的商業模式或價值創造。用戶還應該檢查項目的合法性,是否有合規的許可證或監管機構的認可。
觀點:絕大多數被迫拋售已經發生,市場似乎相對穩定:金色財經消息,圖表中的相對穩定助長了人們的希望,即在Terra事件后,危機可能已經結束,這場崩盤還導致對沖基金三箭資本和經紀公司Voyager Digital相繼宣布破產。Glassnode首席分析師James Check表示,盡管加密世界的很多杠桿都沒有記錄在區塊鏈上,因此不受審查,但可見的情況令人鼓舞。“我認為絕大多數被迫拋售已經發生,”Check在接受采訪時表示,“從本質上講,市場似乎相對穩定。”
Check同時警告稱,現在市場還剩下兩個重要的潛在賣方,其中一方是比特幣礦工,他們的礦機價值隨著代幣的價格暴跌——如果Celsius的挖礦子公司開始卸載其80850臺鉆機中的一部分來籌集資金,這種壓力可能會加劇。另一方是交易員,如果股市再次崩盤,他們會不加區分地拋售各種風險資產。(彭博社)[2022/7/17 2:18:15]
05 重入攻擊
2016年6月17日,著名的DAO被攻擊事件發生。以太坊上的一個去中心化自治組織The DAO被黑客攻擊,市值五千萬美元的以太幣被轉移。當日,以太坊價格從19.42美元跌至11.32美元,跌幅41%。黑客利用了The DAO智能合約中一個名為splitDAO的函數的漏洞,該函數允許用戶退出The DAO并獲得相應的以太坊代幣。黑客在退出The DAO的同時,多次調用了splitDAO函數,從而在合約更新自己的余額之前,多次提取了以太坊代幣。
而后,以太坊社區發起了一項是否支持硬分叉的投票,近 97% 的 ETH 持有者投出了贊成票,只有少數人不同意分叉,最終硬分叉方案一致通過,硬分叉的結果就是--以太經典ETC。
重入攻擊是指一種利用智能合約在執行過程中可以被多次調用的特性,來重復執行某些操作,從而竊取或操縱資金的方式。重入攻擊通常發生在智能合約在轉移資金之前沒有更新自己的狀態或余額,導致黑客可以利用同一個交易來多次請求轉賬。
06 閃電貸攻擊
2022年2月,有一個叫做PancakeBunny的DeFi平臺遭到了一次閃電貸攻擊,導致其代幣BUNNY的價格暴跌了95%。黑客利用了PancakeBunny的流動性挖礦池的設計缺陷,通過閃電貸借入大量的BNB代幣,并用它們來換取BUNNY代幣。然后,黑客又將BUNNY代幣兌換成BNB代幣,并還清了閃電貸。這樣一來,黑客就獲得了大量的BNB代幣,而PancakeBunny的流動性池和市場則被嚴重擾亂。
閃電貸是指一種利用智能合約在一個區塊內完成借貸和還款的操作,不需要任何抵押或信用的方式。閃電貸可以為用戶提供一些有趣和創新的金融策略,比如套利、杠桿、流動性挖礦等。然而,閃電貸也可以被用來發動攻擊,利用一些去中心化金融(DeFi)平臺的漏洞或缺陷,來竊取或操縱資金。
07 BadgerDAO黑客攻擊
這是一起發生在2022年12月2日的去中心化金融(DeFi)項目BadgerDAO遭到黑客攻擊的事件,導致超過1.19億美元的資金被盜。
黑客利用了BadgerDAO的網站和DNS服務器的漏洞,將其劫持并重定向到一個偽造的網站。在這個網站上,黑客誘騙用戶連接自己的MetaMask錢包,并授權一個惡意的智能合約來轉移用戶的資金。這是一種比較傳統的網絡釣魚攻擊,但卻對BadgerDAO造成了巨大的損失。
08 Meerkat Finance跑路
2022年3月4日,基于幣安智能鏈(BSC)的DeFi項目Meerkat Finance發起的跑路騙局,導致大約3100萬美元的用戶資金被盜。
Meerkat Finance是一個提供流動性挖礦和收益優化服務的項目,它聲稱可以讓用戶通過存入或借出代幣來獲得高額收益。然而,在項目上線不到一天后,Meerkat Finance就宣布遭到了黑客攻擊,并將其網站和社交媒體賬號全部刪除。
事實上,這是一個精心策劃的騙局,Meerkat Finance的開發者利用自己對合約代碼的控制權,修改了合約中存儲私鑰的變量,并將用戶存入的代幣轉移走。這是BSC上最大規模的騙局之一,也引發了對BSC安全性和可靠性的質疑。
09 RugZombie騙局
2022年10月31日,基于BSC的NFT項目RugZombie發起的跑路騙局,導致大約1000萬美元的用戶資金被盜。
RugZombie是一個聲稱可以讓用戶通過購買和鑄造NFT來復活被“拉毯”的代幣項目的平臺。然而,在項目方宣布將在10月31日發布一個新的NFT系列之前,他們突然將流動性池中的所有資金轉走,并刪除了所有的社交媒體賬號和網站。這導致RugZombie代幣的價格暴跌,許多投資者無法出售自己的代幣,損失慘重。
10 穩定幣攻擊
2022年4月5日,去中心化借貸平臺Liquity被攻擊,導致大約1100萬美元的用戶資金被盜。
Liquity是一個基于以太坊的借貸平臺,它聲稱可以讓用戶通過抵押ETH來借出其自有穩定幣LUSD,并獲得其治理代幣LQTY作為獎勵。
然而,在項目上線后不久,就有人發現了一個漏洞,可以讓用戶通過利用Liquity合約中的一個函數來創建無限量的LUSD,并將它們兌換成其他代幣。
這導致了LUSD代幣的價格暴跌,以及Liquity合約中存儲的ETH被大量轉移走。項目方聲稱是由于合約代碼中存在一個錯誤導致的漏洞,并承諾將盡快修復并賠償受影響的用戶。然而,有分析顯示,項目方在漏洞發生前就已經將部分資金轉移走了。
總結
Web3是一種新興的技術和金融領域,它們有著巨大的潛力和創新,但也伴隨著很多的風險和挑戰。
在這篇文章中,分別介紹了十個Web3安全事件,這些事件涉及了不同的平臺、項目、通證和合約,但都反映了一些共同的問題,比如代碼質量、審計機制、用戶教育、監管缺失等。通過分析這些事件的原因、過程和后果,給出了一些防范和應對的建議,比如謹慎選擇項目、保護好私鑰、檢查網站真實性、警惕過度承諾等。這篇文章對于Web3的愛好者和投資者來說,是一份很有價值的參考資料,可以幫助他們提高自己的安全意識和能力。
W3C DAO
個人專欄
閱讀更多
金色財經
金色薦讀
區塊鏈騎士
金色財經 善歐巴
Block unicorn
Foresight News
深潮TechFlow
olychain Capital是一家能讓項目發揮潛能、夢想成真的風險投資公司。他們在2017年投資了MakerDAO和dydx,2018年投資了Starkware.
1900/1/1 0:00:00在頭部科技廠商的最新敘事里,ToB賦能千行百業才是大模型落地的重點。騰訊、華為之后,又一個姍姍來遲的大模型“雖遲但到”.
1900/1/1 0:00:00文章作者:Jeff Wilser 文章編譯:Block unicorn長期以來,代幣化一直是加密貨幣界的大主題,現在,它或許終于準備好迎接黃金時期.
1900/1/1 0:00:00作者:Messari,翻譯:金色財經xiaozouDePIN是使用代幣激勵現實世界基礎設施建設的去中心化網絡.
1900/1/1 0:00:00作者:TOM MITCHELHILL,COINTELEGRAPH;編譯:松雪,金色財經據報道,美國檢察官和國稅局(IRS)特工正在調查涉嫌非法受益于波多黎各稅收減免的加密貨幣交易商和基金經理.
1900/1/1 0:00:006月2日,我們邀請了徐遠老師來到香帥讀書會,通過直播分享他的書《貨幣的界碑:數字貨幣的經濟邏輯》,我們整理了直播內容的精華版,分享給大家.
1900/1/1 0:00:00