2022年第三季度,黑客從Web3.0領域中盜取了總價值約5億美元的資產,這個數字相比上季度減少了32.32%,同時今年的損失總額增長至28.8億美元。
第三季度共發生了98起退出騙局,導致了5619萬美元的資產損失,23起閃電貸攻擊則導致了1737萬美元的資產損失。
僅6起多鏈安全事件造成的高達4.3億美元的損失金額就占到了本季度總損失的85.3%。
第三季度CertiK審計的Web3.0項目數量新增了537個,同時CertiK審計的項目總數達到了4737個。37個Web3.0項目成功通過KYC項目背景調查,47個項目入駐CertiKSkynet。
截至目前,2022年CertiK已完成了183個項目的KYC項目背景調查服務,同時有846個新的Web3.0項目入駐CertiKSkynet。?
第三季度攻擊損失清單
①以攻擊類型分類
98起退出騙局,共計損失5619萬美元
23起閃電貸攻擊,共計損失1737萬美元
50起其他攻擊事件,共計損失4.3億美元
②?以生態系統分類
Avalanche:4起事件,共計損失316萬美元
BNBChain:105起事件,共計損失5389萬美元
Ethereum:25起事件,共計損失2838萬美元
Fantom:2起事件,共計損失39萬美元
Multichain:6起事件,共計損失3.53億美元
Polygon:3起事件,共計損失106萬美元
Solana:4起事件,共計損失2102萬美元
其他/非區塊鏈:11起事件,共計損失531萬美元
③以時間分類?
數據:巨鯨地址于1小時前將15.7萬枚LINK轉至Binance:金色財經報道,據Spot On Chain數據顯示,某巨鯨地址于1小時前將157,453枚LINK轉移至Binance(約合113萬美元),此前持倉時長已有5個月。據悉,該巨鯨地址于2022年11月至12月期間囤積613,394枚LINK,預估成本為458萬美元,平均買入價為7.46美元,若現在拋售(現報價7.2美元),或將承受一定虧損。[2023/4/11 13:55:19]
7月:59起事件,共計損失6673萬美元
8月:56起事件,共計損失2.55億美元
9月:53起事件,共計損失1.82億美元?
概要
7月是今年到目前為止安全態勢最為良好的一個月,黑客攻擊、詐騙行為、漏洞利用和其他安全事件僅造成了6600萬美元損失,但該數量在之后兩個月內再次攀升。8月總損失的74%源于NomadFinance跨鏈橋攻擊事件,而9月總損失的89%源于做市商Wintermute錢包被盜的1.62億美元。
2022年第三季度,Web3.0行業仍然多受退出騙局的困擾。本季度,CertiK共記錄了169起獨立安全事件,其中58%被歸類為退出騙局。
如果仍然有一些經驗不足的用戶考慮把錢投資到未經審計的項目中,或是甘愿冒著風險急于成為代幣早期持有人,那么退出騙局就會持續擴散,整個產業也將被其陰影籠罩。??
跑路的過程其實非常簡單明了,欺詐團隊所要做的僅僅是復制粘貼現成的騙局項目代碼并將其部署,為去中心化交易所的交易對增加流動性,然后將代幣推銷給用戶,直到他們投入了足以讓欺詐團隊脫身的大量資金。
代碼審計很容易就能發現項目錢包所存在的中心化風險及訪問特權,從而根據一些疑點揭露團隊欺詐。我們建議Web3.0用戶不要投資任何未經審計,或者那些審計發現了中心化和特權風險卻未修復的項目。
OpenSea與華納音樂集團達成合作:金色財經報道,NFT 市場 OpenSea 已與美國唱片公司華納音樂集團合作,通過NFT drops幫助吸引樂迷。 華納音樂集團發布的一份新聞稿稱,簽約華納音樂集團的藝人將在OpenSea上擁有自己的頁面,以提高粉絲粘性并建立社區。
今年2月,環球音樂集團(Universal Music Group)與娛樂NFT平臺Curio合作,放棄了唱片公司的數字資產。音樂流媒體巨頭Spotify今年5月宣布,將開始在其平臺上試驗NFT。(the block)[2022/9/30 6:03:09]
其實所有退出騙局基本都遵循著類似的套路,要規避那些明顯有退出騙局跡象的項目并不困難,因此退出騙局并不能提供Web3.0安全方面的最具啟發性案例分析。?
但是第三季度還發生了許多其他不尋常的事件,可以讓Web3.0用戶和開發者汲取到新的經驗。本報告將分享三個案例,就其事件進行分析并從中為讀者提取安全相關的重要啟示。
Nomad跨鏈橋黑客攻擊事件:損失1.9億美元,成為本季度最嚴重的安全事件;做市商Wintermute錢包私鑰泄露事件:被盜1.62億美元;Slope被黑事件:損失800萬美元,其是Solana生態中比較流行的熱錢包,被黑數額相對較小。然而,以上所有損失都是由于不安全的應用程序代碼所致,這就表明要實現Web3.0的全面安全不僅關乎智能合約,技術堆棧的各個層面也必須保證安全。?
實際上,Nomad跨鏈橋被黑和Wintermute私鑰泄露事件的資產損失合計占據了第三季度總損失的近70%,這說明成功的漏洞攻擊很可能不需要黑客付出過多“努力”,而其所得的回報有可能是巨大的。換句話說,無論目標錢包存有162美元還是1.62億美元,如果攻擊者想要暴力破解其私鑰,所要付出的算力都是一樣的。而在Nomad被黑事件中,任何普通用戶都能簡單復制原始攻擊者的交易,并換成自己的錢包地址實施攻擊,這也更加凸顯Web3.0世界的殘酷性。毫無疑問,所有漏洞都會受到最大程度地利用。Web3.0開發者必須認真對待安全問題,不僅是為了保護用戶資金,也是為了保障整個項目的長期生存和發展。?
NYDIG母公司Stone Ridge推出創業加速器Wolf:金色財經報道,比特幣投資公司NYDIG母公司Stone Ridge推出創業加速器 In Wolf's Clothing (?Wolf?),該加速器將致力于發展以比特幣為中心的應用程序。該計劃每年將有四批人,每批人包括大約8到12個團隊,或者大約30到50個創始人,從世界各地來到紐約市,每次為期8周,專注于建立以比特幣為中心的閃電網絡和Taro。[2022/10/26 11:45:22]
重大安全事件
私鑰安全危機四伏
導致Slope錢包被黑的漏洞并不常見,該事件涉及了9000多個錢包地址,損失金額高達800萬美元。大部分因退出騙局或智能合約代碼錯誤造成的損失只發生在區塊鏈上,但這次事件卻源自一個鏈下漏洞。?
8月2日晚,Solana用戶錢包中的資產開始神秘消失,且每筆轉賬都是有效交易,就像是錢包主人自己操作簽名轉移了所有代幣。調查人員在調查被黑錢包之間共性的過程中,關于漏洞起源的一系列假設也開始流傳。?
這些假設和結論讓那些擔憂大型DeFi平臺被黑導致數十萬用戶和價值數十億美元的資產都將處于險境之中的人們松了口氣。因為就在前一天剛剛發生了Nomad跨鏈橋被黑事件,人們仍然處于神經緊繃的狀態中。最終Slope的漏洞是在其錢包應用程序的代碼中被發現的——該程序會在服務器上以明文形式存儲用戶的助記詞。當攻擊者獲得該數據庫的訪問權時,就能完全控制所有受到影響的錢包,并立即卷走資產。
一些反應迅速的用戶已將資金轉移到了硬件錢包或其他不受Slope漏洞影響的熱錢包中。?安全啟示:使用硬件錢包或者網絡隔離電腦離線生成密鑰是最安全的做法,而在熱錢包中生成或導入的私鑰都不宜用于存放任何重要資產。
Glassnode:2萬美元區域是比特幣新買家的重要觸發點:金色財經報道,據區塊鏈分析公司Glassnode數據顯示,在今年5-6月的過程中,比特幣交易價格下降到2萬美元的區域,這成為投資者投降和新買家的重要觸發點,因此成為比特幣轉手的節點。剛剛被重新賣出的比特幣現在掌握在更高信念的持有人手中,需要經歷一個過程才能成熟,雖然許多底部形成的信號已經到位,但市場仍然需要持續一段時間和痛苦才能建立一個有彈性的底部,比特幣投資者還沒有走出困境。[2022/7/15 2:15:03]
謹慎處理錢包密鑰?
9月20日,最大數字資產做市商之一的Wintermute因私鑰泄露造成1.62億美元損失,原因是Wintermute使用第三方工具生成的“vanity”地址存在漏洞,并遭到黑客利用。造成這次意外事件的原因不同于由智能合約漏洞所致的常見情況,而是來自外部的基礎設施問題。
大多數以太坊地址看起來是一串完全隨機的字母和數字,開頭都為0x。這樣的好處是提供了一定程度的隱私性,但這并不能滿足想要一個獨特地址的用戶。基于人們對“vanity地址”的追求,一個名為“Profanity”的vanity生成器應運而生,它可幫助用戶為包含指定單詞或字符串的地址生成密鑰。
除此之外,Profanity還可以被用來創建錢包地址,以優化手續費,這也是Wintermute團隊創建0x00000000AE347......b92280f9e75地址的初衷,但卻最終導致了錢包被黑。開頭那串冗長的0簡化了地址,減少了以太坊網絡的算力需求,從而在一定程度上降低了交易手續費——這些節省下來的手續費看似微小,卻會在成千上萬的交易中積少成多。
2022年1月,用戶k06a曾在Profanity的GitHub:https://github.com/johguse/profanity/issues/61,提出了一個關于私鑰生成方式的問題:Profanity使用一個隨機的32位種子數來生成256位私鑰。
V神:不認同主架構師假設,比特幣也是由人類設計出的社會系統:5月18日消息,Vitalik Buterin 在回復 Blockstream 首席執行官 Adam Back 的一條帖子中表示,并不認同一個所謂的“大師級架構師的假設”,最初的加密貨幣(比特幣)也是一個由人設計的社會系統。加密貨幣的支持者認為 Satoshi Nakamoto 的協議是完美的這一事實證明,他們實際上并沒有拒絕主架構師假設。 此前,V神表示,盡管他熱愛權力下放和民主,但在許多政策問題上,他比普通人更傾向于與知識精英達成一致。[2022/5/18 3:25:06]
2022年9月15日,1Inch發表了一篇文章,詳細介紹了如何破解Profanity生成的錢包私鑰的方法。
僅過兩天,該漏洞就在眾目睽睽之下遭到黑客利用。0x6...b93錢包賬戶抽空了多個vanity錢包,包括來自0x0Babe...B05的500枚ETH、0x888888888...597的100枚ETH、0x000000...422的104.4枚ETH,以及更多其他錢包的資產,總價值為330萬美元。?
在技術發展瞬息萬變的Web3.0世界,只需要四天就能借助這一漏洞攻破一個Wintermute的DeFi交易錢包,其損失的1.62億美元也是今年因私鑰泄露造成的最高資產損失。??
事發后,攻擊者迅速將價值1.14億美元的穩定幣轉入CurveFinance的3Pool。有人猜測這是為了避免被盜資金被USDT和USDC列入黑名單并凍結。
但問題還沒解決:所有基于Profanity創建的錢包都存在風險。9月25日,vanity地址0x000000000......Ff3791338975被黑,攻擊者卷走了錢包中價值超過95萬美元的各種代幣,將其換成732.3枚ETH后,又通過15次交易把這些代幣全部存入TornadoCash。
通過SkyTrace可視化追蹤黑客錢包?
數字金融服務提供商AmberGroup稱其團隊能夠在48小時內利用一臺M1處理器和16G內存的MacBook復現黑客構建的漏洞并發起攻擊。
安全啟示:所有使用Profanity生成錢包的用戶都應盡快將資產轉移到可離線生成密鑰的錢包中。?
Nomad跨鏈橋遭劫
8月1日,NomadFinance在Ethereum、Moonbeam、Avalanche、Evmos和Milkomeda之間的跨鏈橋遭到攻擊,涉案金額約1.9億美元。
在一次常規升級部署后,由于一個錯誤配置允許黑客繞過驗證信息,最終導致了這起悲劇發生。最初攻擊的消息被傳開以后,其他黑客、機器人以及社區成員也紛紛效仿,通過克隆原始黑客的交易數據、換上他們自己的地址發起攻擊,幾乎抽空了跨鏈橋的所有資產。?
百聞不如一見:人們對一個持有9位數資產的跨鏈橋實施了去中心化式搶劫?–@0xfoobar?
這次的漏洞本質上源于acceptableRoot(messages)函數中的一個錯誤,它允許用戶繞過從跨鏈橋上提取資金所需要的驗證。關于此次事件的完整技術分析,歡迎閱讀CertiK官方公眾號發布的Nomad事件分析報告。
跨鏈橋為巨額資金提供托管服務,是其成為黑客主要目標的原因。今年初,Wormhole跨鏈橋遭漏洞利用,損失超過3.2億美元,是有史以來第二大DeFi被黑事件。
值得注意的是,在這場混亂不堪的攻擊中,所有對相關技術稍有了解的投機用戶都能輕松復制原始攻擊者的交易,這些人蜂擁而上將跨鏈橋洗劫一空。?
作為回應,Nomad宣布向所有歸還贓款的用戶提供10%的白帽賞金,同時將對那些不歸還資金的人采取法律行動。
安全啟示:某個漏洞一旦被公開,就別指望惡意者不會抓緊機會聞風而動,因為開源的代碼意味著所有人都可以對其進行最大程度的惡意利用。?
本季度大事記
以太坊已順利合并
9月15日凌晨,無數目光聚焦在以太坊。Web3.0史上最重大的網絡升級順利完成,以太坊的共識機制正式轉為PoS權益證明。關閉PoW工作證明后,以太坊的網絡能耗從112TW/年驟降為0.01TW/年。這99.95%的能耗降幅不僅減少了以太坊網絡對環境的影響,也讓ETH在面對那些曾因環保顧慮而放棄了合作的用戶和投資者時更具吸引力。
本次合并是一項了不起的技術成就,此次升級的巨大成功也得益于開發者與網絡成員多年的精心準備。如果升級失敗,整個網絡都將承受災難性的后果。?
盡管人們仍然擔心驗證者的中心化問題,但如果消除了對昂貴挖礦設備的需求,更加多樣的網絡參與者會被吸引加入。雖然還有許多其他PoS網絡也在運行,但對于鎖定價值數千億美元資產的以太坊網絡來說,其雄心勃勃的發展計劃已經箭在弦上。
史上最強制裁風暴?
8月8日,美國財政部下屬海外資產控制辦公室宣布將以太坊混幣隱私應用TornadoCash和相關44個錢包地址納入制裁名單,禁止任何美國個人和實體與TornadoCash相關地址進行交互,并要求TornadoCash向OFAC報告其平臺上所有的美國資產。?
與此同時,現年29歲的TornadoCash軟件開發者AlexeyPertsev被荷蘭當局逮捕,理由是“涉嫌利用TornadoCash以太坊混合服務參與洗錢和隱瞞犯罪資金流動”。截至發稿前,Pertsev尚未被正式指控任何罪行,而荷蘭法律規定犯罪嫌疑人在未受指控的情況下最長可被羈押110天。
美國財政部對TornadoCash采用“聲名狼藉”的描述也并非毫無理由。TornadoCash自2019年成立以來,已被用于價值超過70億美元的數字貨幣洗錢活動。其中包括由朝鮮國家支持的黑客組織LazarusGroup所盜取的超過4.55億美元、來自HarmonyBridge漏洞攻擊的9600萬美元,以及2022年8月2日NomadHeist事件中的至少780萬美元等事件。?
但美國財政部將TornadoCash的所有應用均概括為洗錢活動就有失偏頗了。雖然TornadoCash的確成了犯罪分子清洗不義之財的首選工具,但在區塊鏈技術的開放世界中,該平臺也作為重要的金融隱私工具之一發揮著作用。以太坊聯合創始人VitalikButerin在制裁后透露,他曾使用TornadoCash進行過私人捐款。而僅在今年,反對金融監管的斗爭已經贏得了來自不同意識形態的個人和團體支持,如美國的支持選擇權活動家和加拿大的反疫苗授權抗議者。
在禁令宣布后,TornadoCash在GitHub上的開源代碼被迅速刪除,但在OFAC就此事作出了澄清后,代碼又被重新恢復。9月13日,OFAC在其常見問題頁面中發布了指導意見:
“雖然美國被禁止與TornadoCash或其被封鎖的財產或財產權益進行任何交易,但只要不涉及禁止交易,與TornadoCash開源代碼本身的互動就是被允許的。例如,美國制裁法規不會禁止人們復制開源代碼并將其在線提供給他人查看、討論以及教學,或將開源代碼收錄于書面出版物中。”?
這個仍在繼續的Web3.0傳奇故事凸顯了Web3.0資產與行業相關實體所面臨的挑戰:在試圖遵守嚴格的政府行動的同時,又要對事后遲來的指導意見及時作出反應。
Learningaboutcrypto,有時候就像是從消防水管里喝水一樣。信息的洪流滔滔不絕,而你很有可能不小心就錯過了關鍵信息.
1900/1/1 0:00:00以太坊開發者大會Devcon6于2022年10月11日至14日在哥倫比亞首都波哥大舉行。本次會議由以太坊基金會主辦,旨在通過為Web3社區提供教育,加深社區對去中心化系統的了解,同時將去中心化協.
1900/1/1 0:00:00摘要 目前的以太坊主網將通過與信標鏈的合并完成從工作量證明到權益證明的過渡,同時保留合約執行功能和當前用戶狀態的完整歷史數據.
1900/1/1 0:00:00作者|霍學文,北京銀行黨委書記、董事長發表于《中國金融》2022年9月增刊習近平總書記指出,數字經濟發展速度之快、輻射范圍之廣、影響程度之深前所未有.
1900/1/1 0:00:00官方新聞 Celestia正在構建一個模塊化的共識和數據網絡,以便任何人都可以輕松地以最小的開銷部署自己的區塊鏈。Celestia的新模塊化區塊鏈架構旨在提高未來十年Web3創新的規模和速度.
1900/1/1 0:00:00TL;DR: 現有助記詞錢包的用戶體驗和安全性都遠遠達不到Web2的級別,使用助記詞錢包的高門檻阻止了大量Web2用戶進入Web3世界。低門檻錢包的使命就是解決此問題.
1900/1/1 0:00:00