宇宙链 宇宙链
Ctrl+D收藏宇宙链

半年被盗 20 亿美金黑客与监管都盯上了 Web3

作者:

时间:1900/1/1 0:00:00

2022年是Web3崛起以来,损失最惨重的一年。

Web3这一个月来风波不断。

8月初,明星公链Solana发生黑客盗币事件,超过9000个钱包地址被袭击,损失约400多万美元,在用户中引发了一波恐慌情绪,也让Solana陷入信用危机。

几天后,加密货币混币器TornadoCash被美国财政部的下属机构——海外资产控制办公室列入制裁名单,其中包括40多个与TornadoCash协议相关的以太坊地址,涉及价值超4亿美元的资产被冻结。

定位于隐私服务的混币器,在加密社区的名声一直备受争议,其中的「头部」TornadoCash更是有「脏币销金窟」之称。

TornadoCash被美国财政部制裁后,其代币价格大幅下降。

这次制裁意味着美国的社区用户,无论个人还是实体,都不得再与TornadoCash平台以及和它绑定的钱包地址进行经济交易。按照过往的案例,如果违规,可能面临高达30多万美元的罚款和最高30年的监禁。

报告:Polkadot第二季度收入环比下降32%:7月11日消息,Messari发布Polkadot 2023年第二季度报告,报告显示,Polkadot市值环比下降16%,从77.4亿美元降至62.4亿美元。收入为8.1万美元,环比下降32%。中继链日均活跃账户数为5800个,环比下降16%。截至6月底,整个Polkadot生态系统共有390万个唯一账户(公钥地址),环比增加20万个,年初至今增加60万个。拥有超过750名全职开发者,总共2000名开发者,第二季度,整个 Polkadot 生态系统平均每月有29.5万名活跃用户,其中包括外部签名者和代币接收者。[2023/7/11 10:47:04]

紧接着,外媒曝出29岁的TornadoCash开发者在荷兰阿姆斯特丹被逮捕,当地执法部门称TornadoCash涉嫌隐瞒非法资金流动和协助,从今年6月份开始一直在对其进行调查。

TornadoCash被制裁,在加密行业引发「站队」。有人公开表达不满,认为美国财政部监管越界,侵犯了美国公民的隐私权和自由;也有人带头响应监管,稳定币USDC的发行方Circle迅速冻结了TornadoCash相关钱包地址上的资产。

Web3正面临着崛起以来最严峻的安全考验与审查压力。2022年上半年,Web3领域的资产损失约为20亿美元,超过了去年全年被黑客攻击的总损失数额。随之而来的连锁反应是,监管执法之手越伸越长。

CoinShares:上周数字资产投资产品净流入4370万美元:11月21日消息,据CoinShares周报数据,上周数字资产投资产品净流入 4370 万美元,但空头投资产品流入占总流入量的 75%。总资产管理规模目前处于 2 年来的最低点 220 亿美元。比特币的总流入量为 1400 万美元,但当被流入空头投资产品所抵消时,为净流出 430 万美元。空头比特币的资产管理规模目前为 1.73 亿美元,接近 1.86 亿美元的高位。做空以太坊投资产品的流入量总计 1400 万美元,是有记录以来的最大资金。山寨币出现大量资金流出,最著名的是 Solana、XRP、Binance 和 Polygon,总计 600 万美元。[2022/11/21 7:52:17]

人们的惯常认知中,强调去中心化逻辑的Web3本应拥有更强的安全性和私密性,如今却被黑客和监管双双盯上。加密世界正经历着对其未来命运影响深远的动荡时刻。

01黑客打劫Solana:一场悬而未决的「公案」

距离Solana发生黑客盗币时间已经过去半个多月,官方依然没有给出最终的调查结果。

区块链安全公司慢雾科技团队分析发现,根据Solanafoundation提供的数据显示,近60%被盗用户使用的是Phantom钱包,此外有30%左右地址使用了Slope钱包,并且iOS和Android版本的应用都有相应的受害者。

Wuliangye NFT项目疑似Rug Pull,官网和社群已关闭:8月11日消息,Wuliangye NFT项目疑似发生Rug Pull,目前官网与Discord社群已关闭。

此前8月5日消息,Wuliangye NFT部署地址向Binance转入111,316枚USDT。据了解,Wuliangye NFT项目与名酒品牌五粮液无关。[2022/8/11 12:17:42]

事发3天后,Slope曾在twitter上发布了一个官方钱包地址,并公开表示,一直在与执法部门和情报公司合作追踪被盗资产,如果黑客愿意归还,可以向其支付10%的赏金。「收回这些资金后,我们就不会再继续追究,也不会采取任何法律行动。」

Slope团队给黑客留了48小时的时间来归还资产,但这个赏金要约并未得到黑客的回应。

Slope钱包官方向黑客发出赏金要约

硬件钱包Keystone创始人刘力心还记得,事发当天,他被拉进了一个有100多位白帽黑客的「warroom」,安全专家们讨论了事件可能的经过。

英国数字银行Zopa宣布推迟IPO计划:金色财经报道,今年早些时候,英国金融科技平台Zopa宣布退出P2P贷款行业,专注于数字银行业务和首次公开募股(IPO)计划。近日,Zopa首席执行官Jaidev Janardana在出席Money20/20大会时表示,受俄乌冲突、通胀水平走高等因素影响,现在的市场环境并不乐观,Zopa原定于2022年上市的计划也将继续推迟。其实这并不是Janardana第一次做出类似表态。就在今年早些他就在接受City A.M.采访时表示,Zopa对于上市并不着急。过去一段时间,Zopa的业务发展顺利,并在不久前刚刚推出了“先买后付”服务。[2022/6/14 4:24:39]

「最初的猜测是某个NFT项目被集体攻击。」刘力心回忆,从被黑的钱包地址数量来看,八九千个的量级通常是某个NFT项目发行的常见数量,最初的猜测是某个NFT项目方作恶,例如进行了恶意授权。

但这个猜测很快被否定。安全技术人员发现,有几笔被盗交易的发生是由于用私钥做签名,而不是错误授权导致资产转移。接下来,关于事故原因的猜测还有供应链攻击、黑客撞取随机数、采取不恰当的签名方式等等,随后也都被一一推翻。

当天下午,一位海外研究人员发现,Solana链上的Slope钱包私有化部署了第三方应用监控服务Sentry,会收集用户的私钥或助记词等信息,然后上传到中心化的服务器。

Multicoin Capital对NFT项目Loot的投资下跌95%:金色财经报道,据Multicoin Capital联合创始人凯尔·萨马尼(KyleSamani)称,Multicoin Capital对NFT项目Loot的8位数投资下跌了95%。他在承认价值下降后发推文说,“愿意在风险中损失100%的资本对我们的长期成功非常重要”。Vine创始人Dom Hoffmann于2021年8月推出了Loot。一经推出,Loot在NFT领域迅速获得人气,第一周销售额超过2.3亿美元。Multicoin Capital在2021年9月该系列的流行高峰期购买了8位数的Loot(至少1000万美元)。当时,Samani表示这是Multicoin的第一笔NFT购买。他说,Loot的投资论点很简单,这是“第一个可投资的加密原生游戏”。(theblockcrypto)[2022/5/6 2:55:03]

Sentry是一个应用监测平台,可以实时监控应用在运行状态时出现的异常或错误日志信息。如果Sentry发现了系统bug,会通过邮件等方式通知应用方的技术人员。

在加密世界,Sentry服务被广泛应用,Slope钱包就是其一。但使用Sentry时需要注意一个问题,如果出现了配置错误,Sentry可能会收集到额外的数据,如私钥或助记词等私密信息。

安全专家们推测,在Solana盗币事件中,用户创建钱包时,Slope将助记词和私钥等敏感数据错误发送给了Sentry。这给黑客提供了可乘之机,黑客窃取了存储在Sentry中心化服务器上的私钥。

经过调查后,Slope发布声明称,虽然上述安全漏洞确实存在,但被攻击的Slope地址的数量只是这次被盗钱包地址总数的一小部分。目前也暂无证据表明Sentry官方遭到了入侵和攻击,因为Slope钱包使用的Sentry服务部署在私有服务器。

此外,具体数据来看,服务器上的私钥和助记词派生出来的地址中,与受害者地址有交集的,只有5个以太坊地址和1388个Solana地址。也就是说,Slope此次被黑的超过2700个钱包中只有一半存在Sentry漏洞,这无法解释其余用户钱包是如何被黑的。

就已经掌握的调查结果来看,已知的攻击者地址有4个,被盗资产在Solana链上尚未出现进一步转移,但在ETH链上,一些资金已经被转移到疑似OTC个人钱包地址,剩余部分被兑换为ETH后,转移到了TornadoCash。

02Web3「危机四伏」

在这次Solana被袭同期,跨链桥NomadBridge也受到攻击。值得注意的是,参与攻击NomadBridge的黑客有上百位,甚至包含了「白帽子」,损失近2亿美元。

慢雾科技首席信息安全官张连锋告诉极客公园,目前对Web3的攻击类型主要有两种:

一是链上攻击,例如假充值、重入攻击、重放攻击、重排攻击等。这类攻击往往更加隐秘,需要通过专业的代码安全审计、完备的链上分析监测预警等方法来识别。

二是链下攻击,如高级长期威胁、网络钓鱼、供应链攻击等。这类都是传统Web2常见的安全问题,但是目前却对Web3生态安全产生了很大影响。

今年4月,周杰伦丢失价值超300万人民币的无聊猿编号3738的NFT,就是因为无意中点击了钓鱼链接。

周杰伦被盗的无聊猿NFT

Web3自带金融属性,金钱的诱惑下,更容易被黑客盯上。随着Web3玩家的体量不断扩大,加密货币犯罪也呈现快速上涨趋势。

根据慢雾区块链被黑事件档案库统计,2022年上半年,Web3领域的资产损失接近20亿美元,已经超过2021年全年因黑客攻击漏洞造成的总损失。

2022年因此被称作「Web3兴起以来损失最惨重的一年」。其中,以去中心化程度低、流动资金量大的跨链桥受损最为严重。

截至6月30日,今年共发生7起跨链桥安全事件,损失超过10亿美元,占上半年总资产损失的半数以上。在上半年损失金额达到上亿美元的4起事件中,有3起波及跨链桥。

比较有代表性的是区块链游戏AxieInfinity的侧链RoninNetwork被袭,造成6.24亿美元的损失,以及Solana的跨链桥项目Wormhole被攻击,损失3.26亿美元。

除了跨链桥,区块链钱包也是安全事件发生的「重灾区」。

钱包是用户管理加密资产的工具,也是用户进入各类Web3应用的账户入口,加密世界的交互和交易通过钱包来进行。

钱包包含着基于公钥和私钥生成的地址,表面上看是一组有字母、数字构成的符号串。其中的私钥可以对照理解为Web2支付工具的密码,掌握这个「密码」的人才是加密资产的真正主人。

所以,私钥一般是黑客攻击窃取的关键信息。通常来说,大部分钱包都会与网络连接,私钥泄露的风险系数较高。

加密货币被黑客盗取后,主要流向就是场景,以混币器为代表性「帮凶」。

从隐私保护出发的混币器,本来的设想是消除用户的链上交易痕迹,却被黑客用作转移被盗资产后的工具。不久前被制裁的TornadoCash自2019年创建以来,已经「清洗」了价值超过70亿美元的虚拟货币。

今年5月份的时候,美国曾经制裁了中心化混币平台Blender,理由是Blender涉嫌帮助朝鲜知名黑客组织LazarusGroup清洗从AxieInfinity盗取的部分资产。

LazarusGroup是一个来自朝鲜的网络黑客集团,在2021年共窃取了价值超4亿美元的加密货币

以美国政府为代表的监管势力盯上混币器,黑客们的如意算盘未来或许打得不那么响。制裁犯罪固然重要,但另一个关键的问题是,加密世界亟需更优化的安全方案,在财产、隐私保护与犯罪监管之间寻求平衡。

无论对浅试Web3的个体玩家还是Allin的建设者来说,在通向一个美丽新世界之前,先要走过一片遍布安全陷阱的暗黑森林。

来源:金色财经

标签:WEBADOWEB3NFTWEB价格El Dorado ExchangeWeb3 ALL BEST ICONFT币三年后价格1元

欧易交易所热门资讯
金色Web3.0日报 | iBox国际版将于近期做出有序清退工作

DeFi数据 1.DeFi代币总市值:465.64亿美元 DeFi总市值数据来源:coingecko2.过去24小时去中心化交易所的交易量33.

1900/1/1 0:00:00
经济寒冬 , 加密市场生存之道

一连好几天没有写文章,实在是因为工作太忙了。现在整个经济大环境都不好,各行各业几乎没有一个亮点,我身边朋友所在的公司几乎都没有什么业务。但大家不仅没有更轻松,反而也都是更忙。但这种忙似乎又和业务没有多大关系,更多的是焦虑和担忧的反应.

1900/1/1 0:00:00
Solana流支付协议Zebec又完成一笔850万美元融资

8月27日消息,Solana网络上的首个可编程现金流协议Zebec,以10亿美元的完全稀释估值筹集了850万美元。投资者包括CircleVentures、Shima和Resolute.

1900/1/1 0:00:00
晚间必读5篇 | 一文解析 BendDAO 的挤兑危机

1.一文解析BendDAO的挤兑危机上周末,对坏账的担忧让BendDAO陷入链上挤兑风险之中,其储备一度从约18,000WETH降至不到15WETH。这种信贷紧缩使BendDAO陷入危机,使该项目上的贷方和借方暂时陷入困境.

1900/1/1 0:00:00
以太坊交易者可以开始考虑做多的原因

大家好,我是老李,关注我了解更多。随着Merge的发布日期越来越近,以太坊最近开始受到赞誉。预计9月15日的发布以巨大的承诺激励措施吸引了加密社区。即将到来的合并也导致过去几周以太坊网络上的开发活动激增.

1900/1/1 0:00:00
如何为下一次的明星项目空投做准备?

每个人都喜欢加密空投。但是你如何为下一次大空投做准备呢?关于我的策略和一些可能很快会空投代币的热门项目↓有些人从空投中获得了改变生活的钱,就上下文而言,当UNI处于历史最高水平时,与UniswapV1或V2交互的人的Uniswap空投.

1900/1/1 0:00:00