撰文:雪小顽
来源:?极客公园
Web3 这一个月来风波不断。
8 月初,明星公链 Solana 发生黑客盗币事件,超过 9000 个钱包地址被袭击,损失约 400 多万美元,在用户中引发了一波恐慌情绪,也让 Solana 陷入信用危机。
几天后,加密货币混币器 Tornado Cash 被美国财政部的下属机构——海外资产控制办公室(OFAC)列入制裁名单,其中包括 40 多个与 Tornado Cash 协议相关的以太坊地址,涉及价值超 4 亿美元的资产被冻结。
定位于隐私服务的混币器,在加密社区的名声一直备受争议,其中的「头部」Tornado Cash 更是有「脏币销金窟」之称。
Tornado Cash 被美国财政部制裁后,其代币价格大幅下降。|来源:business2community.com
这次制裁意味着美国的社区用户,无论个人还是实体,都不得再与 Tornado Cash 平台以及和它绑定的钱包地址进行经济交易。按照过往的案例,如果违规,可能面临高达 30 多万美元的罚款和最高 30 年的监禁。
数据:2023上半年共记录3.3亿次加密劫持攻击,已超过前三年相关攻击次数总和:7月26日消息,据网络安全公司SonicWall报告数据显示,该机构于2023上半年共记录3.323亿次加密劫持攻击,与去年全年相比增长399%,该数字比2020年、2021年和2022年的加密劫持攻击次数总和还要高。
SonicWall表示,加密劫持涉及利用属于他人的服务器和电脑设备来挖矿数字资产,其中以隐私为中心的门罗币是最受欢迎的。受影响的人甚至可能没有意识到自己是受害者,他们可能只是觉得他们的机器运行得比平时慢。
SonicWall欧洲、中东和非洲地区副总裁Spencer Starkey表示,加密劫持的最大症状包括设备响应速度变慢、电费异常高,以及电池过热导致风扇过度使用等。与勒索软件或银行木马相比,加密劫持者的目标是尽可能长时间不被发现。[2023/7/26 16:00:16]
紧接着,外媒曝出 29 岁的 Tornado Cash 开发者在荷兰阿姆斯特丹被逮捕,当地执法部门称 Tornado Cash 涉嫌隐瞒非法资金流动和协助,从今年 6 月份开始一直在对其进行调查。
Tornado Cash 被制裁,在加密行业引发「站队」。有人公开表达不满,认为美国财政部监管越界,侵犯了美国公民的隐私权和自由;也有人带头响应监管,稳定币 USDC 的发行方 Circle 迅速冻结了 Tornado Cash 相关钱包地址上的资产。
美图上半年净亏损扩大至2.66亿元,持有的加密货币浮亏3亿:金色财经报道,8月31日,美图公司发布2022年中期业绩公告,上半年实现营业收入9.71亿元,同比增长20.5%;公司拥有人应占净亏损2.66亿元,上年同期为亏损1.29亿元;公司拥有人应占经调整利润净额同比增长7.9%至3599万元。加密货币的减值上,美图分别就已购买以太坊及已购买比特币于截至2022年6月30日止六个月确认减值亏损约1.241亿元及1.814亿元。[2022/9/1 13:01:20]
Web3 正面临着崛起以来最严峻的安全考验与审查压力。2022 年上半年,Web3 领域的资产损失约为 20 亿美元,超过了去年全年被黑客攻击的总损失数额。随之而来的连锁反应是,监管执法之手越伸越长。
人们的惯常认知中,强调去中心化逻辑的 Web3 本应拥有更强的安全性和私密性,如今却被黑客和监管双双盯上。加密世界正经历着对其未来命运影响深远的动荡时刻。
距离 Solana 发生黑客盗币时间已经过去半个多月,官方依然没有给出最终的调查结果。
区块链安全公司慢雾科技团队分析发现,根据 Solana foundation 提供的数据显示,近 60% 被盗用户使用的是 Phantom 钱包,此外有 30% 左右地址使用了 Slope 钱包,并且 iOS 和 Android 版本的应用都有相应的受害者。
数据:2021年上半年稳定币共计印钞1149亿枚:据Tokenview数据统计:2021年上半年稳定币共计净印钞744.4亿枚,其中印钞1149.69亿枚,销毁405.29亿枚。净印钞量排名前3的稳定币分别为USDT,USDC,BUSD,分别为428.99亿枚,204.2亿枚,90.78亿枚。印钞量最高的月份为5月份-209.45亿枚,4月份-185.36亿枚和2月份-129.77亿枚。USDT稳定币的净印钞数据与币价有着非常明显的相关性,在2,4,5月份,印钞量急剧增加,币价也在这个阶段保持高速增长,随着6月份的印钞量骤降,币价跌去50%。[2021/7/2 0:22:03]
事发 3 天后,Slope 曾在 twitter 上发布了一个官方钱包地址,并公开表示,一直在与执法部门和情报公司合作追踪被盗资产,如果黑客愿意归还,可以向其支付 10% 的赏金。「收回这些资金后,我们就不会再继续追究,也不会采取任何法律行动。」
Slope 团队给黑客留了 48 小时的时间来归还资产,但这个赏金要约并未得到黑客的回应。
Slope 钱包官方向黑客发出赏金要约。|来源:twitter
万卉:灰度暂停接受投资是因为上半年GBTC解禁:Primitive Ventures创始合伙人万卉今日在微博表示,灰度每年都有两次暂停接受投资的时间,每次维持一个月。上次是今年6月底到7月底。每次暂停投资是因为上个半年周期的GBTC要开始解禁了,然后市场上的GBTC会变多。GBTC持有者解禁后套利完毕,一般需要在市场上买回比特币。一般历史上暂停投资期后结果是GBTC溢价会变低。[2020/12/22 16:06:52]
硬件钱包 Keystone 创始人刘力心还记得,事发当天,他被拉进了一个有 100 多位白帽黑客的「war room」,安全专家们讨论了事件可能的经过。
「最初的猜测是某个 NFT 项目被集体攻击。」刘力心回忆,从被黑的钱包地址数量来看,八九千个的量级通常是某个 NFT 项目发行的常见数量,最初的猜测是某个 NFT 项目方作恶,例如进行了恶意授权。
但这个猜测很快被否定。安全技术人员发现,有几笔被盗交易的发生是由于用私钥做签名,而不是错误授权导致资产转移。接下来,关于事故原因的猜测还有供应链攻击、黑客撞取随机数、采取不恰当的签名方式等等,随后也都被一一推翻。
当天下午,一位海外研究人员发现,Solana 链上的 Slope 钱包私有化部署了第三方应用监控服务 Sentry,会收集用户的私钥或助记词等信息,然后上传到中心化的服务器。
声音 | 分析师:以太坊在过去7天的平均交易量是2019年下半年的四倍:自2月1日起,以太坊价格从185美元升至280美元,涨超50%。加密货币分析师兼经济学家Alex Krüger表示,以太坊在过去7天的平均交易量是2019年下半年平均交易量的四倍。2020年,如果比特币价格维持其势头并在中短期测试更高的阻力位,则交易员预计以太坊将成为市场上表现最好的资产之一。此外,技术分析师普遍认为,只要BTC不破10,000美元等关键支撑位,预计山寨币市场将表现强劲。(cryptoslate)[2020/2/19]
Sentry 是一个应用监测平台,可以实时监控应用在运行状态时出现的异常或错误日志信息。如果 Sentry 发现了系统 bug,会通过邮件等方式通知应用方的技术人员。
在加密世界,Sentry 服务被广泛应用,Slope 钱包就是其一。但使用 Sentry 时需要注意一个问题,如果出现了配置错误,Sentry 可能会收集到额外的数据,如私钥或助记词等私密信息。
安全专家们推测,在 Solana 盗币事件中,用户创建钱包时,Slope 将助记词和私钥等敏感数据错误发送给了 Sentry。这给黑客提供了可乘之机,黑客窃取了存储在 Sentry 中心化服务器上的私钥。
经过调查后,Slope 发布声明称,虽然上述安全漏洞确实存在,但被攻击的 Slope 地址的数量只是这次被盗钱包地址总数的一小部分。目前也暂无证据表明 Sentry 官方遭到了入侵和攻击,因为 Slope 钱包使用的 Sentry 服务部署在私有服务器。
此外,具体数据来看,服务器上的私钥和助记词派生出来的地址中,与受害者地址有交集的,只有 5 个以太坊地址和 1388 个 Solana 地址。也就是说,Slope 此次被黑的超过 2700 个钱包中只有一半存在 Sentry 漏洞,这无法解释其余用户钱包是如何被黑的。
就已经掌握的调查结果来看,已知的攻击者地址有 4 个,被盗资产在 Solana 链上尚未出现进一步转移,但在 ETH 链上,一些资金已经被转移到疑似 OTC 个人钱包地址,剩余部分被兑换为 ETH 后,转移到了 Tornado Cash。
在这次 Solana 被袭同期,跨链桥 Nomad Bridge 也受到攻击。值得注意的是,参与攻击 Nomad Bridge 的黑客有上百位,甚至包含了「白帽子」,损失近 2 亿美元。
慢雾科技首席信息安全官(CISO)张连锋告诉极客公园,目前对 Web3 的攻击类型主要有两种:
一是链上攻击,例如假充值、重入攻击、重放攻击、重排攻击等。这类攻击往往更加隐秘,需要通过专业的代码安全审计、完备的链上分析监测预警等方法来识别。
二是链下攻击,如高级长期威胁(APT)、网络钓鱼、供应链攻击等。这类都是传统 Web2 常见的安全问题,但是目前却对 Web3 生态安全产生了很大影响。
今年 4 月,周杰伦丢失价值超 300 万人民币的无聊猿编号 3738 的 NFT,就是因为无意中点击了钓鱼链接。
周杰伦被盗的无聊猿 NFT。|图片源自网络
Web3 自带金融属性,金钱的诱惑下,更容易被黑客盯上。随着 Web3 玩家的体量不断扩大,加密货币犯罪也呈现快速上涨趋势。
根据慢雾区块链被黑事件档案库(SlowMist Hacked)统计,2022 年上半年,Web3 领域的资产损失接近 20 亿美元,已经超过 2021 年全年因黑客攻击漏洞造成的总损失。
2022 年因此被称作「Web3 兴起以来损失最惨重的一年」。其中,以去中心化程度低、流动资金量大的跨链桥受损最为严重。
截至 6 月 30 日,今年共发生 7 起跨链桥安全事件,损失超过 10 亿美元,占上半年总资产损失的半数以上。在上半年损失金额达到上亿美元的 4 起事件中,有 3 起波及跨链桥。
比较有代表性的是区块链游戏 Axie Infinity 的侧链 Ronin Network 被袭,造成 6.24 亿美元的损失,以及 Solana 的跨链桥项目 Wormhole 被攻击,损失 3.26 亿美元。
除了跨链桥,区块链钱包也是安全事件发生的「重灾区」。
钱包是用户管理加密资产的工具,也是用户进入各类 Web3 应用的账户入口,加密世界的交互和交易通过钱包来进行。
钱包包含着基于公钥和私钥生成的地址,表面上看是一组有字母、数字构成的符号串。其中的私钥可以对照理解为 Web2 支付工具的密码,掌握这个「密码」的人才是加密资产的真正主人。
所以,私钥一般是黑客攻击窃取的关键信息。通常来说,大部分钱包都会与网络连接,私钥泄露的风险系数较高。
加密货币被黑客盗取后,主要流向就是场景,以混币器为代表性「帮凶」。
从隐私保护出发的混币器,本来的设想是消除用户的链上交易痕迹,却被黑客用作转移被盗资产后的工具。不久前被制裁的 Tornado Cash 自 2019 年创建以来,已经「清洗」了价值超过 70 亿美元的虚拟货币。
今年 5 月份的时候,美国曾经制裁了中心化混币平台 Blender,理由是 Blender 涉嫌帮助朝鲜知名黑客组织 Lazarus Group 清洗从 Axie Infinity 盗取的部分资产。
Lazarus Group 是一个来自朝鲜的网络黑客集团,在 2021 年共窃取了价值超 4 亿美元的加密货币。
以美国政府为代表的监管势力盯上混币器,黑客们的如意算盘未来或许打得不那么响。制裁犯罪固然重要,但另一个关键的问题是,加密世界亟需更优化的安全方案,在财产、隐私保护与犯罪监管之间寻求平衡。
无论对浅试 Web3 的个体玩家还是 All in 的建设者来说,在通向一个美丽新世界之前,先要走过一片遍布安全陷阱的暗黑森林。
极客公园
个人专栏
阅读更多
金色早8点
Bress
链捕手
财经法学
PANews
成都链安
Odaily星球日报
标签:WEBWEB3ENTTORweb3.0币种在中国合法吗Web3 ALL BEST ICOUnityVenturesTORI
1.DeFi代币总市值:459.87亿美元 DeFi总市值 数据来源:coingecko2.过去24小时去中心化交易所的交易量35.
1900/1/1 0:00:00原文作者:Arad编译:BTX CapitalLars 非常坚持认为加密不会为游戏添加任何根本性的新东西——无论你可以用加密做什么,你都感觉到其实什么都没做.
1900/1/1 0:00:00原文标题:《ArkStream Capital:灵魂绑定代币现状和未来方向全解析》原文作者:Larissa??原文来源:ArkStream Capital 公众号TL; DR1.
1900/1/1 0:00:00The Merge 代表了以太坊的现有执行层(我们今天使用的主网)与新的 PoS 共识层信标链的结合。它消除了对能源密集型采矿的需求,而是使用质押的 ETH 来保护网络.
1900/1/1 0:00:00不久之前,CZ 转发的一则社交媒体报道引发了网友的热烈讨论。根据 CoinDesk 的报道,Binance 在贯彻 KYC(Know Your Customer)之后损失了 90% 的用户,同时.
1900/1/1 0:00:00作者:前高盛高管 John Haar传统金融的“橙色药丸”我是越来越多离开传统金融进入比特币世界的人之一,是比特币,而不是“加密货币”.
1900/1/1 0:00:00