木星链 木星链
Ctrl+D收藏木星链
首页 > 火币下载 > 正文

WEB3:一文了解Web3.0数据泄露事件分类及保护措施

作者:

时间:1900/1/1 0:00:00

当今社会,我们无论工作还是生活,网络早已离不开人们的生活。可以不带钱包,但是一定要带手机出门,付款方式没有了实体卡片,就连街边乞讨也开始用网络进行二维码转账收款。

不难想到,个人、企业、组织及其客户目前面临的大部分威胁,其实都来源于网络漏洞和攻击。而如今人们关注的数据隐私,个人隐私,也变得极为重要。而每年因漏洞导致的敏感数据丢失等案例也数不胜数。

在 Web3.0 历史上发生过无数次重大安全事件,从中心化交易所私钥丢失到投资者个人数据的失窃。而这些数据可能会在线上黑客论坛和暗网市场中存在多年,也就意味着数据泄露会让那些受影响的用户长期处于风险之中。

CertiK 分析研究了74 起在中心化 Web3.0 实体中发生的安全事件。其中23 起事件导致了长期的数据丢失高风险,而在这 23 起时间中,有 10 个数据包被发现仍可于暗网论坛上购买。

针对黑客论坛的一系列执法活动可以让某些数据不会被提取出来,但是这样的措施毕竟只是治标不治本。

本文即将带你了解:Web3.0 数据泄露事件的分类,以及为了保护自己的数据安全,我们应该采取何种措施。

黑客攻击、漏洞利用、勒索软件以及所有网络安全威胁的规模和严重程度都在不断增加。Web3.0 生态系统的独特之处在于它为恶意行为者提供了其他技术所没有的各种攻击媒介,包括智能合约中的漏洞和新型的网络钓鱼技术。

然而,Web3.0 安全事件的故事与其他行业的情况密切相关。非 Web3.0 领域会遗漏中心化项目和公司也未能解决的同类型安全漏洞。

我们希望仔细研究针对 Web3.0 目标的网络安全事件历史,并评估过去的事件是否对当今的社区成员构成持续风险。

要做到这一点,需要细致分析本报告中的安全事件与利用智能合约协议导致的漏洞有何不同。

我们研究了 2011 年以来针对 Web3.0 公司的许多事件,大致可以将它们分为两类:

Elementus在A系列延期融资中筹集1000万美元:金色财经报道,区块链数据分析公司Elementus以1.6亿美元的估值在A 系列延期融资中筹集了1000万美元。该轮融资由ParaFi Capital领投,Moonshots Capital、Spitfire Ventures和Colaco Investment Group等机构参投。该轮融资将用于招聘和新产品开发。一年前,Elementus以5200万美元的估值筹集了1200万美元。

Elementus为政府机构、金融机构、研究人员和投资者量身定制区块链合规和数据分析解决方案。该公司负责组织调查可疑的链上活动、识别风险和发现市场情报。Elementus称,其目前的客户名单包括加密贷款机构Celsius和BlockFi的破产申请中的无担保债权人。[2023/2/7 11:50:59]

协议恶意利用:利用智能合约代码获取经济利益的事件

漏洞:攻击者破坏目标组织的内部网络,并使用获得的权限来窃取公司数据或资金的事件

就近期和长期风险而言,这两个类别之间有几个重要的区别。

协议恶意利用发生在一个确定的时间范围内,从攻击者执行利用开始,到他们耗尽所有可用资金、耗尽 gas 或导致目标项目终止时结束。其中一些事件可能会持续数小时或数天,事件后的谈判会进一步延长这个时间段,也有项目随后立即关闭的情况。然而,关键是这些攻击具备明确的开始节点与结束节点。

相比之下,漏洞类算得上是持续型事件(攻击者获得网络访问权并在那里保持「长期蹲守」的状态)。漏洞的定义通常是数据的泄漏,这些数据被用于攻击利用或随后在暗网或在线论坛上出售。

网络漏洞也可能导致严重的资金损失。大多数 Web3.0 组织都是金融实体,其资金流动量非常大,这自然而然让他们成为了黑客的目标。

数据泄露可能具备巨大的破坏性,且风险可持续多年——尤其是在泄露期间丢失个人身份信息 (PII) 的情况下。

DEX平台Dexalot上线Avalanche子网:金色财经报道,去中心化交易平台Dexalot宣布上线Avalanche子网(Subnet)。

子网是Dexalot双链应用程序的关键支柱。用户通过Avalanche C-Chain上的Dexalot应用程序存入和提取资产,然后在Dexalot子网上进行交易。主网和子网之间的通信,通过使用高端跨链通信协议的通用消息传递进行。简单来说,Dexalot子网旨在复制CEX的用户体验,而不影响去中心化和透明度。

此前消息,Dexalot完成700万美元融资,Blizzard、Avalaunch、Colony、Benqi、AVentures、Avascan、Republic Capital、GSR、Muhabbit Capital、Woodstock Capital、Maven Capital、IPC等参投。[2023/2/2 11:41:49]

考虑到这一点,我们收集了 74 个过去的事件样本,我们将其归类为对社区成员构成持续风险的违规事件(仅包括公司内部网络遭到破坏的事件,不包括有关协议利用的数据)。

我们认为有必要区分敏感数据丢失的事件和仅发生资金损失的事件。为了更好地评估这些违规事件的持续风险,我们将重点介绍其数据仍可在暗网或明网的其他区域出售或免费获取的违规事件,并对这些平台的可访问性发表看法。

为了评估与这些事件相关的持续风险,我们将它们分为以下定义的事件:

理论上可检索的数据丢失事件,包括 PII 和内部数据库等。

资金或数据丢失且数据无法再检索的事件。

第二类无法检索的数据丢失事件主要由仅导致资金或私钥丢失的违规事件构成。在这种情况下,损失的资金通常无法被追回。

异常事件包括那些被盗数据从未被放出来、被归还或被用于其他目的的事件。例如,2020 年 6 月日本中心化交易所Coincheck被攻击,200 多名客户的 PII 落入攻击者手中。攻击者破坏了 Coincheck 的网络,然后通过公司内部电子邮件地址发送网络钓鱼电子邮件,要求客户提供 PII。但该起事件中并没有特定的数据库丢失,丢失的数据也只是回复这些邮件的客户的数据。

链游平台WEMIX将实施回购销毁和代币通缩策略:12月9日消息,韩国游戏公司Wemade旗下链游平台WEMIX宣布立即实施回购销毁活动,将在2022年12月9日至2023年3月8日的90天内将回购并销毁价值1000万美元的WEMIX代币。此外,基金会还将采用并实施WEMIX通缩政策,所有WEMIX3.0平台和基金会产生的投资收入的25%将按季度销毁。

此前报道,11月24日,韩国数字资产交易平台联合协会(DAXA)决定对韩国游戏巨头 WeMade旗下链游平台代币WEMIX停止交易支持,以保护投资者。受此影响,Bithumb、Upbit等多家韩国交易所宣布将下架WEMIX。[2022/12/9 21:33:37]

在 2020 年 6 月的另一起事件中,加拿大中心化交易所 Coinsquare 也经历了一次漏洞攻击,泄露和丢失的数据涉及 5000 个电子邮件地址、电话号码和家庭地址。

攻击者在 Coinsquare 之间来回「横跳」后表示他们将在 SIM 卡交换攻击中使用这些数据,但不会试图把它们出售,以便「放长线钓大鱼」。这种类型的事件也被归类为第二类无法挽回的事件。

在我们确定的 74 起事件中,其中 23 起可被归类为数据可检索事件,大约占 31%。剩下的 51 起事件要么是上文描述的异常事件,要么是那些仅遭受资金损失的事件。

图表:2011 年至 2023 年间发生的事件中,可检索的数据与不可检索的数据(来源:CertiK)

我们可以看到几点:

① 2019 年后高度可能被检索到或恢复的数据事件显著增加。这与疫情期间各行业黑客攻击和数据泄露事件的增加成正比关系。

② 在此期间政府援助增长,其中的一些注入了 Web3.0 生态系统,再加上 2021 年的牛市,可能为攻击者提供了更多的勒索软件和数据销售机会。

阿联酋政府官员:数字货币未来将成为主流金融体系的一部分:金色财经报道,阿联酋人工智能、数字经济和远程工作应用国务部长Omar Bin Sultan Al Olama认为,金融的未来与加密货币密切相关加密货币。

在他看来,“许多参与加密货币和相关技术最初开发的人都希望利用它们来规避主流金融机构和货币体系”,但“由于显而易见的原因,这既不是一个实际的目标,也不是一个理想的目标”。

他认为:“相反,数字货币的未来牢牢地存在于主流金融体系中,它们可以对支付、银行和投资等领域的若干问题产生巨大影响。”(Finbold)[2022/9/28 5:58:46]

丢失的数据通常最终会被出售或转存到暗网(.onion 网站)或 clear net 上。如果数据被推测具有一定的经济价值(PII 和其他用于欺诈的数据),那么它将高频出现在暗网市场甚至是 Telegram 频道中。如果攻击者要求(勒索软件)未被满足,数据即会被丢弃在 paste sites 或黑客论坛中。

数据的最终去向决定了它对其原始所有者构成的长期风险。

相比于只能在暗网上被购买的数据,以极低的成本或零成本转储到黑客论坛上的数据其泄露的风险会更高。

此类网站的持续可访问性也会「助力」受害者数据泄露的长期风险。下文中,我们将更深入地研究这些场所中发现的 Web3.0 数据销售情况。

多年来,在线黑客论坛层出不穷。考虑到 2019 年后可检索数据事件的增长,在这种情况下只有少数几个论坛值得被当作案例分析。这些论坛包括 Raid 论坛、Breach 论坛和 Dread 论坛。

多个违规事件选择将 Raid 论坛作为倾销和出售违规数据的首选论坛之一。Raid 论坛始于 2015 年,多年来一直在 clear net 上运行。然而在 2022 年,Raid 论坛的域名被美国执法部门与欧洲刑警组织合作查封。

Galaxy Digital将发布首款NFT系列Galaxy Explorer Collection:9月23日消息,据《财富》杂志报道,加密投资银行机构GalaxyDigital宣布推出该公司首款NFT系列Galaxy Explorer Collection,发布时间为10月14日,总计发行3210枚。据悉,这款NFT不仅会将Galaxy Digital的新公司徽章纳入,而且还代表了其创始人Mike Novogratz对整个NFT行业的信心。据悉,Galaxy Digital已经开始向员工、投资组合公司创始人以及行业合作伙伴免费空投NFT。[2022/9/23 7:17:13]

图片:美国和欧洲执法部门在 Raid 论坛网站上撤下通知

Dread 论坛成立于 2015 年,似乎一直活跃到 2022 年底,不过社交媒体上有许多迹象表明该论坛目前可能也已倒闭。我们尝试访问该论坛的暗网 (.onion) 和 IP2 版本,但这些似乎也已关停。

在 Raid 论坛关闭后,Breach 论坛立即上线了。

对于那些因 Raid 论坛关闭而「流离失所」的用户来说,Breach 论坛为他们提供了一个合理的落脚处。

它和 Raid 论坛具备类似的界面、会员声誉评分系统和极高的活跃度,用户达到 Raid 论坛原始用户群的 60%(约 55 万名用户)。仅仅一年后的 2023 年 3 月,FBI 逮捕了经营 Breach 论坛的 Conor Brian Fitzpatrick,在内部发生了一波关于重新部署网站的闹剧之后,该网站倒闭。

Breach 论坛倒闭后不到一周,又出现了另一个替代者,该论坛据称是由一个自称是前匿名黑客的 Pirata(@_pirate18)运营。但它只有 161 名成员,意味着这次的替代者没能吸收到那些论坛老玩家。

在这次的断档期里(3 月的最后几周)中冒出了许多其他论坛。其中一些作为典型违规论坛被取缔,所以可以合理推测剩下的也许是执法部门伪装的。

图片:Breach 论坛关闭后的 VX-Underground 论坛列表(资料来源:推特)

我们只能确认其中一个论坛上存在一些 Web3.0 数据。

据报道,ARES 论坛吸纳了其他被关闭的论坛的一些活动,但不清楚具体数量。该论坛据称与勒索软件团体和其他恶意行为者有关联,还运行着一个公开 Telegram 频道,该频道在其锁定的 VIP 销售频道中宣传过数据的销售。该频道于 3 月 6 日上线,投放了数百个广告(包括两个与中心化交易所相关的数据库的帖子)。

图片:ARES 论坛的 Telegram 中心化交换数据频道广告(资料来源:Telegram)

从整体上看,黑客和数据转储论坛社区目前功能比较混乱。传统论坛没有明确的替代者,而且国际执法机构也加大了对这些团体的打击力度,因此几乎可以肯定的是,论坛在短期内不会成为任何重大数据(包括 Web3.0)泄露的首选途径。

长期以来,暗网市场和论坛一直是人们转储或出售数据的场所。

这些生态系统也面临着执法部门的打击,尽管这些打击更多的是针对那些促进销售的市场。也就是说,即使在不太知名的市场上,数据泄露的频率似乎也非常高,或者至少是有在被宣传。相比于那些同样存储数据但已全面关闭的在线论坛,这种差异现在显得尤为明显。

图片:在暗网市场上出售的分类账客户数据(资料来源:Digital Thrift Shop)

回顾一下,在我们确定的数据泄露样本的 74 起泄露事件中,有 23 起是有一定可能性检索到的数据。在这 23 个中,我们能够找到 10 个活跃的数据销售广告(43%)。这类样本在我们之前的图表中以绿色突出显示:

图表:已确认的在暗网市场上出售的泄露数据实例以绿色突出显示(资料来源:CertiK)

该图表中增加的付费数据销售表明了几件事。首先,我们无法获取 2021 年之后发生的任何违规行为的数据来源。

基于 2022 年目标的性质,有一种合理的可能性——数据有可能出现在了一个现已不存在的论坛上。

然而这一点很难证明,特别是当这些数据集未出现在任何一个可取代 Raid 和 Breached 的论坛上。其次,这些数据集也明显没有出现在任何一个我们能看到的 2019 年及之前的暗网市场中——可能是因为我们获取这些数据的市场非常早且鲜为人知。我们无法评估这些数据是否实际上仍然可以通过这些供应商获得,但这些广告仍然存在。

很难去尝试量化长期风险,但至少可以将数据丢失风险与该样本中的非数据相关事件进行比较。注意,我们可以把那些仅导致直接财务损失的违规事件的风险归类为较低风险,因为:

损失是即时的,我们可以根据丢失的法定或 Web3.0 货币来衡量其影响

这个过程中丢失的数据都是可替的。如果发生泄露,必须更改私钥、密码和特权网络访问点以解决问题。

丢失敏感数据(尤其是客户数据)的漏洞的违规事件确实会带来更大的长期风险

这些数据大多在暗网或明网出售或免费提供,从而延长了其长期可用性。

客户的个人数据点,即电话号码、名字 / 姓氏、地址和交易数据很难或不可能被更改。因此即便有人因信息泄露而改变了自己的个人信息,泄露事件中涉及的其他个人的所有数据仍然存在风险。

这种违规事件的影响很难或无法衡量。根据丢失的数据,受害者可能成为多个欺诈的目标,也可能不会成为目标。

我们在 2014 年的一次违规事件中发现了可供出售的数据。这个特定的数据点进一步证明了衡量长期风险的困难性。2014 年的黑客攻击了现已倒闭的加密交易所 BTC-E,该交易所于 2017 年被美国执法部门查封——实际上此数据丢失相关的风险远低于其他风险。

然而,需要明确的是风险仍是持续的,即这些数据可能与来自较新的违规事件的数据相匹配,从而增加了在此期间参与 Web3.0 的个人长期风险。

从这个领域的整体来看,2019 年以后丢失的数据(尤其是那些在暗网市场上仍然容易出售的数据)极有可能构成最高的持续长期风险。从 2022 年起,受到影响的人几乎必然面临着他们的数据可用于欺诈活动的重大风险(即使这些数据无法在物理层面上被找到)。尽管许多在线论坛被关闭,但我们应该假设所有丢失的数据,尤其是最近发生的数据泄露事件,很可能在某个地方仍然可用,并且可以随时重新出现。

现实事实就是安全漏洞不可能 100% 消失。当数据由一个集中的实体存储和处理时,大多数受数据泄露影响的用户的补救手段十分有限。

不过,我们可以通过限制中心化服务的使用数量来降低暴露风险,包括中心化交易所等。个人还应尽可能使用双因素身份验证,以帮助防止不需要的交易所钱包活动,或使用 PII 来访问或修改账户详细信息。

根据泄露的性质,我们甚至可以考虑尝试更改泄露事件中暴露的一些信息,例如电子邮件地址或电话号码。

而在 Web3.0 数据泄露中,如果打算匿名操作,那么你的身份将面临额外的泄露威胁。

人们还可以采取其他措施来保护数据和投资。比如通过将资产分布在自托管钱包和硬钱包中来降低投资和财务风险。

当然,还可以通过以下方式保护数据:

减少与你分享个人数据的中心化 Web3 投资机构或交易所的数量;

跨平台不要使用重复密码;

在所有的账户上启用双因素身份验证;

监控报告数据泄露的网站,这些网站会告诉你你的电子邮件地址是否涉及泄露;

使用信用监测服务,以监测企图进行的身份盗窃和银行相关的欺诈。

CertiK中文社区

企业专栏

阅读更多

金色荐读

金色财经 善欧巴

迪新财讯

Chainlink预言机

区块律动BlockBeats

白话区块链

金色早8点

Odaily星球日报

Arcane Labs

欧科云链

标签:WEB3WEBWEB3.0ITAweb3游戏项目价值排名web3域名交易WEB3.0币Fermat Capital Management

火币下载热门资讯
区块链:晚间必读 | 香港虚拟资产交易监管将落地 散户交易将受详细保护

5月23日,香港证券及期货事务监察员会发表《有关适用于获得证券及期货事务监察员会发牌的虚拟资产交易易平台经营者的建议监督管理规定的咨询总结》(以下简称《咨询总结》).

1900/1/1 0:00:00
元宇宙:元宇宙新职业 一起去元宇宙“搬砖”吧

提起元宇宙,很多人并不陌生,我国著名科学家钱学森早在30年前为虚拟现实起了一个很美的名字叫“灵境”,他说“灵境”会是科技和艺术大爆发的时代.

1900/1/1 0:00:00
区块链:如何构建“Web3反撸毛”系统

原文作者:Gitcoin 首席运营官 Kyle Weiss 译者:Odaily 星球日报 Azuma 女巫攻击(Sybil attacks,在空投届俗称“撸毛”)是一个非常严重的问题.

1900/1/1 0:00:00
FTX:从 Mt. Gox 到 FTX 我们回到了原点 加密行业何去何从?

作者:Loi Luu来源:https://loiluu.com/loi-luus-blog2014年Mt. Gox遭黑客攻击时,大多数人都打算退出比特币,而我的区块链之旅正是从那时开始的.

1900/1/1 0:00:00
加密货币:金色早报 | 由于Memecoin和ETH交易费用飙升导致NFT销售额在5月份暴跌

▌由于Memecoin和ETH交易费用飙升导致NFT销售额在5月份暴跌由于最近的memecoin和ETH的Gasfee价格飙升,本月NFT的销量暴跌.

1900/1/1 0:00:00
稳定币:稳定币兑现承诺:颠覆银行

文章作者:STEVEN KELLY 文章编译:Block unicorn稳定币也可能遭遇银行危机由Circle发行的USD Coin(USDC)长久以来一直是稳定币中的 “ 好人 ”—.

1900/1/1 0:00:00