作者:W3C DAO
Web3是一个去中心化的网络,它利用区块链、加密货币、NFT和DeFi等技术,为用户提供更多的自由、隐私和创新。然而,Web3也不是完美的,它也存在着许多的安全风险和局,让不少用户遭受了损失和伤害。
01 Poly Network黑客攻击
2022年8月10日,跨链协议Poly Network遭到了史上最大规模的黑客攻击,导致超过6亿美元的资金被盗。黑客利用了Poly Network在不同区块链之间转移资产时的漏洞,从以太坊、波场和币安智能链上分别转走了2.7亿、2.5亿和8500万美元的代币。
这起事件引起了整个Web3社区的震惊和关注,许多项目方和交易所纷纷表示愿意协助追回被盗资金。令人意外的是,黑客在攻击后不久就开始与Poly Network进行沟通,并表示愿意归还部分资金。截至2022年8月23日,黑客已经归还了超过3.4亿美元的资金,并表示剩余的资金将由一个多签名钱包管理。
为了避免这种局,用户应该谨慎选择跨链协议,并检查其是否有经过专业的审计和测试。用户也应该注意跨链协议的安全性和可靠性,是否有足够的保险或赔偿机制。此外,用户应该控制自己的跨链转账额度,不要将过多的资金放在一个协议上。
02 Squid Game代币拉盘跑路
过去24小时里三巨鲸向Morpho AAVE存入10100枚ETH,借入1150万美元稳定币并转至币安:金色财经报道,Lookonchain监测,三个巨鲸账户(可能是同一个人)在DeFi协议上做多ETH和WBTC。他们将ETH/WBTC存入DeFi并借入稳定币,然后将稳定币转移到币安以购买ETH/BTC。在过去的24小时里,他们总共向Morpho AAVE存入了10100枚ETH(1881万美元),然后借入了1150万美元的稳定币,并转移至币安。[2023/4/23 14:21:43]
2022年10月25日,一款以Netflix热播剧《Squid Game》为主题的Web3游戏项目发布了自己的代币Squid。该项目声称将通过智能合约模拟剧中的六个游戏,并让玩家用Squid代币参与竞争。该项目迅速吸引了大量关注和投资,Squid代币在短短几天内涨幅超过8万倍,市值一度达到28亿美元。
然而,在2022年11月1日,该项目突然暴跌99%,市值缩水至300万美元。原来,该项目是一个典型的拉盘跑路局,项目方在吸引了大量投资者后,将项目中的资金全部提走,并关闭了网站和社交媒体账号。更糟糕的是,由于Squid代币设置了一个只能买不能卖的机制,投资者无法及时退出或兑换其他代币。
为了避免这种局,用户应该对项目进行充分的调查和分析,比如查看项目的代码是否经过审计、团队成员是否公开身份、代币分配是否合理、社区反馈是否积极等。用户也应该注意项目是否有过度炒作、价格波动异常、锁仓机制不清晰等风险信号。
义乌发布数字人民币试点10举措:加大智能合约应用探索力度:金色财经报道,义乌市数字人民币试点工作领导小组联合办公室发布《深入推进义乌小商品市场数字人民币试点工作方案》,《方案》提出全面提升市场数字人民币受理环境、推广数字人民币硬件钱包、加大智能合约应用探索力度、探索开展数字人民币跨境支付应用等10条具体措施。[2023/3/25 13:26:15]
03 Beeple NFT钓鱼局
2022年3月11日,知名数字艺术家Beeple在佳士得拍卖会上以6930万美元的价格,创造了NFT(非同质化代币)的最高成交纪录。这一事件引发了全球对NFT的热潮,也让Beeple成为了一个备受关注的名字。然而,就在这时,一些子利用了Beeple的名气,发起了一场针对NFT爱好者的钓鱼局。
子通过伪造Beeple的推特账号,宣布将免费赠送一些NFT作品给粉丝,只要他们点击一个链接,并输入自己的MetaMask钱包密码。不幸的是,有不少人上当受,导致他们的钱包被盗取了所有的资金和代币。
为了避免这种局,用户应该保护好自己的私钥、助记词、密码等,不要向任何人透露或输入。用户也应该仔细检查网站、邮件、消息或电话的真实性,比如是否有拼写错误、是否有安全证书、是否与官方信息一致等。
Coinbase首席法务官:Coinbase质押计划不受Kraken终止质押服务影响:2月10日消息,Coinbase首席法务官Paul Grewal表示Coinbase的质押计划不受Kraken终止质押服务影响,Kraken本质上是在提供收益产品,而Coinbase的质押服务与其有根本上的不同,不是证券。Coinbase股价在收盘时暴跌约14%,创下了自2022年7月26日以来最大跌幅。
金色财经此前报道,据Coinbase2022年三季度营收报告显示,Coinbase质押收入约为6280万美元,约占净收入(5.8亿美元)的11%。(彭博社)[2023/2/10 11:58:34]
04 Bitconnect庞氏局
Bitconnect是一个于2016年推出的Web3平台,它声称可以让用户通过借贷和交易其代币BCC来获得高达40%的月收益。
该平台还设立了一个多层次的推荐计划,来奖励那些推荐新用户加入的人。由于Bitconnect承诺了过于美好的回报,它很快吸引了数以万计的投资者,BCC代币在2017年年底达到了4.3亿美元的市值。
然而,在2018年1月16日,Bitconnect突然宣布关闭其借贷和交易平台,并停止发行BCC代币。原来,Bitconnect是一个典型的庞氏局,它利用新投资者的资金来支付旧投资者的收益,并没有真正的商业模式或价值创造。当新投资者不足以支撑旧投资者时,局就崩溃了,导致大部分人损失惨重。
Alameda清算人在DeFi借贷平台Aave上损失72,000美元:金色财经报道,Alameda 清算人在试图为债权人追回资金时被清算后,在 DeFi 借贷平台 Aave 上损失了 72,000 美元。清算人试图平仓,并在此过程中首先移除了用于该头寸的额外抵押品,使其面临清算风险。加密数据平台Arkham在与 The Block 分享的一份报告中指出,在九天的时间里,该头寸被清算两次,总计 4.05 aWBTC,这是 Aave 上使用的一种由比特币支持的代币。
该数据基于已被 The Block 研究副总裁 Larry Cermak 标记为与 Alameda 相关的钱包,并用于在以太坊区块浏览器 Etherscan 上标记钱包。来自这些钱包的资金被转移到一个由多重签名控制的钱包中,该钱包现在持有 1960 万美元的以太币和价值 1.4 亿美元的以太坊上的各种代币。[2023/1/13 11:09:21]
为了避免这种局,用户应该警惕那些过于美好的承诺,比如无风险、保本保息、每日分红等。用户也应该了解项目的收益来源,是否有真实的商业模式或价值创造。用户还应该检查项目的合法性,是否有合规的许可证或监管机构的认可。
05 重入攻击
2016年6月17日,著名的DAO被攻击事件发生。以太坊上的一个去中心化自治组织The DAO被黑客攻击,市值五千万美元的以太币被转移。当日,以太坊价格从19.42美元跌至11.32美元,跌幅41%。黑客利用了The DAO智能合约中一个名为splitDAO的函数的漏洞,该函数允许用户退出The DAO并获得相应的以太坊代币。黑客在退出The DAO的同时,多次调用了splitDAO函数,从而在合约更新自己的余额之前,多次提取了以太坊代币。
Ripple完成7亿枚XRP锁定,价值超2.1亿美元:金色财经报道,据Whale Alert数据显示,Ripple 已通过两笔交易完成 7 亿枚 XRP 锁定,第一笔 5 亿枚 XRP 锁定在 Ripple Escrow Wallet 钱包价值约合 155,223,000 美元,交易哈希为:ECEEFDE754FF98E4B20A8DAB1B949F390B1D2AD6B894FFE8BEEBAFA9ACE670EC,钱包地址为:r9NpyVfLfUG8hatuCCHKzosyDtKnBdsEN3;
第二笔 2 亿枚 XRP 锁定在一个未知钱包,价值约合 62,595,390 美元,交易哈希为:5D5DC19462EBDD057F08EA905A48389B9A97F2E094CFAE01AD0B600BE726DFBE,钱包地址为:rMhkqz3DeU7GUUJKGZofusbrTwZe6bDyb1。[2022/7/2 1:45:32]
而后,以太坊社区发起了一项是否支持硬分叉的投票,近 97% 的 ETH 持有者投出了赞成票,只有少数人不同意分叉,最终硬分叉方案一致通过,硬分叉的结果就是--以太经典ETC。
重入攻击是指一种利用智能合约在执行过程中可以被多次调用的特性,来重复执行某些操作,从而窃取或操纵资金的方式。重入攻击通常发生在智能合约在转移资金之前没有更新自己的状态或余额,导致黑客可以利用同一个交易来多次请求转账。
06 闪电贷攻击
2022年2月,有一个叫做PancakeBunny的DeFi平台遭到了一次闪电贷攻击,导致其代币BUNNY的价格暴跌了95%。黑客利用了PancakeBunny的流动性挖矿池的设计缺陷,通过闪电贷借入大量的BNB代币,并用它们来换取BUNNY代币。然后,黑客又将BUNNY代币兑换成BNB代币,并还清了闪电贷。这样一来,黑客就获得了大量的BNB代币,而PancakeBunny的流动性池和市场则被严重扰乱。
闪电贷是指一种利用智能合约在一个区块内完成借贷和还款的操作,不需要任何抵押或信用的方式。闪电贷可以为用户提供一些有趣和创新的金融策略,比如套利、杠杆、流动性挖矿等。然而,闪电贷也可以被用来发动攻击,利用一些去中心化金融(DeFi)平台的漏洞或缺陷,来窃取或操纵资金。
07 BadgerDAO黑客攻击
这是一起发生在2022年12月2日的去中心化金融(DeFi)项目BadgerDAO遭到黑客攻击的事件,导致超过1.19亿美元的资金被盗。
黑客利用了BadgerDAO的网站和DNS服务器的漏洞,将其劫持并重定向到一个伪造的网站。在这个网站上,黑客诱用户连接自己的MetaMask钱包,并授权一个恶意的智能合约来转移用户的资金。这是一种比较传统的网络钓鱼攻击,但却对BadgerDAO造成了巨大的损失。
08 Meerkat Finance跑路
2022年3月4日,基于币安智能链(BSC)的DeFi项目Meerkat Finance发起的跑路局,导致大约3100万美元的用户资金被盗。
Meerkat Finance是一个提供流动性挖矿和收益优化服务的项目,它声称可以让用户通过存入或借出代币来获得高额收益。然而,在项目上线不到一天后,Meerkat Finance就宣布遭到了黑客攻击,并将其网站和社交媒体账号全部删除。
事实上,这是一个精心策划的局,Meerkat Finance的开发者利用自己对合约代码的控制权,修改了合约中存储私钥的变量,并将用户存入的代币转移走。这是BSC上最大规模的局之一,也引发了对BSC安全性和可靠性的质疑。
09 RugZombie局
2022年10月31日,基于BSC的NFT项目RugZombie发起的跑路局,导致大约1000万美元的用户资金被盗。
RugZombie是一个声称可以让用户通过购买和铸造NFT来复活被“拉毯”的代币项目的平台。然而,在项目方宣布将在10月31日发布一个新的NFT系列之前,他们突然将流动性池中的所有资金转走,并删除了所有的社交媒体账号和网站。这导致RugZombie代币的价格暴跌,许多投资者无法出售自己的代币,损失惨重。
10 稳定币攻击
2022年4月5日,去中心化借贷平台Liquity被攻击,导致大约1100万美元的用户资金被盗。
Liquity是一个基于以太坊的借贷平台,它声称可以让用户通过抵押ETH来借出其自有稳定币LUSD,并获得其治理代币LQTY作为奖励。
然而,在项目上线后不久,就有人发现了一个漏洞,可以让用户通过利用Liquity合约中的一个函数来创建无限量的LUSD,并将它们兑换成其他代币。
这导致了LUSD代币的价格暴跌,以及Liquity合约中存储的ETH被大量转移走。项目方声称是由于合约代码中存在一个错误导致的漏洞,并承诺将尽快修复并赔偿受影响的用户。然而,有分析显示,项目方在漏洞发生前就已经将部分资金转移走了。
总结
Web3是一种新兴的技术和金融领域,它们有着巨大的潜力和创新,但也伴随着很多的风险和挑战。
在这篇文章中,分别介绍了十个Web3安全事件,这些事件涉及了不同的平台、项目、通证和合约,但都反映了一些共同的问题,比如代码质量、审计机制、用户教育、监管缺失等。通过分析这些事件的原因、过程和后果,给出了一些防范和应对的建议,比如谨慎选择项目、保护好私钥、检查网站真实性、警惕过度承诺等。这篇文章对于Web3的爱好者和投资者来说,是一份很有价值的参考资料,可以帮助他们提高自己的安全意识和能力。
W3C DAO
个人专栏
阅读更多
金色财经
金色荐读
区块链骑士
金色财经 善欧巴
Block unicorn
Foresight News
深潮TechFlow
▌Baker&McKenzie律所合伙人:虽然香港政策利好,但其监管也比其他地区更严格Baker&McKenzie律所合伙人Joy Lam表示.
1900/1/1 0:00:00作者:Haotian,链上观UniswapV4新版给熊市冷寂的Crypto行业注入了一剂catalyst,大家不约而同感慨Uniswap框架式创新的范式力量.
1900/1/1 0:00:00原文作者:0x min 编译:深潮TechFlow 加密世界需要更多的法官,继 SEC 起诉 Binance 之后,加密 VC 们也开始了诉讼之旅.
1900/1/1 0:00:00作者:Jeff Wilser;编译:Block unicorn长期以来,代币化一直是加密货币界的大主题,现在,它或许终于准备好迎接黄金时期。华尔街正在深入探索,为从建筑到金条的各种事物创建代币.
1900/1/1 0:00:00传统金融圈对于 DeFi 的看法离不开“游子终将返家”,他们认为 Crypto 的结局离不开被传统金融收编,因为只要解决不了链上走向应用落地间的瓶颈,就永远会有被收购、被监管的结局.
1900/1/1 0:00:00老牌 DeFi 协议 Maker 的代币 MKR 近期市场表现亮眼,但有谁注意到它在过去 3 个月里的年化利润悄悄增长了 3 倍? MKR 的表现虽然优于普通的山寨币,但相较于三倍的利润增长.
1900/1/1 0:00:00