「我錢包里的 ETH 都沒了!」
今日,DeFinance 創始人 Arthur 在社交媒體上表示其遭受魚叉式網絡釣魚攻擊。Arthur 點擊了一封酷似 Defiance Capital 合作資管平臺官方地址發來的郵件中的 PDF 文檔,導致其熱錢包被盜,損失大量 NFT 以及其他資產價值超 400ETH。
Web3.0 的世界好像并不安全,我們的鏈上資產似乎處處受到威脅。確實,從上層來看,鏈上應用不光要考慮應用邏輯的漏洞,還要考慮所部屬鏈共識層可能潛在的攻擊途徑(搶跑等)。除此之外,我們還需要擦亮雙眼看清交互前端,并預防各類釣魚鏈接。最致命的一點是,交易一旦獲得清算保證,回滾成本極高。這么說來,Web3.0 整體安全程度還不如 Web2.0 呢。
但從更底層維度來看,理論上來說 Web3.0 其實應該是更安全的。例如,鏈上的去中心化平行執行為鏈上應用打造了去信任化的執行環境。Web2.0 應用常遇到的 DoS 攻擊也被 Gas 機制所解決。協議的開源同時也讓用戶在使用前「有權」進行 DYOR,等等...
數據:一巨鯨地址向Coinbase轉入1.34萬枚以太坊:8月7日消息,據The Data Nerd監測,0x8f64開頭地址今日向Coinbase轉入1.34萬枚以太坊(價值約2500萬美元),目前該地址剩余約7000枚以太坊。該地址持有的以太坊中大部分來自于2016年至2017年間轉入的以太坊。[2023/8/7 21:29:21]
本文出自加密錢包 ZenGo 聯創 Tal Be'ery,文中就 Web3.0 固有的安全優勢進行了詳細解讀,并提出了現存問題的潛在解決方案。律動研究院將全文進行了翻譯:
我知道這一點聽起來很荒唐,畢竟 Web3 的安全性是目前科技領域的一大笑柄,而 Web3 在去年也因安全漏洞損失了超過 100 億美元。然而,我認為目前這樣的情況應該是階段性的,而非持續性的,一旦 Web3 應用程序變得更加成熟,它們將在安全性上超越很多「傳統應用程序」。
在我們開始討論 Web3 的安全性之前,我們需要首先對其作出定義。我們可以暫時將 Web3 定義為依賴于「智能合約」的應用程序,其商業邏輯和存儲均在區塊鏈上完成。因此,Web3 目前主要包括 DeFi 應用程序和 NFT,但在未來可以擴展到更多領域。
ARK報告:6月份BTC的未變動供應量達到歷史新高:金色財經報道,資產管理公司Ark Invest的一份報告稱,6月份BTC的未變動供應量達到歷史新高,近70%的流通供應量已一年未變動。該公司表示,特別是長期持有者手中的流通比特幣供應量份額穩步上升,證實了持有者基礎正在增加。由于近70%的比特幣持有至少一年,長期持有者在比特幣市場中所占的份額現在無論是相對還是絕對都達到了歷史最高水平。[2023/7/8 22:24:55]
在對 Web3 作出定義之后,我們便可以開始探討它的安全性,而這主要包括智能合約的安全性。為了簡單起見,我們將只討論以太坊上的智能合約,但我相信其結論也適用于其他相似的系統和區塊鏈。
想象一下,如果 Web3 軟件環境中沒有了惡意軟件、拒絕服務攻擊以及其他類型的攻擊,該是一次多么美妙的升級。下面我們一起來認識一下實現了安全烏托邦的 Web3:
Binance.US上的比特幣出現近400美元的溢價:金色財經報道,根據TradingView數據,Binance.US上的比特幣價格目前約為 27190美元,而在Coinbase上,比特幣價格約為26800美元,溢價近400美元。Binance.US上的比特幣溢價可能表明用戶正試圖將他們的資產轉移到最重要的加密貨幣中以立即將其取回,而不是通過法定貨幣,因為如果交易所的資產被美國證券交易委員會凍結,電匯取款通常需要更長的時間。
金色財經此前報道,美國一家法院批準SEC要求凍結Binance.US公司資產的請求。[2023/6/7 21:22:15]
-Web3 可以免疫注入式攻擊:對于傳統的網絡應用程序,所有參數都是以字符串的形式發送。這個設計缺陷是大多數傳統網絡應用程序漏洞背后的核心原因,這些漏洞包括 SQL 注入和命令注入,讓攻擊者能夠將非預期輸入偷運到尚未完善的網絡應用程序之中。相比之下,由于 Web3 的強類型性質,這種非預期輸入(比如,當預期是一個數字時,輸入的卻是一個字符串)將立即失敗,而 Web3 應用程序則不需要做任何特殊的準備。
Cathie Wood:機構對比特幣更加感興趣:金色財經報道,ARK Invest的首席執行官兼創始人Cathie Wood 一直保持對BTC價格的預測。在最近的彭博社采訪中, Wood 證實ARK Invest仍堅持BTC交易價格為100萬美元的預測。
Wood預計BTC價格在未來十年內將達到100萬美元。如果發生這種情況,BTC的價格將比當前價格飆升4,300%。\tARK Invest首席執行官還談到了機構投資者對比特幣的采用。Wood聲稱,由于目前比特幣的價格相對較低,這群投資者對在他們的投資組合中加入比特幣變得更加感興趣。Wood 進一步聲稱,在 Cambridge Associates 的 2018 年報告之后,機構對比特幣更加感興趣。[2022/11/6 12:21:21]
-Web3 對拒絕服務攻擊的抵抗力更強:雖然這些攻擊并不聰明,因為它們通常不是靠「腦力」,而是靠僵尸網絡大軍的「蠻力」,以較低的成本向攻擊目標發送垃圾流量,但它們仍然是傳統 Web 應用程序面對的一個主要問題。相比之下,Web3 應用程序就不會受此困擾,因為區塊鏈為了防止被過量使用,設置了較高的交易費用,從而讓 DoS 攻擊者無從下手。
Binance靈魂綁定Token BAB累計鑄造超40萬枚:10月10日消息,據Dune Analytics數據,BNB Chain靈魂綁定Token BAB已累計鑄造413,780枚,其中9,827枚已撤銷,實際共計有效鑄造403,953枚。[2022/10/10 12:51:49]
除了上面幾點以外,Web3 在其他方面也表現出了很好的安全性(例如,在應對軟件供應鏈攻擊方面)。但是,僅僅是做到了上面幾點,就已經相當厲害了。
但除了上述的技術優勢外,鑒于 Web3 的完全開放性和透明度,Web3 還具有一些理念意義上的安全優勢。早在 Web3 出現之前,開放式安全理念在安全領域就有很多擁護者,認為它比「隱蔽式安全」更具優勢。Web3 將開放式安全理念發揮到了極致:在 Web3 中,不僅代碼按照慣例是開源的,而且根據定義,二進制文件在區塊鏈上也是對外公開的,且可以被驗證為是已發布源代碼的結果。此外,根據定義,所有代碼的執行(交易)都是公開的,任何人都可以對其進行驗證和審查。
如果 Web3 的安全性在理論上大大優于傳統應用程序,那為什么在實際操作中,DeFI 應用程序的安全性還是比不過傳統的銀行應用程序?
我認為這不是因為 Web3 的安全性本身有多差,而是因為它的運行環境異常惡劣,攻擊者可以更容易地靠黑客攻擊賺錢。Web3 應用程序每時每刻都在處理著「流動資金」,因為區塊鏈上的資金轉移幾乎都是即時發生且不可改變的;而在傳統的銀行系統中,即使銀行應用程序被黑,在攻擊者兌現以前,這些惡意交易所涉及的財產都可以被追回。
具體而言,我們可以看一下規模最大的銀行被黑案之一——2016 年孟加拉銀行黑客入侵案。攻擊者利用惡意軟件滲透到銀行當中,并發送欺詐性的 SWIFT 電匯,試圖劫走 10 億美元。為了真正得到這 10 億美元,攻擊者需要看好一個特定的日期,這一天正好銀行放假,好讓他們有足夠的時間來變現。他們還需要在一家能夠處理大量電匯的菲律賓銀行提前做好準備,以便在電匯被退回之前將資金套現。最終,攻擊者「只」獲得了 10 億美元中的 6000 萬美元,而這并不是因為銀行的軟件安全性高,而是因為環境比較寬松,給了防衛者足夠的時間追回電匯。
因此,我們可以得出結論,為了擊敗攻擊者,我們需要為防衛者爭取更多的時間。
要想做到這一點,我們需要減少攻擊的檢測時間,或者延長交易可逆轉前的時間,又或者同時做好這兩點。
我非常看好我們社區在改善攻擊檢測時間上的能力,因為目前已經有一些安全公司(如 peckshield)能夠根據公開數據,利用上述的區塊鏈透明度及「開放式安全」理念,提前對黑客攻擊作出預警。從最近發生的黑客攻擊案及其事后分析來看,沒有什么能阻止在交易執行時分析的實時進行(甚至在交易執行節點內存池中的一個「代辦事宜」時也一樣)。當我們把這樣一種先進的預警系統集成進合約當中以后,可能就足以用來杜絕此類惡意交易了,正如最近出現的 Forta.network 等項目所顯示的那樣。
即使在今天,套現也不像看起來那么容易。一些 Crypto Token 已經設置了自己的黑名單,用以凍結名單用戶的資產。此外,要想兌現成法幣,攻擊者通常需要借助中心化交易所,而這些交易所正受到越來越多的監管,并也增添了 KYC 功能(了解你的客戶)及黑名單,阻止了攻擊者進行兌現。因此,如今一些攻擊者更愿意歸還大部分被黑的資金,只保留一小部分,并把這部分資金洗白成被黑應用程序發放的「漏洞修補賞金」(bug bounty)。正如最近查獲的 Bitfinex 被黑資金,這些黑客其實很難將大筆的 Crypto 套現。可以肯定的是,套現只會變得越來越難。
雖然 Web3 的安全性還遠遠不夠,但隨著它的不斷改進,未來很有可能成為我們數字活動的安全護盾。就像大多數革命性的技術一樣,Web3 的功能越豐富,其安全性就越是問題,這也是一直以來的情況。不過今后在風險投資和成功 Web3 項目的資金支持下,安全系統的人才將不斷從傳統安全產品涌入 Web3 領域,我相信到那時 Web3 的安全性便可以充分的發揮出來。
Web3 和 Crypto 技術涉及計算機科學和經濟中的諸多學科,而我只了解安全領域。我相信,Web3 將為安全領域帶來重大突破,而且我也深信它能對其他我不了解的領域作出改進。
或者用 Web3 的行話說,WAGMI(我們都會成功的!)。
金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、礦業信息、項目動態、技術進展等行業動態。本文是其中的新聞周刊,帶您一覽本周區塊鏈行業大事.
1900/1/1 0:00:00頭條 ▌Cashio出現無限鑄造漏洞,穩定幣價格近乎歸零 ? ? ? ? ?金色財經消息,Solana生態上的算法穩定幣項目Cashio發推表示,用戶不要鑄造任何現金,盡快從池中提取資金.
1900/1/1 0:00:005天百倍,CULT一時間備受關注。 CULT.DAO 的目的是授權和資助那些為去中心化的未來建設和貢獻的人們。簡言之,Cult.DAO是一個去中心化風投.
1900/1/1 0:00:00“因為稀有才是珍貴的,而水是最便宜的,但最好的。”——柏拉圖,《歐西德摩斯》30多年前,第一個網頁是在歐洲核子研究中心所創建的,由Tim Berners-Lee爵士和其他科學家想象構建.
1900/1/1 0:00:00昨晚,Axie Infinity 專屬側鏈Ronin被曝被盜價值 6.24 億美元的加密資產(包括173,600 ETH和 2550 萬 USDC),這也是迄今損失最為慘重的跨鏈橋安全事故.
1900/1/1 0:00:00本文由”老雅痞laoyapicom“授權轉載信息來源自techcrunch,略有修改,作者Anita Ramaswamy隨著俄烏戰爭的持續.
1900/1/1 0:00:00