買比特幣 買比特幣
Ctrl+D 買比特幣
ads

區塊鏈:半年被盜 20 億美金 黑客與監管都盯上了 Web3_solana幣下半年會漲多少

Author:

Time:1900/1/1 0:00:00

作者:雪小頑

2022 年是 Web3 崛起以來,損失最慘重的一年。

Web3 這一個月來風波不斷。

8 月初,明星公鏈 Solana 發生黑客盜幣事件,超過 9000 個錢包地址被襲擊,損失約 400 多萬美元,在用戶中引發了一波恐慌情緒,也讓 Solana 陷入信用危機。

幾天后,加密貨幣混幣器 Tornado Cash 被美國財政部的下屬機構——海外資產控制辦公室(OFAC)列入制裁名單,其中包括 40 多個與 Tornado Cash 協議相關的以太坊地址,涉及價值超 4 億美元的資產被凍結。

定位于隱私服務的混幣器,在加密社區的名聲一直備受爭議,其中的「頭部」Tornado Cash 更是有「臟幣銷金窟」之稱。

Tornado Cash 被美國財政部制裁后,其代幣價格大幅下降。|來源:business2community.com

這次制裁意味著美國的社區用戶,無論個人還是實體,都不得再與 Tornado Cash 平臺以及和它綁定的錢包地址進行經濟交易。按照過往的案例,如果違規,可能面臨高達 30 多萬美元的罰款和最高 30 年的監禁。

數據:2023上半年共記錄3.3億次加密劫持攻擊,已超過前三年相關攻擊次數總和:7月26日消息,據網絡安全公司SonicWall報告數據顯示,該機構于2023上半年共記錄3.323億次加密劫持攻擊,與去年全年相比增長399%,該數字比2020年、2021年和2022年的加密劫持攻擊次數總和還要高。

SonicWall表示,加密劫持涉及利用屬于他人的服務器和電腦設備來挖礦數字資產,其中以隱私為中心的門羅幣是最受歡迎的。受影響的人甚至可能沒有意識到自己是受害者,他們可能只是覺得他們的機器運行得比平時慢。

SonicWall歐洲、中東和非洲地區副總裁Spencer Starkey表示,加密劫持的最大癥狀包括設備響應速度變慢、電費異常高,以及電池過熱導致風扇過度使用等。與勒索軟件或銀行木馬相比,加密劫持者的目標是盡可能長時間不被發現。[2023/7/26 16:00:16]

緊接著,外媒曝出 29 歲的 Tornado Cash 開發者在荷蘭阿姆斯特丹被逮捕,當地執法部門稱 Tornado Cash 涉嫌隱瞞非法資金流動和協助洗錢,從今年 6 月份開始一直在對其進行調查。

Tornado Cash 被制裁,在加密行業引發「站隊」。有人公開表達不滿,認為美國財政部監管越界,侵犯了美國公民的隱私權和自由;也有人帶頭響應監管,穩定幣 USDC 的發行方 Circle 迅速凍結了 Tornado Cash 相關錢包地址上的資產。

加密礦企BitRiver俄羅斯子公司已于2021年下半年實現凈零碳排放:金色財經報道,BitRiver 的俄羅斯子公司 BitRiver Rus 在2021年下半年實現了凈零碳排放,這是俄羅斯第一家獲得該認證的公司,排放報告已通過英國標準測試公司 BSI 的驗證。BitRiver Rus 位于西伯利亞 Irkutsk,是俄羅斯最大的礦業公司之一,為大規模采礦提供托管服務。其數據中心容量為 300 兆瓦,該公司計劃到 2022 年底將其規模擴大 6 倍以上。據報道,該公司管理著五個專有數據中心,并正在俄羅斯和國外實施另外 15 個項目。(CoinDesk)[2022/2/17 9:56:55]

Web3 正面臨著崛起以來最嚴峻的安全考驗與審查壓力。2022 年上半年,Web3 領域的資產損失約為 20 億美元,超過了去年全年被黑客攻擊的總損失數額。隨之而來的連鎖反應是,監管執法之手越伸越長。

人們的慣常認知中,強調去中心化邏輯的 Web3 本應擁有更強的安全性和私密性,如今卻被黑客和監管雙雙盯上。加密世界正經歷著對其未來命運影響深遠的動蕩時刻。

黑客打劫 Solana:

一場懸而未決的「公案」

距離 Solana 發生黑客盜幣時間已經過去半個多月,官方依然沒有給出最終的調查結果。

區塊鏈安全公司慢霧科技團隊分析發現,根據 Solana foundation 提供的數據顯示,近 60% 被盜用戶使用的是 Phantom 錢包,此外有 30% 左右地址使用了 Slope 錢包,并且 iOS 和 Android 版本的應用都有相應的受害者。

報告:區塊鏈游戲公司在上半年融資4.76億美元:金色財經報道,根據InvestGame的一份報告,區塊鏈游戲公司在2021年上半年融資4.76億美元,其中Forte籌集了1.85億美元,Animoca Brands籌集了8900萬美元,Mythical Games籌集了7500萬美元,占總融資量的75%。2021年上半年有489筆涉及游戲公司的已完成和已宣布的交易,總價值為502億美元,加密游戲投資僅占交易的5%和總價值的9%。[2021/8/7 1:40:10]

事發 3 天后,Slope 曾在 twitter 上發布了一個官方錢包地址,并公開表示,一直在與執法部門和情報公司合作追蹤被盜資產,如果黑客愿意歸還,可以向其支付 10% 的賞金。「收回這些資金后,我們就不會再繼續追究,也不會采取任何法律行動。」

Slope 團隊給黑客留了 48 小時的時間來歸還資產,但這個賞金要約并未得到黑客的回應。

Slope 錢包官方向黑客發出賞金要約。|來源:twitter

硬件錢包 Keystone 創始人劉力心還記得,事發當天,他被拉進了一個有 100 多位白帽黑客的「war room」,安全專家們討論了事件可能的經過。

芯動科技稱下半年發BTC礦機 能效比達到20多W/T:7月5日下午芯動科技Innosilicon銷售總監汪生林在杭州區塊鏈國際周會議現場透露,Innosilicon將于2020下半年推出新一代比特幣礦機,能效比達到20多W/T。預計仍將采用三星8nm芯片。目前全行業能效比最高的比特幣礦機為比特大陸發布的S19 Pro,能效比達到29.5W/T,采用臺積電7nm芯片。如果芯動真的能夠達到這一指標,或將成為全行業能效比最高的一款礦機。芯動之前發布的性能最強的比特幣礦機為T4,能效比為44W/T。(吳說區塊鏈)[2020/7/5]

「最初的猜測是某個 NFT 項目被集體攻擊。」劉力心回憶,從被黑的錢包地址數量來看,八九千個的量級通常是某個 NFT 項目發行的常見數量,最初的猜測是某個 NFT 項目方作惡,例如進行了惡意授權。

但這個猜測很快被否定。安全技術人員發現,有幾筆被盜交易的發生是由于用私鑰做簽名,而不是錯誤授權導致資產轉移。接下來,關于事故原因的猜測還有供應鏈攻擊、黑客撞取隨機數、采取不恰當的簽名方式等等,隨后也都被一一推翻。

當天下午,一位海外研究人員發現,Solana 鏈上的 Slope 錢包私有化部署了第三方應用監控服務 Sentry,會收集用戶的私鑰或助記詞等信息,然后上傳到中心化的服務器。

Sentry 是一個應用監測平臺,可以實時監控應用在運行狀態時出現的異常或錯誤日志信息。如果 Sentry 發現了系統 bug,會通過郵件等方式通知應用方的技術人員。

動態 | 15家上市銀行提及區塊鏈 半年報中出現的頻次總體偏低:據新浪財經報道,33家上市銀行中,共有15家在2019年半年報中提到了區塊鏈,占比不足50%。而且區塊鏈在各家公司半年報中出現的頻次總體偏低。區塊鏈出現一次和二次的占33家公司總數相等,都是12.1%;出現三次的有9.1%,出現四次的有6.1%;5次的就很少了,只有3.0%;5次以上的也是3.0%。[2019/9/3]

在加密世界,Sentry 服務被廣泛應用,Slope 錢包就是其一。但使用 Sentry 時需要注意一個問題,如果出現了配置錯誤,Sentry 可能會收集到額外的數據,如私鑰或助記詞等私密信息。

安全專家們推測,在 Solana 盜幣事件中,用戶創建錢包時,Slope 將助記詞和私鑰等敏感數據錯誤發送給了 Sentry。這給黑客提供了可乘之機,黑客竊取了存儲在 Sentry 中心化服務器上的私鑰。

經過調查后,Slope 發布聲明稱,雖然上述安全漏洞確實存在,但被攻擊的 Slope 地址的數量只是這次被盜錢包地址總數的一小部分。目前也暫無證據表明 Sentry 官方遭到了入侵和攻擊,因為 Slope 錢包使用的 Sentry 服務部署在私有服務器。

此外,具體數據來看,服務器上的私鑰和助記詞派生出來的地址中,與受害者地址有交集的,只有 5 個以太坊地址和 1388 個 Solana 地址。也就是說,Slope 此次被黑的超過 2700 個錢包中只有一半存在 Sentry 漏洞,這無法解釋其余用戶錢包是如何被黑的。

就已經掌握的調查結果來看,已知的攻擊者地址有 4 個,被盜資產在 Solana 鏈上尚未出現進一步轉移,但在 ETH 鏈上,一些資金已經被轉移到疑似 OTC 個人錢包地址,剩余部分被兌換為 ETH 后,轉移到了 Tornado Cash。

Web3「危機四伏」

在這次 Solana 被襲同期,跨鏈橋 Nomad Bridge 也受到攻擊。值得注意的是,參與攻擊 Nomad Bridge 的黑客有上百位,甚至包含了「白帽子」,損失近 2 億美元。

慢霧科技首席信息安全官(CISO)張連鋒告訴極客公園,目前對 Web3 的攻擊類型主要有兩種:

一是鏈上攻擊,例如假充值、重入攻擊、重放攻擊、重排攻擊等。這類攻擊往往更加隱秘,需要通過專業的代碼安全審計、完備的鏈上分析監測預警等方法來識別。

二是鏈下攻擊,如高級長期威脅(APT)、網絡釣魚、供應鏈攻擊等。這類都是傳統 Web2 常見的安全問題,但是目前卻對 Web3 生態安全產生了很大影響。

今年 4 月,周杰倫丟失價值超 300 萬人民幣的無聊猿編號 3738 的 NFT,就是因為無意中點擊了釣魚鏈接。

周杰倫被盜的無聊猿 NFT。|圖片源自網絡

Web3 自帶金融屬性,金錢的誘惑下,更容易被黑客盯上。隨著 Web3 玩家的體量不斷擴大,加密貨幣犯罪也呈現快速上漲趨勢。

根據慢霧區塊鏈被黑事件檔案庫(SlowMist Hacked)統計,2022 年上半年,Web3 領域的資產損失接近 20 億美元,已經超過 2021 年全年因黑客攻擊漏洞造成的總損失。

2022 年因此被稱作「Web3 興起以來損失最慘重的一年」。其中,以去中心化程度低、流動資金量大的跨鏈橋受損最為嚴重。

截至 6 月 30 日,今年共發生 7 起跨鏈橋安全事件,損失超過 10 億美元,占上半年總資產損失的半數以上。在上半年損失金額達到上億美元的 4 起事件中,有 3 起波及跨鏈橋。

比較有代表性的是區塊鏈游戲 Axie Infinity 的側鏈 Ronin Network 被襲,造成 6.24 億美元的損失,以及 Solana 的跨鏈橋項目 Wormhole 被攻擊,損失 3.26 億美元。

除了跨鏈橋,區塊鏈錢包也是安全事件發生的「重災區」。

錢包是用戶管理加密資產的工具,也是用戶進入各類 Web3 應用的賬戶入口,加密世界的交互和交易通過錢包來進行。

錢包包含著基于公鑰和私鑰生成的地址,表面上看是一組有字母、數字構成的符號串。其中的私鑰可以對照理解為 Web2 支付工具的密碼,掌握這個「密碼」的人才是加密資產的真正主人。

所以,私鑰一般是黑客攻擊竊取的關鍵信息。通常來說,大部分錢包都會與網絡連接,私鑰泄露的風險系數較高。

加密貨幣被黑客盜取后,主要流向就是洗錢場景,以混幣器為代表性「幫兇」。

從隱私保護出發的混幣器,本來的設想是消除用戶的鏈上交易痕跡,卻被黑客用作轉移被盜資產后的洗錢工具。不久前被制裁的 Tornado Cash 自 2019 年創建以來,已經「清洗」了價值超過 70 億美元的虛擬貨幣。

今年 5 月份的時候,美國曾經制裁了中心化混幣平臺 Blender,理由是 Blender 涉嫌幫助朝鮮知名黑客組織 Lazarus Group 清洗從 Axie Infinity 盜取的部分資產。

Lazarus Group 是一個來自朝鮮的網絡黑客集團,在 2021 年共竊取了價值超 4 億美元的加密貨幣。|來源:bleepingcomputer.com

以美國政府為代表的監管勢力盯上混幣器,黑客們的如意算盤未來或許打得不那么響。制裁犯罪固然重要,但另一個關鍵的問題是,加密世界亟需更優化的安全方案,在財產、隱私保護與犯罪監管之間尋求平衡。

無論對淺試 Web3 的個體玩家還是 All in 的建設者來說,在通向一個美麗新世界之前,先要走過一片遍布安全陷阱的暗黑森林。

極客公園

個人專欄

閱讀更多

金色早8點

Bress

PANews

鏈捕手

財經法學

成都鏈安

Odaily星球日報

區塊律動BlockBeats

Tags:WEBWEB3區塊鏈SOLWeb3游戲WEB3ALLBI區塊鏈技術發展現狀和趨勢solana幣下半年會漲多少

比特幣交易所
STARK:金色觀察|dYdX 正在逃離:Appchain 和 Rollup 之間的戰爭_ARK

文章要點: dYdX 離開 StarkWare 的主要原因:Stark 技術開發周期長,L2 解決方案 sequencer/prover 網絡去中心化還需要時間,為了可組合性.

1900/1/1 0:00:00
DOS:萬字長文:為什么版稅改革標志著NFT行業的下一輪發展?_NFT

本文作者:starzq 我們先用 4 個問題看清現狀1.NFT 版稅(Royalties)是怎么出現的?NFT 版稅(Royalties)是吸引以藝術家為主的早期項目最重要武器.

1900/1/1 0:00:00
DAO:我在中關村 參加了一場4小時速成的Web3活動_Little Rabbit

作者:未未 我是Web3世界的小白。準確點,我是一個在移動互聯網世界還步履維艱的小白。比如因為搞不懂“雙11”的規則,我26年的人生中還沒參與過電商大促;又比如幾個月前,我開了QQ音樂會員,才發.

1900/1/1 0:00:00
END:BendDAO資不抵債NFT終于也要迎來次貸危機了嗎?_BEND價格

NFT 周交易量創歷史新低(圖源:Nansen)近來 NFT 市場持續低迷,交易量連續下挫屢創新低,據報道,NFT 周交易量(8 月 9 日至 15 日)達 76,637 枚 ETH.

1900/1/1 0:00:00
以太坊:盤點主要以太坊代幣標準:可組合性是改變世界的殺手锏_加密貨幣走勢市場

ERC-20、ERC-721、ERC-1155、ERC-4626、ERC-之類的,不知道各種以太坊代幣標準是什么?為什么這些標準很重要?來源 | @SalomonCrypto推文作者 | Hay.

1900/1/1 0:00:00
Raydium:NFT刷單交易報告:市場中的“噪音”_NFTG價格

刷單交易(Wash Trading)是一種市場操縱形式,市場參與者試圖通過重復買賣來影響價格,制造大量交易活動的表象.

1900/1/1 0:00:00
ads