總結
黑客等惡意行為者在2023年第二季度從Web3.0行業中榨取了3.1億美元的價值。
該數字與第一季度的3.2億美元損失接近,比2022年第二季度的7.45億美元損失下降了58%。
CertiK總共發現了212起安全事件,這也就意味著第二季度每起事件的平均損失為148萬美元。這一數字比第一季度每起事件的平均損失156萬美元略有下降。
98起退出騙局從投資者那里偷走了7,035萬美元,比第一季度退出騙局造成的3,100萬美元的損失增加了一倍多。
54起閃電貸攻擊及預言機操縱事件使攻擊者賺取了2,375萬美元。這比第一季度的52起預言機操縱總損失2.22億美元大幅下降了。當然,上個季度由于Euler Finance損失數額巨大,僅這一漏洞就占據了上一季度總金額的85%。
此外,行業內正在發生一些“鏈下”大事件:美國證券交易委員會對虛擬貨幣兩個最大交易所提出指控;而世界上最大的資產管理公司提交了一份比特幣ETF的申請。
研究:2022年美國加密訴訟數量增加40%,創歷史新高:2月13日消息,根據hedgewithcrypto.com發布的最新研究,與加密貨幣經歷的價格周期類似,美國每年提起的與加密貨幣相關的訴訟數量也存在波動。該研究指出,從2018年到2022年,加密訴訟增加了40%,但在高點之間有所下降。在所有年份中,2022年是美國訴訟數量最多的一年,共有41起。
在2022年的加密訴訟中,約有19起來自美國證券交易委員會(SEC)。多年來,與未注冊服務和證券相關的訴訟是加密貨幣行業中最常見的,自2018年以來共計53起訴訟。自2018年以來,首次代幣發行(IC0)欺詐占了12起訴訟,而盜竊或欺詐占了10起訴訟。(Bitcoin.com)[2023/2/13 12:03:51]
同時,CertiK安全研究人員還發現了主要區塊鏈協議和應用中的一些重大漏洞,包括Sui驗證器節點和ZenGo的MPC錢包中的安全風險。
部分數據展示
Hut 8在2022年第三季度開采了 982 個比特幣:金色財經報道,Hut 8 Mining Corp宣布其截至 2022 年 9 月 30 日的季度(2022年第三季度)的財務業績。報告顯示,與截至 2021 年 9 月 30 日的季度(“2021 年第三季度”)的5030 萬美元相比,2022 年第三季度的收入減少了1860 萬美元至3170 萬美元。公司在 2022 年第三季度開采了 982 個比特幣,與 2021 年第三季度相比增加了 8.5%,原因是公司礦工隊伍的擴張和采礦活動的哈希率增加。[2022/11/10 12:45:15]
簡介
2023年第二季度Web3.0領域記錄的總損失為313,566,528美元,與上一季度幾乎相同,與去年同期相比下降了58%。每起事故的平均損失也出現了輕微下滑。
縱觀第二季度,預言機操縱事件數量明顯下降,而退出騙局的總損失卻有所上升,表明惡意行為者采用的戰術已發生了變化。
隨著行業的發展,像針對MEV機器人的攻擊和在Sui區塊鏈上發現“倉鼠輪”安全威脅這樣的案例,印證了持續深度鉆研安全、先發制人和持續保持警惕的重要性。每克服一個挑戰,我們就離更安全的Web3.0空間更近一步。
埃森哲發布《技術展望2022》報告中文版:首提“多元宇宙”概念:金色財經報道,埃森哲近日發布《技術展望2022》報告中文版,對未來十年間將會影響塑造商業世界的重要技術變革進行前瞻預測,“如何迎接元宇宙”是此次報告討論的核心話題。針對元宇宙的應用前景,埃森哲在報告中提出了“多元宇宙”的概念,認為應該將元宇宙看作一個融合現實與數字世界,并且不斷演變和擴展的動態體系:既涵蓋云、擴展現實、區塊鏈、人工智慧、數字孿生以及邊緣計算等多種技術;同時也包括能夠為用戶帶來創新體驗,為企業的組織營運和業務發展帶來革新的商業模式。
在“多元宇宙”的理念之下,埃森哲進一步提出了未來網路、編碼世界、虛實共生和無限算力四大技術發展趨勢。在埃森哲看來,這四個領域的技術發展是奠定“多元宇宙”發展的基石。而推動“多元宇宙”迭代升級的驅動力,不僅來自于算力的解放和體驗的提升,同時也來自對現有互聯網范式局限性的不斷突破,以及對安全、倫理標準的建設與完善。[2022/5/6 2:53:55]
查看報告獲取更多細節內容及數據。
SIX 2021年上半年營業收入為7.458億瑞士法郎:SIX Group今天公布了2021年上半年的財務業績。根據業績,SIX在2021年上半年的營業收入為7.458億瑞士法郎,比2020年同期增長19.5%。集團過去六個月的凈利潤達到1.082億瑞士法郎。除了最近的營業收入增長外,隨著全球多家加密公司在SIX上推出比特幣和以太坊ETP,SIX集團的交易所交易產品也出現了大幅增長。2021年1月,ETC集團加入SIX發行比特幣ETP。此外,2021年6月,總部位于紐約的投資管理公司VanEck在SIX上列出了加密貨幣ETP。(financemagnates)[2021/7/23 1:12:07]
MEV機器人被惡意利用
4月初,MEV機器人在以太坊的16964664區塊被黑客利用。一名惡意驗證者替換了數筆MEV交易,導致約2538萬美元損失。這一事件是迄今為止針對MEV機器人的最大攻擊。
該事件是在以太坊區塊16964664中發生的,有8個MEV交易被惡意驗證者利用。這個驗證者成立于2023年3月15日,由外部地址(EOA)0x687A9建立,并一直設法滲透到防止搶先交易的Flashbot中。
摩根士丹利數字資產市場負責人:DeFi將在2021年保持增長勢頭:金色財經報道,摩根士丹利數字資產市場負責人Andrew Peel表示,DeFi有望在2021年保持其增長勢頭。Peel稱,摩根士丹利目前已注意到所謂的DeFi爆炸式增長。他認為,這一不斷發展的技術很可能在未來兩年內應用于更傳統的環境。[2020/12/19 15:44:26]
然而,MEV-boost-relay中的一個漏洞使惡意驗證器可以重新進行捆綁交易,攔截MEV機器人部分夾層策略,特別是反向交易。由于上述漏洞,驗證者看到了詳細的交易信息。有了這些詳細的交易信息,惡意驗證者可以建立他們自己的區塊,并在最初的MEV機器人交易之前插入他們的前置交易。
總的來說,這個惡意驗證器成功地從5個MEV機器人中竊取了大約2500萬美元,這也是目前為止CertiK發現的MEV機器人損失金額最大的事件之一。在過去的12個月里,只有6個MEV機器人的漏洞被發現,而僅本次事件就占了總損失2750萬美元的92%。
惡意驗證者利用MEV-boost-relay漏洞,通過提交一個無效但正確簽名的區塊開始攻擊。在看到區塊內的交易后,驗證者可以重新捆綁它們,以從MEV機器人那里索取資產。該漏洞已于后續被修補。
更多關于MEV機器人及三明治攻擊的內容,請查看報告獲取。
Atomic Wallet被黑
今年6月初,5000多名Atomic Wallet用戶遭遇了本季度最大的安全事件,損失超1億美元。起初,Atomic Wallet表示不到1%的月活用戶成為此次事件的受害者,后來改成不到0.1%。如此規模的攻擊和巨大損失凸顯了錢包應用中安全漏洞的嚴重性。
攻擊者以用戶私鑰為目標,獲得對他們資產的完全控制。在獲取密鑰后,他們能夠將資產轉移到自己的錢包地址,清空受害者的賬戶。
散戶報告的損失金額大小不一,其中最高達到795萬美元。五名金額最大的散戶受害者的累計損失高達1700萬美元。
為了挽回損失,Atomic Wallet公開向攻擊者提出了一個提議,他們承諾放棄10%的被盜資金,以換取90%被盜的代幣。然而,根據Lazarus Group的歷史記錄,加上被盜資金已開始被清洗,追回資金的希望非常渺茫。
更多關于Atomic Wallet以及“幕后黑手”的分析,請查看報告獲取。
Sui“倉鼠輪”新型漏洞
此前,CertiK團隊于Sui區塊鏈發現了一系列拒絕服務漏洞。在這些漏洞中,一種新型且具有嚴重影響力的漏洞格外引人注目。該漏洞可導致Sui網絡節點無法處理新的交易,效果等同于整個網絡完全關閉。CertiK因發現該重大安全漏洞,獲得了Sui 50萬美元漏洞賞金。美國業內權威媒體CoinDesk對該事件進行了報道,隨后各大媒體也緊隨其報道發布了相關新聞。
該安全漏洞被形象地稱為“倉鼠輪”:其獨特的攻擊方式與目前已知的攻擊不同,攻擊者只需提交一個大約100字節的載荷,就能觸發 Sui 驗證節點中的一個無限循環,使其不能響應新的交易。
此外,攻擊帶來的損害在網絡重啟后仍能持續,并且能在 Sui 網絡中自動傳播,讓所有節點如倉鼠在輪上無休止地奔跑一樣無法處理新的交易。因此我們將這種獨特的攻擊類型稱為“倉鼠輪”攻擊。
發現該漏洞后,CertiK通過Sui的漏洞賞金計劃向Sui進行了報告。Sui也第一時間進行了有效回應,確認了該漏洞的嚴重性,并在主網啟動前積極采取了相應措施對問題進行了修復。除了修復此特定的漏洞外,Sui還實施了預防性的緩解措施,以減少該漏洞可能造成的潛在損害。
為了感謝CertiK團隊負責地披露,Sui向CertiK團隊頒發了50萬美元獎金。
詳情請點擊《Sui最新漏洞“倉鼠輪”,技術細節與深入分析》
基于MPC錢包的服務器級別漏洞
多方計算(MPC)是一種加密方法,允許多個參與者對其輸入的函數進行計算,同時保護這些輸入的隱私。其目標是確保這些輸入不與任何第三方共享。該技術有多種應用,包括保護隱私的數據挖掘、安全拍賣、金融服務、安全的多方機器學習,以及安全的密碼和機密共享。
CertiK的Skyfall團隊在對目前流行的多方計算(MPC)錢包ZenGo進行預防性安全分析的過程中,發現該錢包的安全架構存在一個嚴重漏洞,它被稱為“設備分叉攻擊”。攻擊者可以利用它繞過ZenGo現有的安全防護措施,從而有機會控制用戶的資金。該攻擊的關鍵是利用API中的漏洞來創建一個新的設備密鑰,從而欺騙ZenGo服務器將它視為真實用戶的設備。
依據負責披露原則,Skyfall團隊迅速向ZenGo報告了此漏洞。在認識到問題的嚴重性后,ZenGo的安全團隊迅速采取行動進行修復。為了防止攻擊的可能性,該漏洞已在服務器的API層面上得到修復,因此無需對客戶端代碼進行更新。
在漏洞修復完成后,ZenGo公開承認了這些發現,并感謝CertiK在加強其基于MPC錢包的安全性和可信度方面發揮的重要作用。
“多方計算具有廣闊的前景,在Web3.0領域有許多重要的應用。雖然MPC技術減少了單點故障帶來的風險,但MPC解決方案的實施會給加密貨幣錢包設計帶來新的復雜情況。這種復雜性會導致新的安全風險,說明全面的審計和監控方法是必不可少的。” —— 李康教授,CertiK首席安全官
點擊獲取完整報告
CertiK中文社區
企業專欄
閱讀更多
金色早8點
Odaily星球日報
金色財經
Block unicorn
DAOrayaki
曼昆區塊鏈法律
作者: Ian Xu@Foresight Ventures目前AI + Crypto結合的點主要有2個比較大的方向:分布式算力和ZKML;關于ZKML可以參考我之前的一篇文章.
1900/1/1 0:00:00DeFi數據 1、DeFi代幣總市值:501.48億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量40.
1900/1/1 0:00:00香港區塊鏈協會共同主席方宏進在聽完Techub News的直播后,對于港元穩定幣表達了不同的看法,其撰文表示,并不認同港府以外匯儲備為抵押發行港元穩定幣的建議.
1900/1/1 0:00:00權益質押(staking)通常指將cryptocurrency作為抵押物鎖定,以保障某一區塊鏈網絡或智能合約協議的安全.
1900/1/1 0:00:00作者:GameLook 周一在初次試水區塊鏈無功而返后,育碧最近又公布一款基于區塊鏈技術的PVP策略RPG游戲《Champions Tactics:Grimoria Chronicles》.
1900/1/1 0:00:00作者:U.S. Global Investors;編譯:元宇宙之心(MetaverseHub)為應對即將到來的下一代互聯網Web3,我們需要做好準備.
1900/1/1 0:00:00