今年以來,黑客攻擊事件頻繁,僅10月20日到10月25日就發生了5余起安全事件,這還是除去各類的釣魚網站、虛假賬戶以及項目方跑路等安全事件。那么,今年哪些板塊和生態黑客攻擊事件最為頻繁?最近加密領域又有哪些安全事件值得注意?這些安全事件折射出加密市場有哪些亟需彌補的短板?未來Web3將朝著哪些方向發展?作為用戶,我們又能做些什么來保證我們的資產安全呢?本文將就這些問題進行探討。
加密世界愁云慘淡,下半年黑客攻擊異常猖獗
今年毫無疑問是加密市場的熊市之年,不少散戶和項目方本就因幣價下跌而損失慘重,可“屋漏偏又逢陰雨”,整個加密市場又不斷遭受黑客“洗劫”。到了今年下半年,黑客攻擊更是異常猖獗,下面就將今年主要黑客攻擊事件進行匯總梳理。
幣安將調查由Ankr開發者私鑰被竊引發的數個加密貨幣黑客攻擊事件:12月2日消息,據CNN披露,由于Ankr開發者私鑰被竊引發了數個加密代幣黑客事件,目前受影響的包括Ankr忠誠度代幣aBNBc、穩定幣HAY等。目前幣安表示其團隊正在調查本次事件,同時向用戶保證本次“不是針對幣安公司的攻擊”,但截至目前幣安公司尚未回應提供更多信息的請求。[2022/12/2 21:18:28]
據派盾數據統計,2022年上半年黑客攻擊總共加密市場總損失達11.3599億美元,其中大約53%的攻擊是利用合約漏洞,大約26.6%的攻擊涉及閃電貸。從黑客攻擊領域看,大約71%的攻擊發生在DeFi領域,受多方面因素影響,DeFi市場TVL從1月初的2760億美元下降到6月底的800億美元,下降了71%。
動態 | EOS競猜游戲SKR EOS凌晨遭黑客攻擊:今日凌晨00:01-01:31之間,PeckShield安全盾風控平臺DAppShield監測到黑客向EOS競猜類游戲SKR EOS發起連續攻擊,獲利近六千個EOS。PeckShield安全人員初步研究發現,黑客利用游戲服務器解析參數問題,使得投注未中獎的EOS可被退回,進而實現百分百投注中獎。PeckShield安全人員在此提醒,開發者應在合約上線前做好安全測試,特別是要排除已知攻擊手段的威脅,必要時可尋求第三方安全公司協助,幫助其完成合約上線前攻擊測試及基礎安全防御部署。[2019/10/11]
進入到今年三季度,黑客事件更是頻發。從攻擊類型看,加密市場總共發生98起退出騙局,共計損失5619萬美元,發生23起閃電貸攻擊,共計損失1737萬美元,發生50起其他攻擊事件,共計損失4.3億美元。從生態系統上看,BNBChain生態黑客安全事件最多,共發生105起,其次是以太坊生態,共發生25起,黑客攻擊造成生態損失最大的是Multichain,共發生6起事件,共計損失3.53億美元。從時間上看,7月發生59起安全事件,8月發生56起安全事件,9月發生53起安全事件。十月也是多事之秋,僅10月20日到10月25日就發生了5余起,這還是除去各類的釣魚網站、虛假賬戶以及項目方跑路等安全事件,以下是近期相對典型的安全事件:
動態 | Dice3D遭遇黑客攻擊 損失大量EOS:據IMEOS報道,根據Dice3D官方消息,Dice3D于12月1日凌晨2點25分被攻擊,攻擊者rockrock1234利用事務狀態回滾機制,使用多個帳號同時發送交易請求進行攻擊,使得最后一個攻擊賬戶獲取高中獎率。目前黑客已將被盜的EOS轉至火幣。Dice3D官方決定自費拿出部分EOS給予玩家補償。[2018/12/3]
10月20日,以太坊鬧鐘服務漏洞被利用,導致約26萬美元被黑客盜取。
10月23日,Optimism生態投資項目Layer2DAO遭遇黑客攻擊,黑客通過獲取Layer2DAO的多重簽名權限盜走約4995萬枚L2DAOToken并將部分拋售,使得L2DAO價格一度下跌約90%。
動態 | Reddit用戶遭黑客攻擊被盜1170枚COSS:據Crypto Globe消息,Reddit用戶“blockchainified”近日透露,他在10月14日發現賬戶被攻擊,黑客從他的賬戶中拿走了14個比特幣(89500美元)、22個ETH(4400美元)和大約10%的COSS代幣共計1170萬個COSS代幣(77萬美元)。 對此,COSS交易所要求黑客將近1000萬個COSS令牌返回到ERC地址。在Telegram上,一個用戶建議COSS合約的代幣持有者使用一個功能,讓他們從黑客的錢包里取出資金。不久之后,COSS的創始人Rune Evensen暗示這一舉動已經完成。[2018/10/25]
10月24日,SBF發推稱一些用戶在虛假網站上注冊交易,并泄露了自己的FTXAPI密鑰。
分析師:黑客攻擊幣安是故意“打草驚蛇”:數字貨幣行業分析師肖磊認為,針對中心化交易所的安全問題,以及未來一系列的攻擊事件,實際上才剛剛開始。肖磊稱,黑客選擇幣安并不是因為API驗證漏洞,而是因為幣安在一個月之前還是全球最大的數字貨幣交易所。“黑客根本不關心自己在這次事件里掙了多少錢。黑客關心的是,幣安會在這件事情之后,如何升級安全模塊,其他交易所會做出什么樣的安全性的提升和反饋。而后,解決安全問題的路徑和方式,基本都暴露在了黑客的監測之下。黑客的目的在于‘打草驚蛇’,想看看你的底牌而已”。[2018/3/12]
10月24日,QuickSwap因閃電貸攻擊損失22萬美元。
10月25日,Web3音樂項目Melody合約受到黑客攻擊,代幣SNS被盜。
Web3安全該如何保障,聽一聽行業大V的建議
在Web2向Web3的發展過程中,區塊鏈帶來了諸多好處,比如公開透明、自己掌控資產和數據等;但是,合約代碼開源、鏈上數據不可篡改以及權力下放等似乎又給了黑客可乘之機。那么該如何看待區塊鏈技術這把雙刃劍?未來Web3的安全問題又該如何解決呢?筆者整理了部分行業KOL的觀點,供讀者參考。
Polygon首席安全官MuditGupta認為,完美的代碼和密碼學是不夠的,希望Web3公司聘請傳統安全專家來結束容易預防的黑客攻擊。最近發生的幾起加密攻擊最終是Web2安全漏洞的結果,例如私鑰管理和網絡釣魚攻擊以獲取登錄信息,而不是設計不良的區塊鏈技術;在不采用標準Web2網絡安全實踐的情況下獲得經過認證的智能合約安全審計并不足以保護協議和用戶的錢包不被攻擊。我一直建議所有大公司至少聘請一位真正重視密鑰管理的專門安全人員。
Beosin安全團隊子玉表示,一定要對運維等內部人員做好安全培訓,因為人其實是安全環節里最充滿可變性和不穩定性的一個環節;前陣子有一個跨鏈橋遭受了攻擊,當時大家都以為是私鑰被盜/泄露了,結果后來發現是社工釣魚。團隊中的一個工程師想找工作,隨后收到了一個高薪offer,當他打開offer文檔時,電腦就被入侵了,導致了數據泄露。
BAICapital合伙人Will表示:這個行業強調codeislaw,立法和執法都是沒有的。之前的Web3用戶以程序員為主,大家需要對自己完全負責。現在用戶圈層逐漸擴大到了小白,這類用戶是帶著傳統移動端時代對于應用的盲性/體驗上的慣性來到Web3的。所以我覺得安全問題更應該是面向C端解決的,在開發者端、網站端和項目端也需要有安全對策。
安全公司TrailofBits前顧問、數字支付公司安全工程師BobbyTonic認為,對于Web3公司來說,最重要的是了解系統技術的復雜性以及確保其應用程序設計的正確性。對于Web3組織而言,不能保證代碼的復雜性和正確性會產生災難性的后果,因為攻擊者可以隨時查看其系統和應用程序的源代碼。因此,Web3將他們開發的應用程序提交給第三方安全研究公司進行審查已經成為了一種共識:即向用戶承諾該應用已經通過了安全測試,可以放心使用。
給用戶的一些小建議
在Web3世界,權力下放到用戶手中,要想在Web3世界中暢游,安全意識是必不可少的。筆者在此給出一些安全指南,希望可以給剛進入行業的小白一些幫助。
在錢包的使用方面:1、郵箱密碼要至少12位以上,并且開啟二步驗證;2、不要告訴任何人你的任何數字貨幣信息;3、使用硬件錢包管理賬戶;4、注意使用chrome插件;5、使用VPN保護你的連接免受窺探者的侵害;6、使用2FA;7、把日常用錢包和主要錢包分開;8、經常換錢包;9、結合使用冷熱錢包。
另外,用戶也要持續保持防范意識,謹防假網站釣魚、電信詐騙、跑路風險等詐騙類型。對所參與項目的最新進展可以多加關注,日常刷刷官方通告渠道或社區,一旦有技術升級、產品更新、服務暫停、漏洞預警或事故披露,也能第一時間獲悉,并行動起來保護資產。
作者:比推AsherZhang
Tags:DAO區塊鏈以太坊DAO幣DAO價格區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢以太坊幣是什么幣
如果你想購買或出售NFT,你今天有近十幾種主流選擇。在外人看來,它們看起來都一樣,主頁墻壁都是方形卡通人物。然而,從標準的買賣市場到試圖通過創新解決方案降低NFT交易成本的模型正在演變.
1900/1/1 0:00:00引言 自比特幣誕生以來,區塊鏈已經發展了十三個年頭,對、經濟與文化都影響深遠。區塊鏈技術的發展經歷了Layer1的底層賬本探索和Layer2的應用拓展,區塊鏈也從1.0時代的貨幣和支付去中心.
1900/1/1 0:00:006月28日,藍籌NFT項目Azuki新系列“AzukiElementals”發售。一場原本社區矚目、Holder企盼的盛宴在項目方的諸多“神操作”下淪為眾矢之的,不僅一代Azuki地板價跌破10.
1900/1/1 0:00:00本文涵蓋了去中心化身份的核心概念、互聯網上身份的演變、Web3身份基礎設施堆棧的逐層概述以及隱私基元的相關發展。人身證明、合規性和應用層將在未來的文章中介紹.
1900/1/1 0:00:00在牛市的浪潮下,我們被趨勢裹挾著前進,不需深究細查就能得到市場的饋贈;但待潮水落去,如果沒有反思的能力與革新的勇氣,我們又憑什么期待下次仍在場內?在上輪牛市出現的新賽道之中.
1900/1/1 0:00:00Web3游戲以及重要運營數據Web3游戲是基于區塊鏈技術的游戲,也稱為鏈游。區塊鏈使玩家能夠擁有和交易游戲中的物品,如NFT和其他數字資產。這些資產在去中心化的市場上使用智能合約進行管理和交易.
1900/1/1 0:00:00