WEB:半年被盜20 億美金 黑客與監管都盯上了 Web3_web3域名注冊

2022年是Web3崛起以來，損失最慘重的一年。

撰文：雪小頑

來源：?極客公園

Web3這一個月來風波不斷。

8月初，明星公鏈Solana發生黑客盜幣事件，超過9000個錢包地址被襲擊，損失約400多萬美元，在用戶中引發了一波恐慌情緒，也讓Solana陷入信用危機。

幾天后，加密貨幣混幣器TornadoCash被美國財政部的下屬機構——海外資產控制辦公室列入制裁名單，其中包括40多個與TornadoCash協議相關的以太坊地址，涉及價值超4億美元的資產被凍結。

定位于隱私服務的混幣器，在加密社區的名聲一直備受爭議，其中的「頭部」TornadoCash更是有「臟幣銷金窟」之稱。

TornadoCash被美國財政部制裁后，其代幣價格大幅下降。｜來源：business2community.com

這次制裁意味著美國的社區用戶，無論個人還是實體，都不得再與TornadoCash平臺以及和它綁定的錢包地址進行經濟交易。按照過往的案例，如果違規，可能面臨高達30多萬美元的罰款和最高30年的監禁。

數據：2021年上半年全球區塊鏈和加密貨幣項目投資為87億美元:畢馬威會計師事務所（KPMG）發布的金融科技報告顯示，2021年上半年全球區塊鏈和加密貨幣項目的投資為87億美元，是2020年全年43億美元的兩倍多，超過了2018年的高位72億美元。

報告表示，今年上半年大量的機構資金流入加密貨幣領域，投資者對該行業的認識也正在增加，對NFT的興趣日益濃厚。另外，在2021年上半年全球監管審查日益嚴格，中國在積極推動央行數字貨幣。[2021/8/16 22:17:15]

緊接著，外媒曝出29歲的TornadoCash開發者在荷蘭阿姆斯特丹被逮捕，當地執法部門稱TornadoCash涉嫌隱瞞非法資金流動和協助洗錢，從今年6月份開始一直在對其進行調查。

TornadoCash被制裁，在加密行業引發「站隊」。有人公開表達不滿，認為美國財政部監管越界，侵犯了美國公民的隱私權和自由；也有人帶頭響應監管，穩定幣USDC的發行方Circle迅速凍結了TornadoCash相關錢包地址上的資產。

Web3正面臨著崛起以來最嚴峻的安全考驗與審查壓力。2022年上半年，Web3領域的資產損失約為20億美元，超過了去年全年被黑客攻擊的總損失數額。隨之而來的連鎖反應是，監管執法之手越伸越長。

中信證券：人民幣有望在上半年繼續走強至6.2-6.3:1月10日消息，中信證券宏觀研究指出，2021年開年以來，人民幣匯率延續了去年四季度起的較強趨勢。往后展望，從邊際影響因素觀察，還有兩個因素會進一步加強這一趨勢在近期的演化。一是在民主黨“橫掃兩院”下，美元指數在未來一個季度的走弱幅度有望超出此前預期，帶動人民幣兌美元匯率升值。二是需關注春節前的結售匯因素變化，我們預計近期出口企業結匯需求加大可能帶動人民幣需求上升，推升人民幣匯率升值。預計美元兌人民幣匯率有望進一步走強，上半年有望觸及6.2-6.3一線。[2021/1/10 15:47:42]

人們的慣常認知中，強調去中心化邏輯的Web3本應擁有更強的安全性和私密性，如今卻被黑客和監管雙雙盯上。加密世界正經歷著對其未來命運影響深遠的動蕩時刻。

01黑客打劫Solana：一場懸而未決的「公案」

距離Solana發生黑客盜幣時間已經過去半個多月，官方依然沒有給出最終的調查結果。

區塊鏈安全公司慢霧科技團隊分析發現，根據Solanafoundation提供的數據顯示，近60%被盜用戶使用的是Phantom錢包，此外有30%左右地址使用了Slope錢包，并且iOS和Android版本的應用都有相應的受害者。

《杭州區塊鏈行業發展報告》：上半年6個區塊鏈產業園投用居全國首位:據杭州區塊鏈技術與應用聯合會發布的《2019杭州區塊鏈行業發展報告》顯示，當前杭州已聚集一大批優秀區塊鏈企業與項目，與北京、上海、深圳一起，牢牢占據全國第一梯隊的位置，央行旗下的\"中鈔區塊鏈技術研究院\"也于2017年落戶杭州。截至2019年12月，在杭注冊的區塊鏈企業總量為1611家，較2010年增長了1440家，杭州實際從事與區塊鏈技術研發相關的企業數量為125家，涉及金融（28%）、媒體（16%）和底層技術（13%）等多個方面。截至2020年上半年，杭州全市已有6個區塊鏈產業園正式投用，與廣州共居全國首位，上海則以4家產業園緊隨其后，在區塊鏈產業園分布上蕭山、余杭各有2個，西湖和下城各有1個。在全球區塊鏈技術發明專利前100的企業中，來自杭州的區塊鏈企業占有6家，包括阿里巴巴（螞蟻集團）、復雜美、趣鏈科技、秘猿科技、云象科技和沃樸物聯。（杭州日報）[2020/10/16]

事發3天后，Slope曾在twitter上發布了一個官方錢包地址，并公開表示，一直在與執法部門和情報公司合作追蹤被盜資產，如果黑客愿意歸還，可以向其支付10%的賞金。「收回這些資金后，我們就不會再繼續追究，也不會采取任何法律行動。」

動態 | 研究：上半年13省市27項政策涉及區塊鏈，多“一筆帶過”， 專項政策仍匱乏:據賽迪區塊鏈研究院統計，今年上半年共有13個地方省市出臺27項相關政策，提出要促進區塊鏈技術發展，占領技術高地。不過，值得注意的是，雖然相關政策密集出臺，但多是“一筆帶過”，對于區塊鏈專項政策依然匱乏，缺少技術配套設施規劃。其中，粵魯兩省成為出臺區塊鏈政策集中地。[2019/8/9]

Slope團隊給黑客留了48小時的時間來歸還資產，但這個賞金要約并未得到黑客的回應。

Slope錢包官方向黑客發出賞金要約。｜來源：twitter

硬件錢包Keystone創始人劉力心還記得，事發當天，他被拉進了一個有100多位白帽黑客的「warroom」，安全專家們討論了事件可能的經過。

「最初的猜測是某個NFT項目被集體攻擊。」劉力心回憶，從被黑的錢包地址數量來看，八九千個的量級通常是某個NFT項目發行的常見數量，最初的猜測是某個NFT項目方作惡，例如進行了惡意授權。

但這個猜測很快被否定。安全技術人員發現，有幾筆被盜交易的發生是由于用私鑰做簽名，而不是錯誤授權導致資產轉移。接下來，關于事故原因的猜測還有供應鏈攻擊、黑客撞取隨機數、采取不恰當的簽名方式等等，隨后也都被一一推翻。

IOST創始人鐘家明：下一波比較好的市場狀態可能在2019年上半年出現:金色財經現場報道，在2018中國·飛鳥區塊鏈技術與應用高峰論壇上，金色財經采訪到IOST創始人鐘家明，在談及目前的市場狀態時，鐘家明指出：“現在市場確實不太好，去年漲勢太快，大家可能習慣了過去幾倍上漲的態勢，當然我認為今年市場不會太好，下一波比較好的市場狀態可能在2019年第一季度或者第二季度到來。熊市也不是完全不好，大家還是要專心做好自己的事情。”[2018/3/29]

當天下午，一位海外研究人員發現，Solana鏈上的Slope錢包私有化部署了第三方應用監控服務Sentry，會收集用戶的私鑰或助記詞等信息，然后上傳到中心化的服務器。

Sentry是一個應用監測平臺，可以實時監控應用在運行狀態時出現的異常或錯誤日志信息。如果Sentry發現了系統bug，會通過郵件等方式通知應用方的技術人員。

在加密世界，Sentry服務被廣泛應用，Slope錢包就是其一。但使用Sentry時需要注意一個問題，如果出現了配置錯誤，Sentry可能會收集到額外的數據，如私鑰或助記詞等私密信息。

安全專家們推測，在Solana盜幣事件中，用戶創建錢包時，Slope將助記詞和私鑰等敏感數據錯誤發送給了Sentry。這給黑客提供了可乘之機，黑客竊取了存儲在Sentry中心化服務器上的私鑰。

經過調查后，Slope發布聲明稱，雖然上述安全漏洞確實存在，但被攻擊的Slope地址的數量只是這次被盜錢包地址總數的一小部分。目前也暫無證據表明Sentry官方遭到了入侵和攻擊，因為Slope錢包使用的Sentry服務部署在私有服務器。

此外，具體數據來看，服務器上的私鑰和助記詞派生出來的地址中，與受害者地址有交集的，只有5個以太坊地址和1388個Solana地址。也就是說，Slope此次被黑的超過2700個錢包中只有一半存在Sentry漏洞，這無法解釋其余用戶錢包是如何被黑的。

就已經掌握的調查結果來看，已知的攻擊者地址有4個，被盜資產在Solana鏈上尚未出現進一步轉移，但在ETH鏈上，一些資金已經被轉移到疑似OTC個人錢包地址，剩余部分被兌換為ETH后，轉移到了TornadoCash。

02Web3「危機四伏」

在這次Solana被襲同期，跨鏈橋NomadBridge也受到攻擊。值得注意的是，參與攻擊NomadBridge的黑客有上百位，甚至包含了「白帽子」，損失近2億美元。

慢霧科技首席信息安全官張連鋒告訴極客公園，目前對Web3的攻擊類型主要有兩種：

一是鏈上攻擊，例如假充值、重入攻擊、重放攻擊、重排攻擊等。這類攻擊往往更加隱秘，需要通過專業的代碼安全審計、完備的鏈上分析監測預警等方法來識別。

二是鏈下攻擊，如高級長期威脅、網絡釣魚、供應鏈攻擊等。這類都是傳統Web2常見的安全問題，但是目前卻對Web3生態安全產生了很大影響。

今年4月，周杰倫丟失價值超300萬人民幣的無聊猿編號3738的NFT，就是因為無意中點擊了釣魚鏈接。

周杰倫被盜的無聊猿NFT。｜圖片源自網絡

Web3自帶金融屬性，金錢的誘惑下，更容易被黑客盯上。隨著Web3玩家的體量不斷擴大，加密貨幣犯罪也呈現快速上漲趨勢。

根據慢霧區塊鏈被黑事件檔案庫統計，2022年上半年，Web3領域的資產損失接近20億美元，已經超過2021年全年因黑客攻擊漏洞造成的總損失。

2022年因此被稱作「Web3興起以來損失最慘重的一年」。其中，以去中心化程度低、流動資金量大的跨鏈橋受損最為嚴重。

截至6月30日，今年共發生7起跨鏈橋安全事件，損失超過10億美元，占上半年總資產損失的半數以上。在上半年損失金額達到上億美元的4起事件中，有3起波及跨鏈橋。

比較有代表性的是區塊鏈游戲AxieInfinity的側鏈RoninNetwork被襲，造成6.24億美元的損失，以及Solana的跨鏈橋項目Wormhole被攻擊，損失3.26億美元。

除了跨鏈橋，區塊鏈錢包也是安全事件發生的「重災區」。

錢包是用戶管理加密資產的工具，也是用戶進入各類Web3應用的賬戶入口，加密世界的交互和交易通過錢包來進行。

錢包包含著基于公鑰和私鑰生成的地址，表面上看是一組有字母、數字構成的符號串。其中的私鑰可以對照理解為Web2支付工具的密碼，掌握這個「密碼」的人才是加密資產的真正主人。

所以，私鑰一般是黑客攻擊竊取的關鍵信息。通常來說，大部分錢包都會與網絡連接，私鑰泄露的風險系數較高。

加密貨幣被黑客盜取后，主要流向就是洗錢場景，以混幣器為代表性「幫兇」。

從隱私保護出發的混幣器，本來的設想是消除用戶的鏈上交易痕跡，卻被黑客用作轉移被盜資產后的洗錢工具。不久前被制裁的TornadoCash自2019年創建以來，已經「清洗」了價值超過70億美元的虛擬貨幣。

今年5月份的時候，美國曾經制裁了中心化混幣平臺Blender，理由是Blender涉嫌幫助朝鮮知名黑客組織LazarusGroup清洗從AxieInfinity盜取的部分資產。

LazarusGroup是一個來自朝鮮的網絡黑客集團，在2021年共竊取了價值超4億美元的加密貨幣。

以美國政府為代表的監管勢力盯上混幣器，黑客們的如意算盤未來或許打得不那么響。制裁犯罪固然重要，但另一個關鍵的問題是，加密世界亟需更優化的安全方案，在財產、隱私保護與犯罪監管之間尋求平衡。

無論對淺試Web3的個體玩家還是Allin的建設者來說，在通向一個美麗新世界之前，先要走過一片遍布安全陷阱的暗黑森林。

Tags：區塊鏈WEBWEB3SOLA區塊鏈怎么入手web3域名注冊ALFweb3Projectsolana幣挖礦

歐易交易所app下載