作者:雪小顽

2022 年是 Web3 鼓起以来,丢失最沉重的一年。

Web3 这一个月来风波不断。

8 月初,明星公链 Solana 产生黑客盗币事情,超越 9000 个钱包地址被突击,丢失约 400 多万美元,在用户中引发了一波惊惧情绪,也让 Solana 陷入信用危机。

几天后,加密钱银混币器 Tornado Cash 被美国财政部的部属安排——海外财物控制办公室(OFAC)列入制裁名单,其间包含 40 多个与 Tornado Cash 协议相关的以太坊地址,触及价值超 4 亿美元的财物被冻结。

定坐落隐私服务的混币器,在加密社区的名声一向备受争议,其间的「头部」Tornado Cash 更是有「脏币销金窟」之称。

半年被盗 20 亿美金 黑客与监管都盯上了 Web3

Tornado Cash 被美国财政部制裁后,其代币价格大幅下降。|来历:business2community.com

这次制裁意味着美国的社区用户,不管个人仍是实体,都不得再与 Tornado Cash 渠道以及和它绑定的钱包地址进行经济买卖。按照过往的案例,假如违规,可能面临高达 30 多万美元的罚款和最高 30 年的拘禁。

紧接着,外媒曝出 29 岁的 Tornado Cash 开发者在荷兰阿姆斯特丹被逮捕,当地法律部分称 Tornado Cash 涉嫌隐秘非法资金流动和协助洗钱,从本年 6 月份开端一向在对其进行调查。

Tornado Cash 被制裁,在加密行业引发「站队」。有人揭露表达不满,以为美国财政部监管越界,侵犯了美国公民的隐私权和自在;也有人带头呼应监管,安稳币 USDC 的发行方 Circle 敏捷冻结了 Tornado Cash 相关钱包地址上的财物。

Web3 正面临着鼓起以来最严峻的安全检测与检查压力。2022 年上半年,Web3 范畴的财物丢失约为 20 亿美元,超越了上一年全年被黑客进犯的总丢失数额。随之而来的连锁反应是,监管法律之手越伸越长。

人们的惯常认知中,强调去中心化逻辑的 Web3 本应具有更强的安全性和私密性,现在却被黑客和监管双双盯上。加密国际正阅历着对其未来命运影响深远的动乱时刻。

黑客打劫 Solana:

一场悬而未决的「公案」

间隔 Solana 产生黑客盗币时间现已曩昔半个多月,官方依然没有给出终究的调查结果。

区块链安全公司慢雾科技团队剖析发现,依据 Solana foundation 供给的数据显现,近 60% 被盗用户运用的是 Phantom 钱包,此外有 30% 左右地址运用了 Slope 钱包,而且 iOS 和 Android 版本的运用都有相应的受害者。

事发 3 天后,Slope 曾在 twitter 上发布了一个官方钱包地址,并揭露标明,一向在与法律部分和情报公司合作追寻被盗财物,假如黑客乐意归还,能够向其付出 10% 的赏金。「收回这些资金后,咱们就不会再继续追查,也不会采纳任何法律行动。」

Slope 团队给黑客留了 48 小时的时间来归还财物,但这个赏金要约并未得到黑客的回应。

半年被盗 20 亿美金 黑客与监管都盯上了 Web3

Slope 钱包官方向黑客发出赏金要约。|来历:twitter

硬件钱包 Keystone 创始人刘力心还记得,事发当天,他被拉进了一个有 100 多位白帽黑客的「war room」,安全专家们讨论了事情可能的经过。

「最初的猜想是某个 NFT 项目被团体进犯。」刘力心回忆,从被黑的钱包地址数量来看,八九千个的量级一般是某个 NFT 项目发行的常见数量,最初的猜想是某个 NFT 项目方作恶,例如进行了恶意授权。

但这个猜想很快被否定。安全技术人员发现,有几笔被盗买卖的产生是由于用私钥做签名,而不是过错授权导致财物搬运。接下来,关于事端原因的猜想还有供应链进犯、黑客撞取随机数、采纳不恰当的签名方式等等,随后也都被逐个推翻。

当天下午,一位海外研究人员发现,Solana 链上的 Slope 钱包私有化部署了第三方运用监控服务 Sentry,会搜集用户的私钥或助记词等信息,然后上传到中心化的服务器。

Sentry 是一个运用监测渠道,能够实时监控运用在运行状态时呈现的异常或过错日志信息。假如 Sentry 发现了系统 bug,会经过邮件等方式告诉运用方的技术人员。

在加密国际,Sentry 服务被广泛运用,Slope 钱包便是其一。但运用 Sentry 时需求留意一个问题,假如呈现了装备过错,Sentry 可能会搜集到额外的数据,如私钥或助记词等私密信息。

安全专家们估测,在 Solana 盗币事情中,用户创立钱包时,Slope 将助记词和私钥等敏感数据过错发送给了 Sentry。这给黑客供给了可乘之机,黑客窃取了存储在 Sentry 中心化服务器上的私钥。

经过调查后,Slope 发布声明称,虽然上述安全缝隙确实存在,但被进犯的 Slope 地址的数量仅仅这次被盗钱包地址总数的一小部分。目前也暂无证据标明 Sentry 官方遭到了侵略和进犯,因为 Slope 钱包运用的 Sentry 服务部署在私有服务器。

此外,具体数据来看,服务器上的私钥和助记词派生出来的地址中,与受害者地址有交集的,只有 5 个以太坊地址和 1388 个 Solana 地址。也便是说,Slope 此次被黑的超越 2700 个钱包中只有一半存在 Sentry 缝隙,这无法解释其余用户钱包是怎么被黑的。

就现已掌握的调查结果来看,已知的进犯者地址有 4 个,被盗财物在 Solana 链上尚未呈现进一步搬运,但在 ETH 链上,一些资金现已被搬运到疑似 OTC 个人钱包地址,剩下部分被兑换为 ETH 后,搬运到了 Tornado Cash。

Web3「危机四伏」

在这次 Solana 被袭同期,跨链桥 Nomad Bridge 也受到进犯。值得留意的是,参加进犯 Nomad Bridge 的黑客有上百位,乃至包含了「白帽子」,丢失近 2 亿美元。

慢雾科技首席信息安全官(CISO)张连锋告诉极客公园,目前对 Web3 的进犯类型首要有两种:

  • 一是链上进犯,例如假充值、重入进犯、重放进犯、重排进犯等。这类进犯往往愈加隐秘,需求经过专业的代码安全审计、完备的链上剖析监测预警等方法来辨认。

  • 二是链下进犯,如高档长期威胁(APT)、网络垂钓、供应链进犯等。这类都是传统 Web2 常见的安全问题,可是目前却对 Web3 生态安全产生了很大影响。

本年 4 月,周杰伦丢失价值超 300 万人民币的无聊猿编号 3738 的 NFT,便是因为无意中点击了垂钓链接。

半年被盗 20 亿美金 黑客与监管都盯上了 Web3

周杰伦被盗的无聊猿 NFT。|图片源自网络

Web3 自带金融属性,金钱的诱惑下,更容易被黑客盯上。跟着 Web3 玩家的体量不断扩大,加密钱银违法也呈现快速上涨趋势。

依据慢雾区块链被黑事情档案库(SlowMist Hacked)计算,2022 年上半年,Web3 范畴的财物丢失接近 20 亿美元,现已超越 2021 年全年因黑客进犯缝隙形成的总丢失。

2022 年因而被称作「Web3 鼓起以来丢失最沉重的一年」。其间,以去中心化程度低、流动资金量大的跨链桥受损最为严重。

到 6 月 30 日,本年共产生 7 起跨链桥安全事情,丢失超越 10 亿美元,占上半年总财物丢失的半数以上。在上半年丢失金额到达上亿美元的 4 起事情中,有 3 起涉及跨链桥。

比较有代表性的是区块链游戏 Axie Infinity 的侧链 Ronin Network 被袭,形成 6.24 亿美元的丢失,以及 Solana 的跨链桥项目 Wormhole 被进犯,丢失 3.26 亿美元。

除了跨链桥,区块链钱包也是安全事情产生的「重灾区」。

钱包是用户办理加密财物的东西,也是用户进入各类 Web3 运用的账户入口,加密国际的交互和买卖经过钱包来进行。

钱包包含着基于公钥和私钥生成的地址,表面上看是一组有字母、数字构成的符号串。其间的私钥能够对照理解为 Web2 付出东西的暗码,掌握这个「暗码」的人才是加密财物的真正主人。

所以,私钥一般是黑客进犯窃取的关键信息。一般来说,大部分钱包都会与网络连接,私钥泄露的风险系数较高。

加密钱银被黑客盗取后,首要流向便是洗钱场景,以混币器为代表性「爪牙」。

从隐私保护动身的混币器,原本的设想是消除用户的链上买卖痕迹,却被黑客用作搬运被盗财物后的洗钱东西。不久前被制裁的 Tornado Cash 自 2019 年创立以来,现已「清洗」了价值超越 70 亿美元的虚拟钱银。

本年 5 月份的时候,美国曾经制裁了中心化混币渠道 Blender,理由是 Blender 涉嫌协助朝鲜知名黑客安排 Lazarus Group 清洗从 Axie Infinity 盗取的部分财物。

半年被盗 20 亿美金 黑客与监管都盯上了 Web3

Lazarus Group 是一个来自朝鲜的网络黑客集团,在 2021 年共窃取了价值超 4 亿美元的加密钱银。|来历:bleepingcomputer.com

以美国政府为代表的监管实力盯上混币器,黑客们的如意算盘未来或许打得不那么响。制裁违法固然重要,但另一个关键的问题是,加密国际亟需更优化的安全计划,在产业、隐私保护与违法监管之间寻求平衡。

不管对浅试 Web3 的个体玩家仍是 All in 的建设者来说,在通向一个美丽新国际之前,先要走过一片遍布安全陷阱的暗黑森林。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注