WEB3:一文了解Web3.0數據泄露事件分類及保護措施_WEB3.0

當今社會，我們無論工作還是生活，網絡早已離不開人們的生活。可以不帶錢包，但是一定要帶手機出門，付款方式沒有了實體卡片，就連街邊乞討也開始用網絡進行二維碼轉賬收款。

不難想到，個人、企業、組織及其客戶目前面臨的大部分威脅，其實都來源于網絡漏洞和攻擊。而如今人們關注的數據隱私，個人隱私，也變得極為重要。而每年因漏洞導致的敏感數據丟失等案例也數不勝數。

在 Web3.0 歷史上發生過無數次重大安全事件，從中心化交易所私鑰丟失到投資者個人數據的失竊。而這些數據可能會在線上黑客論壇和暗網市場中存在多年，也就意味著數據泄露會讓那些受影響的用戶長期處于風險之中。

CertiK 分析研究了74 起在中心化 Web3.0 實體中發生的安全事件。其中23 起事件導致了長期的數據丟失高風險，而在這 23 起時間中，有 10 個數據包被發現仍可于暗網論壇上購買。

針對黑客論壇的一系列執法活動可以讓某些數據不會被提取出來，但是這樣的措施畢竟只是治標不治本。

本文即將帶你了解：Web3.0 數據泄露事件的分類，以及為了保護自己的數據安全，我們應該采取何種措施。

黑客攻擊、漏洞利用、勒索軟件以及所有網絡安全威脅的規模和嚴重程度都在不斷增加。Web3.0 生態系統的獨特之處在于它為惡意行為者提供了其他技術所沒有的各種攻擊媒介，包括智能合約中的漏洞和新型的網絡釣魚技術。

然而，Web3.0 安全事件的故事與其他行業的情況密切相關。非 Web3.0 領域會遺漏中心化項目和公司也未能解決的同類型安全漏洞。

我們希望仔細研究針對 Web3.0 目標的網絡安全事件歷史，并評估過去的事件是否對當今的社區成員構成持續風險。

要做到這一點，需要細致分析本報告中的安全事件與利用智能合約協議導致的漏洞有何不同。

我們研究了 2011 年以來針對 Web3.0 公司的許多事件，大致可以將它們分為兩類：

Bitfarms第二季度收入為3500萬美元，開采1,223個BTC:金色財經報道，比特幣礦企Bitfarms Ltd.公布了截至2023年6月30日的第二季度財務業績，收入為3500萬美元，凈虧損2500萬美元，調整后EBITDA*為800萬美元。總采礦利潤和總采礦利潤率分別為1400萬美元和42%，而2023年第一季度分別為1200萬美元和42%。

運營虧損2500萬美元，其中包括1000萬美元的減值費用，而2023年第一季度的運營虧損為1500萬美元，其中包括100萬美元的數字資產處置實現收益和300萬美元的數字資產重估損失逆轉。

二季度公司開采了1,223個BTC，每個BTC的平均直接生產成本為15,700美元，而2023年第一季度為12,500美元。

截至2023年6月30日，公司持有3100萬美元現金和549個比特幣，價值約1700萬美元，基于截至2023年6月30日的比特幣價格約為30,500美元。[2023/8/8 21:32:09]

協議惡意利用：利用智能合約代碼獲取經濟利益的事件

漏洞：攻擊者破壞目標組織的內部網絡，并使用獲得的權限來竊取公司數據或資金的事件

就近期和長期風險而言，這兩個類別之間有幾個重要的區別。

協議惡意利用發生在一個確定的時間范圍內，從攻擊者執行利用開始，到他們耗盡所有可用資金、耗盡 gas 或導致目標項目終止時結束。其中一些事件可能會持續數小時或數天，事件后的談判會進一步延長這個時間段，也有項目隨后立即關閉的情況。然而，關鍵是這些攻擊具備明確的開始節點與結束節點。

相比之下，漏洞類算得上是持續型事件（攻擊者獲得網絡訪問權并在那里保持「長期蹲守」的狀態）。漏洞的定義通常是數據的泄漏，這些數據被用于攻擊利用或隨后在暗網或在線論壇上出售。

網絡漏洞也可能導致嚴重的資金損失。大多數 Web3.0 組織都是金融實體，其資金流動量非常大，這自然而然讓他們成為了黑客的目標。

CME報告：高科技股的走勢對以太坊價格的影響往往大于比特幣:金色財經報道，根據芝商所 (CME Group) 的一份新報告，以科技股為主的納斯達克100指數的走勢對以太坊價格的影響往往大于對比特幣價格的影響。

CME 高級經濟學家兼執行董事Erik Norland在報告中表示：“在科技股上漲的日子里，ETHBTC 往往會上漲，因為 ETH 的收益高于 BTC”。Norland 指出，以太坊和比特幣的差異可以解釋為以太坊和比特幣如何供應到市場然后使用，并指出以太坊智能合約網絡的“實際應用”。另一方面，比特幣主要被用作“高度波動”的價值儲存手段和對沖法幣貶值的工具。

報告稱，雖然比特幣和以太坊都以價格波動劇烈而聞名，但與過去一年約30%的日波動率相比，二者之間的比率幾乎保持穩定。相比之下，比特幣價格上漲了42%，以太坊價格上漲了59%。[2023/7/28 16:03:07]

數據泄露可能具備巨大的破壞性，且風險可持續多年——尤其是在泄露期間丟失個人身份信息 (PII) 的情況下。

考慮到這一點，我們收集了 74 個過去的事件樣本，我們將其歸類為對社區成員構成持續風險的違規事件（僅包括公司內部網絡遭到破壞的事件，不包括有關協議利用的數據）。

我們認為有必要區分敏感數據丟失的事件和僅發生資金損失的事件。為了更好地評估這些違規事件的持續風險，我們將重點介紹其數據仍可在暗網或明網的其他區域出售或免費獲取的違規事件，并對這些平臺的可訪問性發表看法。

為了評估與這些事件相關的持續風險，我們將它們分為以下定義的事件：

理論上可檢索的數據丟失事件，包括 PII 和內部數據庫等。

資金或數據丟失且數據無法再檢索的事件。

第二類無法檢索的數據丟失事件主要由僅導致資金或私鑰丟失的違規事件構成。在這種情況下，損失的資金通常無法被追回。

異常事件包括那些被盜數據從未被放出來、被歸還或被用于其他目的的事件。例如，2020 年 6 月日本中心化交易所Coincheck被攻擊，200 多名客戶的 PII 落入攻擊者手中。攻擊者破壞了 Coincheck 的網絡，然后通過公司內部電子郵件地址發送網絡釣魚電子郵件，要求客戶提供 PII。但該起事件中并沒有特定的數據庫丟失，丟失的數據也只是回復這些郵件的客戶的數據。

美聯控股集團宣布采購200臺螞蟻礦機S19j Pro比特幣礦機:金色財經報道，?區塊鏈技術公司美聯控股集團宣布已簽訂一項資產協議與兩個非關聯第三方簽署購買協議，購買200臺Antminer S19j Pro（110 TH/s）比特幣礦機，并同意向賣方發行價值88萬美元的公司普通股。這些機器預計將于2023年7月31日交付并投入運行。[2023/7/14 10:55:42]

在 2020 年 6 月的另一起事件中，加拿大中心化交易所 Coinsquare 也經歷了一次漏洞攻擊，泄露和丟失的數據涉及 5000 個電子郵件地址、電話號碼和家庭地址。

攻擊者在 Coinsquare 之間來回「橫跳」后表示他們將在 SIM 卡交換攻擊中使用這些數據，但不會試圖把它們出售，以便「放長線釣大魚」。這種類型的事件也被歸類為第二類無法挽回的事件。

在我們確定的 74 起事件中，其中 23 起可被歸類為數據可檢索事件，大約占 31%。剩下的 51 起事件要么是上文描述的異常事件，要么是那些僅遭受資金損失的事件。

圖表：2011 年至 2023 年間發生的事件中，可檢索的數據與不可檢索的數據（來源：CertiK）

我們可以看到幾點：

① 2019 年后高度可能被檢索到或恢復的數據事件顯著增加。這與疫情期間各行業黑客攻擊和數據泄露事件的增加成正比關系。

② 在此期間政府援助增長，其中的一些注入了 Web3.0 生態系統，再加上 2021 年的牛市，可能為攻擊者提供了更多的勒索軟件和數據銷售機會。

丟失的數據通常最終會被出售或轉存到暗網（.onion 網站）或 clear net 上。如果數據被推測具有一定的經濟價值（PII 和其他用于欺詐的數據），那么它將高頻出現在暗網市場甚至是 Telegram 頻道中。如果攻擊者要求（勒索軟件）未被滿足，數據即會被丟棄在 paste sites 或黑客論壇中。

幣印：不存在無法兌付或介入三箭資本出現虧損等現象，當前面臨的只是流動性問題:據官方消息，幣印錢包發布官方公告回應提幣困難。該公告表示：因近期擠兌式提現，我平臺暫時出現流動性極其困難的局面。我們正極盡全力出具流動性紓解方案。因涉及大量數據統計分析、技術細節的評估、開發工作，詳細方案將會在一周內公布。

關于資金的說明：

一、資金（幣本位）是安全的，資產是足額的。不存在無法兌付或者介入三箭資本出現虧損等現象，當前面臨的只是流動性的問題。

二、為了紓解流動性，幣印平臺將于2022年9月5日22:00（GMT+8）起暫時停止提現服務；部分線上服務或無法正常使用。

據此前報道，幣印（Poolin）礦池創始人兼CEO潘志彪稱，該情況因缺乏流動性導致，資金是安全的，目前幣印企業凈資產為正，近期將會提出包括流動性債務、債務換礦機、債務換股份等可能的解決方案。[2022/9/6 13:10:46]

數據的最終去向決定了它對其原始所有者構成的長期風險。

相比于只能在暗網上被購買的數據，以極低的成本或零成本轉儲到黑客論壇上的數據其泄露的風險會更高。

此類網站的持續可訪問性也會「助力」受害者數據泄露的長期風險。下文中，我們將更深入地研究這些場所中發現的 Web3.0 數據銷售情況。

多年來，在線黑客論壇層出不窮。考慮到 2019 年后可檢索數據事件的增長，在這種情況下只有少數幾個論壇值得被當作案例分析。這些論壇包括 Raid 論壇、Breach 論壇和 Dread 論壇。

多個違規事件選擇將 Raid 論壇作為傾銷和出售違規數據的首選論壇之一。Raid 論壇始于 2015 年，多年來一直在 clear net 上運行。然而在 2022 年，Raid 論壇的域名被美國執法部門與歐洲刑警組織合作查封。

a16z聯創Marc Andreessen：DeFi可以完成互聯網終極目標:7月16日消息，a16z聯合創始人Marc Andreessen在接受麥肯錫《季刊采訪：思考的挑釁》采訪時表示，許多新技術在誕生之初都會有不少負面反應，但加密遠遠超出了這些范圍，人們會對其感到恐懼和厭惡。當看到針對加密貨幣、分布式賬本技術和區塊鏈的激烈批評時，Marc Andreessen認為這種抵制是“給創始人和我們公司一份不可思議的禮物”，因為加密將經濟活動帶到互聯網上，這是最重要的事情，他說道：“我們在現實世界中習慣的所有概念，比如身份、合同、金錢、頭銜和信任——可信賴經濟的機制，互聯網并沒有，DeFi可以完成互聯網終極目標，是互聯網的后半部分，即在一個開放且無需許可的網絡上建立信任層，讓每個人都能訪問。”（Fortune）[2022/7/16 2:17:20]

圖片：美國和歐洲執法部門在 Raid 論壇網站上撤下通知

Dread 論壇成立于 2015 年，似乎一直活躍到 2022 年底，不過社交媒體上有許多跡象表明該論壇目前可能也已倒閉。我們嘗試訪問該論壇的暗網 (.onion) 和 IP2 版本，但這些似乎也已關停。

在 Raid 論壇關閉后，Breach 論壇立即上線了。

對于那些因 Raid 論壇關閉而「流離失所」的用戶來說，Breach 論壇為他們提供了一個合理的落腳處。

它和 Raid 論壇具備類似的界面、會員聲譽評分系統和極高的活躍度，用戶達到 Raid 論壇原始用戶群的 60%（約 55 萬名用戶）。僅僅一年后的 2023 年 3 月，FBI 逮捕了經營 Breach 論壇的 Conor Brian Fitzpatrick，在內部發生了一波關于重新部署網站的鬧劇之后，該網站倒閉。

Breach 論壇倒閉后不到一周，又出現了另一個替代者，該論壇據稱是由一個自稱是前匿名黑客的 Pirata（@_pirate18）運營。但它只有 161 名成員，意味著這次的替代者沒能吸收到那些論壇老玩家。

在這次的斷檔期里（3 月的最后幾周）中冒出了許多其他論壇。其中一些作為典型違規論壇被取締，所以可以合理推測剩下的也許是執法部門偽裝的。

圖片：Breach 論壇關閉后的 VX-Underground 論壇列表（資料來源：推特）

我們只能確認其中一個論壇上存在一些 Web3.0 數據。

據報道，ARES 論壇吸納了其他被關閉的論壇的一些活動，但不清楚具體數量。該論壇據稱與勒索軟件團體和其他惡意行為者有關聯，還運行著一個公開 Telegram 頻道，該頻道在其鎖定的 VIP 銷售頻道中宣傳過數據的銷售。該頻道于 3 月 6 日上線，投放了數百個廣告（包括兩個與中心化交易所相關的數據庫的帖子）。

圖片：ARES 論壇的 Telegram 中心化交換數據頻道廣告（資料來源：Telegram）

從整體上看，黑客和數據轉儲論壇社區目前功能比較混亂。傳統論壇沒有明確的替代者，而且國際執法機構也加大了對這些團體的打擊力度，因此幾乎可以肯定的是，論壇在短期內不會成為任何重大數據（包括 Web3.0）泄露的首選途徑。

長期以來，暗網市場和論壇一直是人們轉儲或出售數據的場所。

這些生態系統也面臨著執法部門的打擊，盡管這些打擊更多的是針對那些促進銷售的市場。也就是說，即使在不太知名的市場上，數據泄露的頻率似乎也非常高，或者至少是有在被宣傳。相比于那些同樣存儲數據但已全面關閉的在線論壇，這種差異現在顯得尤為明顯。

圖片：在暗網市場上出售的分類賬客戶數據（資料來源：Digital Thrift Shop）

回顧一下，在我們確定的數據泄露樣本的 74 起泄露事件中，有 23 起是有一定可能性檢索到的數據。在這 23 個中，我們能夠找到 10 個活躍的數據銷售廣告（43%）。這類樣本在我們之前的圖表中以綠色突出顯示：

圖表：已確認的在暗網市場上出售的泄露數據實例以綠色突出顯示（資料來源：CertiK）

該圖表中增加的付費數據銷售表明了幾件事。首先，我們無法獲取 2021 年之后發生的任何違規行為的數據來源。

基于 2022 年目標的性質，有一種合理的可能性——數據有可能出現在了一個現已不存在的論壇上。

然而這一點很難證明，特別是當這些數據集未出現在任何一個可取代 Raid 和 Breached 的論壇上。其次，這些數據集也明顯沒有出現在任何一個我們能看到的 2019 年及之前的暗網市場中——可能是因為我們獲取這些數據的市場非常早且鮮為人知。我們無法評估這些數據是否實際上仍然可以通過這些供應商獲得，但這些廣告仍然存在。

很難去嘗試量化長期風險，但至少可以將數據丟失風險與該樣本中的非數據相關事件進行比較。注意，我們可以把那些僅導致直接財務損失的違規事件的風險歸類為較低風險，因為：

損失是即時的，我們可以根據丟失的法定或 Web3.0 貨幣來衡量其影響

這個過程中丟失的數據都是可替的。如果發生泄露，必須更改私鑰、密碼和特權網絡訪問點以解決問題。

丟失敏感數據（尤其是客戶數據）的漏洞的違規事件確實會帶來更大的長期風險

這些數據大多在暗網或明網出售或免費提供，從而延長了其長期可用性。

客戶的個人數據點，即電話號碼、名字 / 姓氏、地址和交易數據很難或不可能被更改。因此即便有人因信息泄露而改變了自己的個人信息，泄露事件中涉及的其他個人的所有數據仍然存在風險。

這種違規事件的影響很難或無法衡量。根據丟失的數據，受害者可能成為多個欺詐的目標，也可能不會成為目標。

我們在 2014 年的一次違規事件中發現了可供出售的數據。這個特定的數據點進一步證明了衡量長期風險的困難性。2014 年的黑客攻擊了現已倒閉的加密交易所 BTC-E，該交易所于 2017 年被美國執法部門查封——實際上此數據丟失相關的風險遠低于其他風險。

然而，需要明確的是風險仍是持續的，即這些數據可能與來自較新的違規事件的數據相匹配，從而增加了在此期間參與 Web3.0 的個人長期風險。

從這個領域的整體來看，2019 年以后丟失的數據（尤其是那些在暗網市場上仍然容易出售的數據）極有可能構成最高的持續長期風險。從 2022 年起，受到影響的人幾乎必然面臨著他們的數據可用于欺詐活動的重大風險（即使這些數據無法在物理層面上被找到）。盡管許多在線論壇被關閉，但我們應該假設所有丟失的數據，尤其是最近發生的數據泄露事件，很可能在某個地方仍然可用，并且可以隨時重新出現。

現實事實就是安全漏洞不可能 100% 消失。當數據由一個集中的實體存儲和處理時，大多數受數據泄露影響的用戶的補救手段十分有限。

不過，我們可以通過限制中心化服務的使用數量來降低暴露風險，包括中心化交易所等。個人還應盡可能使用雙因素身份驗證，以幫助防止不需要的交易所錢包活動，或使用 PII 來訪問或修改賬戶詳細信息。

根據泄露的性質，我們甚至可以考慮嘗試更改泄露事件中暴露的一些信息，例如電子郵件地址或電話號碼。

而在 Web3.0 數據泄露中，如果打算匿名操作，那么你的身份將面臨額外的泄露威脅。

人們還可以采取其他措施來保護數據和投資。比如通過將資產分布在自托管錢包和硬錢包中來降低投資和財務風險。

當然，還可以通過以下方式保護數據：

減少與你分享個人數據的中心化 Web3 投資機構或交易所的數量；

跨平臺不要使用重復密碼；

在所有的賬戶上啟用雙因素身份驗證；

監控報告數據泄露的網站，這些網站會告訴你你的電子郵件地址是否涉及泄露；

使用信用監測服務，以監測企圖進行的身份盜竊和銀行相關的欺詐。

CertiK中文社區

企業專欄

閱讀更多

金色薦讀

金色財經 善歐巴

迪新財訊

Chainlink預言機

區塊律動BlockBeats

白話區塊鏈

金色早8點

Odaily星球日報

Arcane Labs

歐科云鏈

Tags：WEB3WEBWEB3.0比特幣web3幣圈web3.0幣怎么提現到賬號WEB3.0價格比特幣實時行情價格走勢k線圖

抹茶交易所