今年以來,黑客攻擊事件頻繁,僅10月20日到10月25日就發生了5余起安全事件,這還是除去各類的釣魚網站、虛假賬戶以及項目方跑路等安全事件。那么,今年哪些板塊和生態黑客攻擊事件最為頻繁?最近加密領域又有哪些安全事件值得注意?這些安全事件折射出加密市場有哪些亟需彌補的短板?未來Web3將朝著哪些方向發展?作為用戶,我們又能做些什么來保證我們的資產安全呢?本文將就這些問題進行探討。
加密世界愁云慘淡,下半年黑客攻擊異常猖獗
今年毫無疑問是加密市場的熊市之年,不少散戶和項目方本就因幣價下跌而損失慘重,可“屋漏偏又逢陰雨”,整個加密市場又不斷遭受黑客“洗劫”。到了今年下半年,黑客攻擊更是異常猖獗,下面就將今年主要黑客攻擊事件進行匯總梳理。
安全團隊:獲利約900萬美元,Moola協議遭受黑客攻擊事件簡析:10月19日消息,據Beosin EagleEye Web3安全預警與監控平臺監測顯示,Celo上的Moola協議遭受攻擊,黑客獲利約900萬美元。Beosin安全團隊第一時間對事件進行了分析,結果如下:
第一步:攻擊者進行了多筆交易,用CELO買入MOO,攻擊者起始資金(182000枚CELO).
第二步:攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯,攻擊者抵押了價值a的MOO,可借出價值b的CELO。
第三步:攻擊者用貸出的CELO購買MOO,從而繼續提高MOO的價格。每次交換之后,Moo對應CELO的價格變高。
第四步:由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷,導致用戶之前的借貸數量,并未達到價值b,所以用戶可以繼續借出CELO。通過不斷重復這個過程,攻擊者把MOO的價格從0.02 CELO提高到0.73 CELO。
第五步:攻擊者進行了累計4次抵押MOO,10次swap(CELO換MOO),28次借貸,達到獲利過程。
本次遭受攻擊的抵押借貸實現合約并未開源,根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。截止發文時,通過Beosin Trace追蹤發現攻擊者將約93.1%的所得資金 返還給了Moola Market項目方,將50萬CELO 捐給了impact market。自己留下了總計65萬個CELO作為賞金。[2022/10/19 17:32:31]
據派盾數據統計,2022年上半年黑客攻擊總共加密市場總損失達11.3599億美元,其中大約53%的攻擊是利用合約漏洞,大約26.6%的攻擊涉及閃電貸。從黑客攻擊領域看,大約71%的攻擊發生在DeFi領域,受多方面因素影響,DeFi市場TVL從1月初的2760億美元下降到6月底的800億美元,下降了71%。
BitKeep Swap遭黑客攻擊損失達100萬美元,官方承諾賠償用戶損失:10月18日消息,據Web3多鏈錢包BitKeep官方消息,BitKeep Swap被黑客入侵,黑客的攻擊行為目前已經停止,攻擊發生在BNB Chain上,造成約100萬美元的損失。
BitKeep表示目前錢包用戶的資產一切安全,且正在采取以下措施:1.已暫停BitKeep Swap交易,用戶不會有進一步的資產安全問題;2.將上線針對此次事件的錢包安全檢查頁面,并支持一鍵修復功能;3.已與各大安全機構進行溝通合作,對黑客進行追蹤和鎖定,盡全力挽回被盜資產;3.對于遭受損失的用戶,BitKeep將進行全額賠付,賠付方式隨后將進行披露;4.鼓勵可以協助鎖定黑客身份并追回被盜資產的合作方與團隊聯系,將提供豐厚報酬。[2022/10/18 17:30:26]
進入到今年三季度,黑客事件更是頻發。從攻擊類型看,加密市場總共發生98起退出騙局,共計損失5619萬美元,發生23起閃電貸攻擊,共計損失1737萬美元,發生50起其他攻擊事件,共計損失4.3億美元。從生態系統上看,BNBChain生態黑客安全事件最多,共發生105起,其次是以太坊生態,共發生25起,黑客攻擊造成生態損失最大的是Multichain,共發生6起事件,共計損失3.53億美元。從時間上看,7月發生59起安全事件,8月發生56起安全事件,9月發生53起安全事件。十月也是多事之秋,僅10月20日到10月25日就發生了5余起,這還是除去各類的釣魚網站、虛假賬戶以及項目方跑路等安全事件,以下是近期相對典型的安全事件:
Beosin:BNBChain上DPC代幣合約遭受黑客攻擊事件分析:據Beosin EagleEye平臺監測顯示,DPC代幣合約遭受黑客攻擊,損失約103,755美元。Beosin安全團隊分析發現攻擊者首先利用DPC代幣合約中的tokenAirdop函數為滿足領取獎勵條件做準備,然后攻擊者使用USDT兌換DPC代幣再添加流動性獲得LP代幣,再抵押LP代幣在代幣合約中。前面的準備,是為了滿足領獎條件。然后攻擊者反復調用DPC代幣中的claimStakeLp函數反復領取獎勵。因為在getClaimQuota函數中的” ClaimQuota = ClaimQuota.add(oldClaimQuota[addr]);”,導致獎勵可以一直累積。最后攻擊者調用DPC合約中claimDpcAirdrop 函數提取出獎勵(DPC代幣),換成Udst離場。目前被盜資金還存放在攻擊者地址,Beosin安全團隊將持續跟蹤。[2022/9/10 13:21:00]
10月20日,以太坊鬧鐘服務漏洞被利用,導致約26萬美元被黑客盜取。
Nomad在黑客攻擊事件中代幣橋內的1.9億美元資金幾乎全部耗盡:金色財經消息,DeFi Llama數據顯示,在黑客攻擊事件后,Nomad代幣橋中已被移除價值1.907億美元的加密貨幣,錢包中只剩下3941美元。而Nomad在8月1日的資金總鎖倉價值約為1.9億美元。[2022/8/2 2:52:35]
10月23日,Optimism生態投資項目Layer2DAO遭遇黑客攻擊,黑客通過獲取Layer2DAO的多重簽名權限盜走約4995萬枚L2DAOToken并將部分拋售,使得L2DAO價格一度下跌約90%。
10月24日,SBF發推稱一些用戶在虛假網站上注冊交易,并泄露了自己的FTXAPI密鑰。
10月24日,QuickSwap因閃電貸攻擊損失22萬美元。
數字藝術家Beeple的Discord遭黑客攻擊,虛假NFT空投導致用戶損失約38 ETH:11月11日消息,數字藝術家Beeple的Discord中一位名叫“Multi”的管理員向該小組確認,盡管他們有2FA(雙因子驗證),但他們的賬戶還是被入侵了。肇事者冒充了Multi和Beeple公告機器人,在Nifty Gateway上宣傳Beeple的虛假NFT空投,時間與其第二次佳士得拍賣會相吻合。此前Beeple也開展過類似的抽獎活動,用戶可以1美元的價格搶購其NFT。事件發生一個多小時后,原管理員重新獲得了對其登錄的控制權。據Etherscan顯示,據稱黑客的錢包只剩下9121.54美元,有25個ETH被突然轉移。然而,用戶報告說損失了更多的ETH。(Cointelegraph)[2021/11/11 6:45:57]
10月25日,Web3音樂項目Melody合約受到黑客攻擊,代幣SNS被盜。
Web3安全該如何保障,聽一聽行業大V的建議
在Web2向Web3的發展過程中,區塊鏈帶來了諸多好處,比如公開透明、自己掌控資產和數據等;但是,合約代碼開源、鏈上數據不可篡改以及權力下放等似乎又給了黑客可乘之機。那么該如何看待區塊鏈技術這把雙刃劍?未來Web3的安全問題又該如何解決呢?筆者整理了部分行業KOL的觀點,供讀者參考。
Polygon首席安全官MuditGupta認為,完美的代碼和密碼學是不夠的,希望Web3公司聘請傳統安全專家來結束容易預防的黑客攻擊。最近發生的幾起加密攻擊最終是Web2安全漏洞的結果,例如私鑰管理和網絡釣魚攻擊以獲取登錄信息,而不是設計不良的區塊鏈技術;在不采用標準Web2網絡安全實踐的情況下獲得經過認證的智能合約安全審計并不足以保護協議和用戶的錢包不被攻擊。我一直建議所有大公司至少聘請一位真正重視密鑰管理的專門安全人員。
Beosin安全團隊子玉表示,一定要對運維等內部人員做好安全培訓,因為人其實是安全環節里最充滿可變性和不穩定性的一個環節;前陣子有一個跨鏈橋遭受了攻擊,當時大家都以為是私鑰被盜/泄露了,結果后來發現是社工釣魚。團隊中的一個工程師想找工作,隨后收到了一個高薪offer,當他打開offer文檔時,電腦就被入侵了,導致了數據泄露。
BAICapital合伙人Will表示:這個行業強調codeislaw,立法和執法都是沒有的。之前的Web3用戶以程序員為主,大家需要對自己完全負責。現在用戶圈層逐漸擴大到了小白,這類用戶是帶著傳統移動端時代對于應用的盲性/體驗上的慣性來到Web3的。所以我覺得安全問題更應該是面向C端解決的,在開發者端、網站端和項目端也需要有安全對策。
安全公司TrailofBits前顧問、數字支付公司安全工程師BobbyTonic認為,對于Web3公司來說,最重要的是了解系統技術的復雜性以及確保其應用程序設計的正確性。對于Web3組織而言,不能保證代碼的復雜性和正確性會產生災難性的后果,因為攻擊者可以隨時查看其系統和應用程序的源代碼。因此,Web3將他們開發的應用程序提交給第三方安全研究公司進行審查已經成為了一種共識:即向用戶承諾該應用已經通過了安全測試,可以放心使用。
給用戶的一些小建議
在Web3世界,權力下放到用戶手中,要想在Web3世界中暢游,安全意識是必不可少的。筆者在此給出一些安全指南,希望可以給剛進入行業的小白一些幫助。
在錢包的使用方面:1、郵箱密碼要至少12位以上,并且開啟二步驗證;2、不要告訴任何人你的任何數字貨幣信息;3、使用硬件錢包管理賬戶;4、注意使用chrome插件;5、使用VPN保護你的連接免受窺探者的侵害;6、使用2FA;7、把日常用錢包和主要錢包分開;8、經常換錢包;9、結合使用冷熱錢包。
另外,用戶也要持續保持防范意識,謹防假網站釣魚、電信詐騙、跑路風險等詐騙類型。對所參與項目的最新進展可以多加關注,日常刷刷官方通告渠道或社區,一旦有技術升級、產品更新、服務暫停、漏洞預警或事故披露,也能第一時間獲悉,并行動起來保護資產。
作者:比推AsherZhang
原文作者:biconomy研究員Nishil?以太坊的主要缺點之一是用戶體驗復雜,讓我們了解一下由nethermind以及opengsn研究者提出的EIP4337?是如何嘗試用賬戶抽象來解決這個.
1900/1/1 0:00:00原文標題:《LayerzeroLabs:普及全鏈資產,搶占多鏈生態核心》原文作者:NCL,「海外獨角獸」分析師本文是拾象內部對Layerzero投研memo的公開版.
1900/1/1 0:00:002022年是Web3開發人員最活躍的一年,智能合約部署量創歷史新高,經過驗證的智能合約中36%是在2022年部署的,在以太坊合并后的2周內智能合約部署量增加14%.
1900/1/1 0:00:00EthSign是一個Web3基礎設施平臺,在這里,私鑰產生的數字簽名被記錄在鏈上,簽署的文件被加密并存儲在中心存儲網絡中,以加強隱私和安全。推薦閱讀本文,是我們的原創分析文章.
1900/1/1 0:00:00金色財經區塊鏈10月19日訊近日美國證券交易委員會調查YugaLabs的消息引發了NFT世界巨大震動.
1900/1/1 0:00:00作者:AndreCronje 來源:medium 1.簡介 2022年的加密市場動蕩不安,一些加密貨幣的價格下跌、網絡故障和交易所的倒閉導致了2萬億美元的損失.
1900/1/1 0:00:00