一靠恰恰获近千万天使轮投资,湖北高新投资领投
06-17
作者 |编辑薛小万|郑宣Web3这个月一直风波不断。
8月初,明星公链Solana遭遇黑客盗币事件。
超过3个钱包地址遭到攻击,造成约数万美元的损失。
这引发了用户的恐慌浪潮,并使 Solana 陷入信用危机。
几天后,加密货币混合器 Tornado Cash 被美国财政部下属机构外国资产控制办公室 (OFAC) 列入制裁名单,其中包括 40 多个与 Tornado Cash 协议相关的以太坊地址,涉及超额交易。
4亿美元资产被冻结。
定位为隐私服务的混币器声誉在加密界一直备受争议,“头部”Tornado Cash 甚至被称为“肮脏的售币洞穴”。
Tornado Cash被美国财政部制裁后,其代币价格大幅下跌。
|来源:business2community.com 此次制裁意味着美国境内的社区用户,无论是个人还是实体,不再被允许与Tornado Cash平台及其绑定的钱包地址进行经济交易。
根据以往的案例,违规行为可能会导致超过 30 万美元的罚款和最高 30 年的监禁。
紧接着,外媒曝出,29岁的Tornado Cash开发者在荷兰阿姆斯特丹被捕。
当地执法部门表示,Tornado Cash涉嫌隐匿非法资金流动、协助洗钱,自今年6月起已展开调查。
Tornado Cash 受到制裁,引发了加密行业的“一面之词”。
一些人公开表达不满,认为美国财政部的监管越界,侵犯了美国公民的隐私权和自由;其他人带头响应监督。
稳定币USDC发行方Circle迅速冻结了Tornado Cash相关钱包地址中的资产。
Web3正面临着兴起以来最严峻的安全测试和审核压力。
今年上半年,Web3 领域损失了约 20 亿美元,超过了去年全年黑客造成的总损失。
随之而来的连锁反应是,监管执法的手越来越长。
在人们的普遍理解中,强调去中心化逻辑的Web3应该具有更强的安全性和隐私性,但现在却成为黑客和监管机构双双针对的目标。
加密世界正在经历一个对其未来命运产生深远影响的动荡时刻。
黑客抢劫Solana:一场悬而未决的“公案”距离黑客盗走Solana的币已经过去半个多月了,官方仍然没有给出最终的调查结果。
区块链安全公司慢雾科技团队分析发现,根据Solana基金会提供的数据,近60%的被盗用户使用的是Phantom钱包,约30%的地址使用的是Slope钱包,iOS和Android版本的钱包均使用Slope钱包。
该应用程序有相应的受害者。
事件发生三天后,Slope 在 Twitter 上发布了官方钱包地址,并公开表示,其一直在与执法和情报公司合作追踪被盗资产,如果黑客愿意归还,可以向他们支付 10% 的赏金。
“一旦追回这些资金,我们将不再追究,也不会采取任何法律行动。
” Slope 团队给了黑客 48 小时归还资产的时间,但赏金提议并未得到黑客的回应。
Slope Wallet官方向黑客发出了赏金。
|来源:Twitter 硬件钱包 Keystone 创始人刘立新还记得,事发当天,他被拉进了多名白帽黑客的“作战室”,安全专家讨论了事件可能的走向。
“初步猜测是某个NFT项目遭到集体攻击。
”刘立新回忆,从被黑钱包地址的数量来看,八九千左右的数量通常是某个NFT项目发行的常见数字。
初步猜测是某个NFT项目受到攻击。
NFT项目方做了恶事,比如进行恶意授权。
但这一猜测很快就被否认。
安全技术人员发现,多起被盗交易的发生是由于使用私钥进行签名,而不是错误授权导致资产转移。
接下来,关于事故原因的猜测包括供应链攻击、黑客窃取随机数、签名方式不当等等,随后都被一一推翻。
当日下午,海外研究人员发现Solana链上的Slope钱包私有化部署了第三方应用监控服务Sentry,该服务会收集用户的私钥或助记词等信息,然后上传至集中式服务器。
Sentry是一个应用程序监控平台,可以实时监控应用程序运行时的异常或错误日志信息。
如果Sentry发现系统错误,它将通过电子邮件通知应用程序的技术人员。
在加密世界中,Sentry服务被广泛使用,Slope钱包就是其中之一。
不过,使用Sentry时有一个问题需要注意。
如果存在配置错误,Sentry 可能会收集额外的数据,例如私钥或助记词以及其他私人信息。
安全专家推测,在Solana盗币事件中,Slope在用户创建钱包时错误地将助记词、私钥等敏感数据发送给Sentry。
这为黑客窃取存储在 Sentry 集中式服务器上的私钥提供了机会。
经调查,Slope发布声明称,虽然上述安全漏洞确实存在,但被攻击的Slope地址数量仅占本次被盗钱包地址总数的一小部分。
目前没有证据表明Sentry被正式入侵或攻击,因为Slope钱包使用的Sentry服务部署在私人服务器上。
另外,根据具体数据,服务器上的私钥和助记词推导出的地址中,与受害者地址有交集的只有5个以太坊地址和3个Solana地址。
也就是说,本次Slope被黑的三个以上钱包中只有一半存在Sentry漏洞,这无法解释其余用户钱包是如何被黑的。
从已掌握的调查结果来看,已知的攻击者地址有4个。
被盗资产尚未在 Solana 链上进一步转移。
不过,在ETH链上,部分资金已被转移至疑似OTC个人钱包地址,剩余部分兑换成ETH后,被转移至Tornado Cash。
Web3“被危险包围”。
在 Solana 受到攻击的同时,跨链桥 Nomad Bridge 也受到了攻击。
值得注意的是,参与攻击Nomad Bridge的黑客有数百名,其中包括“白帽子”,损失近2亿美元。
慢雾科技首席信息安全官(CISO)张连峰告诉极客公园,目前Web3的攻击主要有两类:一是链上攻击,比如假充值、重入攻击、重放攻击、重排序攻击等,此类攻击往往较为隐蔽,需要通过专业的代码安全审计、完整的链上分析、监控和预警来识别。
二是链下攻击,例如高级持续性威胁(APT)、网络钓鱼、供应链攻击等。
这类安全问题在传统Web2中很常见,但目前对Web3生态安全影响很大。
今年4月,周杰伦因为不小心点击了钓鱼链接,丢失了价值过万元的“无聊猿”ID NFT。
周杰伦的《被盗的无聊猿》NFT。
|图片来自网络。
Web3有自己的金融属性。
在金钱的诱惑下,更容易成为黑客的攻击目标。
随着Web3玩家数量不断扩大,加密货币犯罪也呈上升趋势。
据慢雾黑客统计,今年上半年,Web3领域的资产损失接近20亿美元,已经超过全年因黑客攻击和漏洞造成的损失总和。
今年因此被称为“Web3兴起以来最灾难性的一年”。
其中,去中心化程度低、流动性大的跨链桥受损最为严重。
截至6月30日,今年以来共发生7起跨链桥安全事件,造成损失超过10亿美元,占上半年总资产损失的一半以上。
上半年造成损失达数亿美元的四起事件中,其中三起影响跨链桥。
比较有代表性的有区块链游戏Axie Infinity侧链Ronin Network遭受攻击,造成6.24亿美元损失,以及Solana跨链桥项目Wormhole受到攻击,造成6.24亿美元损失。
3.26 亿美元。
除了跨链桥之外,区块链钱包也是安全事件的“重灾区”。
钱包是用户管理加密资产的工具,也是用户进入各种Web3应用的账户入口。
加密世界中的交互和交易都是通过钱包进行的。
钱包包含一个基于公钥和私钥生成的地址,该地址看起来是一串字母和数字。
私钥可以理解为Web2支付工具的密码。
掌握这个“密码”的人,才是加密资产的真正拥有者。
因此,私钥一般都是被黑客盗取的关键信息。
一般来说,大多数钱包都是联网的,私钥泄露的风险很高。
加密货币被黑客窃取后,主流就是洗钱,混币者就是代表的“同谋”。
以隐私保护为基础的混币器,原本是为了消除用户链上交易的痕迹,却在转移被盗资产后被黑客用作洗钱工具。
前不久受到制裁的Tornado Cash自2016年创立以来,已“洗钱”了价值超过70亿美元的虚拟货币。
今年5月,美国制裁中心化货币混合平台Blender,理由是涉嫌帮助Lazarus集团朝鲜著名黑客组织 Axie Infinity 洗白了部分被盗资产。
Lazarus Group是来自朝鲜的网络黑客组织,2018年窃取了价值超过4亿美元的加密货币。
|来源:bleepingcomputer.com 以美国政府为代表的监管力量瞄准混币者,黑客的如意算盘未必那么有效将来。
制裁犯罪固然重要,但另一个关键问题是,加密世界迫切需要更优化的安全解决方案,以在财产和隐私保护与刑事监管之间找到平衡。
无论是尝试Web3的个人玩家,还是All-in建设者,在通往美丽新世界之前,都必须先走过充满安全陷阱的黑暗森林。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
06-17
06-18
06-17
06-18
06-18
06-18
06-06
最新文章
Android旗舰之王的过去与未来
智能手表不被开发、AR眼镜被推迟,Meta的产品经历了一波三折
为什么Cybertruck是特斯拉史上最难造的车?
更新鸿蒙3后,文杰允许你在车里做PPT了
新起亚K3试驾体验:追求“性价比”,韩系汽车仍不想放弃
阿维塔15登场!汽车配备了增程动力,理想情况下会迎来新的对手吗?
马斯克宣布创建 ChatGPT 竞争对手! OpenAI的CEO给他泼了冷水, GPT-5可能会发生巨大变化
骁龙无处不在,是平台也是生态