今年以来,黑客攻击事件频繁,仅10月20日到10月25日就发生了5余起安全事件,这还是除去各类的钓鱼网站、虚假账户以及项目方跑路等安全事件。那么,今年哪些板块和生态黑客攻击事件最为频繁?最近加密领域又有哪些安全事件值得注意?这些安全事件折射出加密市场有哪些亟需弥补的短板?未来Web3将朝着哪些方向发展?作为用户,我们又能做些什么来保证我们的资产安全呢?本文将就这些问题进行探讨。
加密世界愁云惨淡,下半年黑客攻击异常猖獗
今年毫无疑问是加密市场的熊市之年,不少散户和项目方本就因币价下跌而损失惨重,可“屋漏偏又逢阴雨”,整个加密市场又不断遭受黑客“洗劫”。到了今年下半年,黑客攻击更是异常猖獗,下面就将今年主要黑客攻击事件进行汇总梳理。
据派盾数据统计,2022 年上半年黑客攻击总共加密市场总损失达 11.3599 亿美元,其中大约 53% 的攻击是利用合约漏洞,大约 26.6% 的攻击涉及闪电贷。从黑客攻击领域看,大约 71% 的攻击发生在 DeFi 领域,受多方面因素影响, DeFi 市场 TVL 从 1 月初的 2760 亿美元下降到 6 月底的 800 亿美元,下降了 71%。
以太坊社区成员提出ERC 7265标准以缓解DeFi黑客攻击:金色财经报道,以太坊社区成员提出了一个新的标准,以提高去中心化金融(DeFi)协议的安全性。被称为ERC(以太坊征求意见)7265的拟议标准将启用“断路器\"。
Fluid Protocol的Meir Bank表示,ERC 7265 允许团队创建一个断路器来保护他们的协议,并为每项资产提供高度定制的速率限制参数。当发生黑客攻击时,攻击者将无法再在几秒钟内耗尽整个合约。大部分资金都可以收回。[2023/7/4 22:17:10]
进入到今年三季度,黑客事件更是频发。从攻击类型看,加密市场总共发生98起退出局,共计损失5619万美元,发生23起闪电贷攻击,共计损失1737万美元,发生50起其他攻击事件,共计损失4.3亿美元。从生态系统上看,BNB Chain生态黑客安全事件最多,共发生105起,其次是以太坊生态,共发生25起,黑客攻击造成生态损失最大的是Multichain,共发生6起事件,共计损失3.53亿美元。从时间上看,7月发生59起安全事件,8月发生56起安全事件,9月发生53起安全事件。十月也是多事之秋,仅10月20日到10月25日就发生了5余起,这还是除去各类的钓鱼网站、虚假账户以及项目方跑路等安全事件,以下是近期相对典型的安全事件:
Poly Network:10条区块链上57种资产受到黑客攻击影响,项目团队应尽快撤出流动性:7月3日消息,跨链互操作协议Poly Network发推称,其服务仍将继续中止,恳请网络安全专业人士提供专业帮助。此次被攻击导致10条区块链上的57种资产受到影响,包括以太坊、BNB Chain、Polygon、 Avalanche、Fantom、Optimism、 Arbitrum、 Gonosis 、 Heco、OKX等。
Poly Network表示,已经与CEX和执法机构展开沟通,寻求帮助,希望与攻击者合作,归还用户资产,避免潜在的法律后果。同时,为了尽量减少进一步的风险,Poly Network已联系大多数项目团队,敦促其从DEX中撤出流动性,并建议持有受影响资产的用户尽快撤回流动性、解锁其LP代币。[2023/7/3 22:14:01]
10月20日,以太坊闹钟服务(Ethereum Alarm Clock)漏洞被利用,导致约 26 万美元被黑客盗取。
Coinbase被客户起诉,称交易所拒绝赔偿他在黑客攻击中损失的96000美元:金色财经报道,根据美国加州北区地方法院的一份文件,Coinbase被一名客户起诉,该客户称,在他因黑客攻击从 Coinbase 钱包中损失 96,000 美元后,加密货币交易所拒绝帮助他。法庭文件称,原告Jared Ferguson的手机于 5 月 9 日失去服务,T-Mobile 技术支持告诉他获得一张新的 SIM 卡。在他的 iPhone 恢复服务后,Ferguson注意到他的 Coinbase 钱包里的所有钱都被转走了。
原告立即联系了 Coinbase,Coinbase 要求他提供有关其设备安全性、最后一次授权交易和未经授权交易清单的信息。仅仅两周后,他被告知 Coinbase 无法帮助他。[2023/3/8 12:48:01]
10月23日,Optimism生态投资项目Layer2DAO遭遇黑客攻击,黑客通过获取Layer2DAO的多重签名权限盗走约4995万枚L2DAO Token并将部分抛售,使得L2DAO价格一度下跌约90%。
CMC创始人:公司从未遭到过黑客攻击:CoinMarketCap在推特举办首席执行官兼创始人BrandonChez的AMA,当被问及AMA格式是出于匿名还是隐私目的时,Chez表示,“我确实重视我的隐私,但我并不完全反对未来尝试更多的AMA格式。Chez表示,“CMC在早期曾数次被DDoS攻击,但我很高兴地说,我们从未遭到过黑客攻击。”有推特用户提到2019年报告称CMC显示虚假交易量的话题。Chez表示,“我们已经发布一个新的度量标准,可以更准确地描述交易所的活动,”Chez提及的是流动性指标。至于Chez是如何进入加密领域的,他指出,2011年比特币资产达到1美元时,他偶然发现一篇关于比特币的文章,此后一直参与其中。[2020/2/29]
10月24日,SBF发推称一些用户在虚假网站上注册交易,并泄露了自己的FTX API密钥。
10月24日,QuickSwap因闪电贷攻击损失22万美元。
比特币黄金遭黑客攻击:可能损失1800万美元:据新浪科技报道,比特币黄金的开发团队近期公布了上周比特币黄金遭遇攻击的详情:攻击者是通过获得了网络算力的大部分控制权,利用这些算力重组了比特币黄金的区块链,并进行反向交易,从而窃取了数字货币交易所中的资金。如果所有交易中的资金都被盗取,那么攻击者可以从中获利1800万美元。同时,项目开发者表示,比特币黄金已计划迁移至能够大幅提升网络安全的新算法。[2018/5/28]
10月25日,Web3音乐项目Melody合约受到黑客攻击,代币SNS被盗。
Web3安全该如何保障,听一听行业大V的建议
在Web2向Web3的发展过程中,区块链带来了诸多好处,比如公开透明、自己掌控资产和数据等;但是,合约代码开源、链上数据不可篡改以及权力下放等似乎又给了黑客可乘之机。那么该如何看待区块链技术这把双刃剑?未来Web3的安全问题又该如何解决呢?笔者整理了部分行业KOL的观点,供读者参考。
Polygon首席安全官Mudit Gupta认为,完美的代码和密码学是不够的,希望Web3公司聘请传统安全专家来结束容易预防的黑客攻击。最近发生的几起加密攻击最终是Web2安全漏洞的结果,例如私钥管理和网络钓鱼攻击以获取登录信息,而不是设计不良的区块链技术;在不采用标准Web2网络安全实践的情况下获得经过认证的智能合约安全审计并不足以保护协议和用户的钱包不被攻击。我一直建议所有大公司至少聘请一位真正重视密钥管理的专门安全人员。
Beosin安全团队子玉表示,一定要对运维等内部人员做好安全培训,因为人其实是安全环节里最充满可变性和不稳定性的一个环节;前阵子有一个跨链桥遭受了攻击,当时大家都以为是私钥被盗/泄露了,结果后来发现是社工钓鱼。团队中的一个工程师想找工作,随后收到了一个高薪 offer,当他打开 offer 文档时,电脑就被入侵了,导致了数据泄露。
BAI Capital合伙人Will表示:这个行业强调 code is law,立法和执法都是没有的。之前的 Web3 用户以程序员为主,大家需要对自己完全负责。现在用户圈层逐渐扩大到了小白,这类用户是带着传统移动端时代对于应用的盲性/体验上的惯性来到 Web3 的。所以我觉得安全问题更应该是面向C端解决的,在开发者端、网站端和项目端也需要有安全对策。
安全公司 Trail of Bits 前顾问、数字支付公司安全工程师Bobby Tonic认为,对于Web3公司来说,最重要的是了解系统技术的复杂性以及确保其应用程序设计的正确性。对于 Web3 组织而言,不能保证代码的复杂性和正确性会产生灾难性的后果,因为攻击者可以随时查看其系统和应用程序的源代码。因此,Web3 将他们开发的应用程序提交给第三方安全研究公司进行审查已经成为了一种共识:即向用户承诺该应用已经通过了安全测试,可以放心使用。
给用户的一些小建议
在Web3世界,权力下放到用户手中,要想在Web3世界中畅游,安全意识是必不可少的。笔者在此给出一些安全指南,希望可以给刚进入行业的小白一些帮助。
在钱包的使用方面:1、邮箱密码要至少12位以上,并且开启二步验证;2、不要告诉任何人你的任何数字货币信息;3、使用硬件钱包管理账户;4、注意使用chrome插件;5、使用VPN保护你的连接免受窥探者的侵害;6、使用2FA(谷歌验证器);7、把日常用钱包和主要钱包分开;8、经常换钱包;9、结合使用冷热钱包。
另外,用户也要持续保持防范意识,谨防假网站钓鱼、电信、跑路风险等类型。对所参与项目的最新进展可以多加关注,日常刷刷官方通告渠道(官网、Twitter 等)或社区(Discord、TG 等),一旦有技术升级、产品更新、服务暂停、漏洞预警或事故披露,也能第一时间获悉,并行动起来保护资产。
作者:比推Asher Zhang
比推 Bitpush News
媒体专栏
阅读更多
金色早8点
1435Crypto
区块律动BlockBeats
吴说区块链
金色财经
blockin
Block unicorn
Foresight News
Odaily星球日报
Bankless
DeFi之道
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。