以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

黑客攻擊頻頻 Web3的安全在哪里?_EST:WEB3COIN

Author:

Time:1900/1/1 0:00:00

今年以來,黑客攻擊事件頻繁,僅10月20日到10月25日就發生了5余起安全事件,這還是除去各類的釣魚網站、虛假賬戶以及項目方跑路等安全事件。那么,今年哪些板塊和生態黑客攻擊事件最為頻繁?最近加密領域又有哪些安全事件值得注意?這些安全事件折射出加密市場有哪些亟需彌補的短板?未來Web3將朝著哪些方向發展?作為用戶,我們又能做些什么來保證我們的資產安全呢?本文將就這些問題進行探討。

加密世界愁云慘淡,下半年黑客攻擊異常猖獗

今年毫無疑問是加密市場的熊市之年,不少散戶和項目方本就因幣價下跌而損失慘重,可“屋漏偏又逢陰雨”,整個加密市場又不斷遭受黑客“洗劫”。到了今年下半年,黑客攻擊更是異常猖獗,下面就將今年主要黑客攻擊事件進行匯總梳理。

據派盾數據統計,2022 年上半年黑客攻擊總共加密市場總損失達 11.3599 億美元,其中大約 53% 的攻擊是利用合約漏洞,大約 26.6% 的攻擊涉及閃電貸。從黑客攻擊領域看,大約 71% 的攻擊發生在 DeFi 領域,受多方面因素影響, DeFi 市場 TVL 從 1 月初的 2760 億美元下降到 6 月底的 800 億美元,下降了 71%。

Angle Protocol:受黑客攻擊影響的USDC約1752萬美元,DAO仍持有近2000萬美元代幣:3月15日消息,去中心化穩定幣協議 Angle Protocol 已根據鏈上信息準備 Euler Finance 黑客攻擊事件后協議的詳細概述,其中受影響的 USDC 約為 1752 萬美元,目前 DAO 所持有的代幣總價值(包含 agEUR)約 1959 萬美元,團隊正在密切監視情況并與當局合作,提供所能提供的一切幫助來調查黑客攻擊,將在收到更新后立即分享。[2023/3/15 13:05:57]

進入到今年三季度,黑客事件更是頻發。從攻擊類型看,加密市場總共發生98起退出騙局,共計損失5619萬美元,發生23起閃電貸攻擊,共計損失1737萬美元,發生50起其他攻擊事件,共計損失4.3億美元。從生態系統上看,BNB Chain生態黑客安全事件最多,共發生105起,其次是以太坊生態,共發生25起,黑客攻擊造成生態損失最大的是Multichain,共發生6起事件,共計損失3.53億美元。從時間上看,7月發生59起安全事件,8月發生56起安全事件,9月發生53起安全事件。十月也是多事之秋,僅10月20日到10月25日就發生了5余起,這還是除去各類的釣魚網站、虛假賬戶以及項目方跑路等安全事件,以下是近期相對典型的安全事件:

Immunefi:2022年黑客攻擊和欺詐事件損失超39億美元:1月5日消息,漏洞賞金平臺Immunefi發布的《2022年加密貨幣損失》報告顯示,2022年黑客攻擊和涉嫌欺詐事件的損失了超過39億美元。與2021年相比下降了51.2%,當時超過80億美元被盜。2022年,大部分損失(37.7億美元)來自134起具體事件中的黑客攻擊。在同一時間段內發生的34起欺詐事件中,欺詐損失約1.75億美元。[2023/1/5 10:23:44]

10月20日,以太坊鬧鐘服務(Ethereum Alarm Clock)漏洞被利用,導致約 26 萬美元被黑客盜取。

10月23日,Optimism生態投資項目Layer2DAO遭遇黑客攻擊,黑客通過獲取Layer2DAO的多重簽名權限盜走約4995萬枚L2DAO Token并將部分拋售,使得L2DAO價格一度下跌約90%。

Ankr遭黑客攻擊后,一地址借助漏洞用10BNB換得超1500萬BUSD:12月2日消息,Web3基礎設施提供商Ankr被黑客攻擊后,10萬億枚aBNBc代幣被增發,一用戶(0xaab2……dfc3)抵押用10BNB 換得超過18萬枚 aBNBc,并在借貸平臺helio抵押aBNBc借出超過1600萬枚穩定幣Hay,再將Hay換成超過1500萬Busd,Hay 流動性池被掏空,目前處于暫停狀態。[2022/12/2 21:17:56]

10月24日,SBF發推稱一些用戶在虛假網站上注冊交易,并泄露了自己的FTX API密鑰。

10月24日,QuickSwap因閃電貸攻擊損失22萬美元。

10月25日,Web3音樂項目Melody合約受到黑客攻擊,代幣SNS被盜。

DAO Maker的Vesting合約遭到黑客攻擊,攻擊者最終獲利近400萬美金:據慢霧區情報,DAO Maker的Vesting合約遭到黑客攻擊。DeRace Token (DERC),Coinspaid (CPD),Capsule Coin (CAPS),Showcase Token (SHO)都使用了Dao Maker的分發系統,在DAO Maker中進行持有者發行(SHO)時因DAO Maker合約被攻擊,即SHO參與者的分發系統中出現了一個漏洞:init未初始化保護,攻擊者初始化了init的關鍵參數,同時變更了owner,然后通過emergencyExit將目標代幣盜走,并兌換成了DAI,攻擊者最終獲利近400萬美金。

黑客利用Vesting合約中的漏洞,將Vesting合約中的代幣提走,如下是簡要分析:

對Vesting合約的實現合約0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2進行反編譯得到如下信息:

1. Vesting合約中的init函數 (函數簽名:0x84304ad7),沒有對調用者進行鑒權,黑客通過執行init函數成為Vesting合約的Owner。

2. Owner可以執行Vesting合約中的emergencyExit函數,進行緊急提款。

利用同樣的手法其攻擊其他Vesting合約,轉移如下代幣:DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)。[2021/9/4 22:59:35]

Web3安全該如何保障,聽一聽行業大V的建議

動態 | Dice3D遭遇黑客攻擊 損失大量EOS:據IMEOS報道,根據Dice3D官方消息,Dice3D于12月1日凌晨2點25分被攻擊,攻擊者rockrock1234利用事務狀態回滾機制,使用多個帳號同時發送交易請求進行攻擊,使得最后一個攻擊賬戶獲取高中獎率。目前黑客已將被盜的EOS轉至火幣。Dice3D官方決定自費拿出部分EOS給予玩家補償。[2018/12/3]

在Web2向Web3的發展過程中,區塊鏈帶來了諸多好處,比如公開透明、自己掌控資產和數據等;但是,合約代碼開源、鏈上數據不可篡改以及權力下放等似乎又給了黑客可乘之機。那么該如何看待區塊鏈技術這把雙刃劍?未來Web3的安全問題又該如何解決呢?筆者整理了部分行業KOL的觀點,供讀者參考。

Polygon首席安全官Mudit Gupta認為,完美的代碼和密碼學是不夠的,希望Web3公司聘請傳統安全專家來結束容易預防的黑客攻擊。最近發生的幾起加密攻擊最終是Web2安全漏洞的結果,例如私鑰管理和網絡釣魚攻擊以獲取登錄信息,而不是設計不良的區塊鏈技術;在不采用標準Web2網絡安全實踐的情況下獲得經過認證的智能合約安全審計并不足以保護協議和用戶的錢包不被攻擊。我一直建議所有大公司至少聘請一位真正重視密鑰管理的專門安全人員。

Beosin安全團隊子玉表示,一定要對運維等內部人員做好安全培訓,因為人其實是安全環節里最充滿可變性和不穩定性的一個環節;前陣子有一個跨鏈橋遭受了攻擊,當時大家都以為是私鑰被盜/泄露了,結果后來發現是社工釣魚。團隊中的一個工程師想找工作,隨后收到了一個高薪 offer,當他打開 offer 文檔時,電腦就被入侵了,導致了數據泄露。

BAI Capital合伙人Will表示:這個行業強調 code is law,立法和執法都是沒有的。之前的 Web3 用戶以程序員為主,大家需要對自己完全負責。現在用戶圈層逐漸擴大到了小白,這類用戶是帶著傳統移動端時代對于應用的盲性/體驗上的慣性來到 Web3 的。所以我覺得安全問題更應該是面向C端解決的,在開發者端、網站端和項目端也需要有安全對策。

安全公司 Trail of Bits 前顧問、數字支付公司安全工程師Bobby Tonic認為,對于Web3公司來說,最重要的是了解系統技術的復雜性以及確保其應用程序設計的正確性。對于 Web3 組織而言,不能保證代碼的復雜性和正確性會產生災難性的后果,因為攻擊者可以隨時查看其系統和應用程序的源代碼。因此,Web3 將他們開發的應用程序提交給第三方安全研究公司進行審查已經成為了一種共識:即向用戶承諾該應用已經通過了安全測試,可以放心使用。

給用戶的一些小建議

在Web3世界,權力下放到用戶手中,要想在Web3世界中暢游,安全意識是必不可少的。筆者在此給出一些安全指南,希望可以給剛進入行業的小白一些幫助。

在錢包的使用方面:1、郵箱密碼要至少12位以上,并且開啟二步驗證;2、不要告訴任何人你的任何數字貨幣信息;3、使用硬件錢包管理賬戶;4、注意使用chrome插件;5、使用VPN保護你的連接免受窺探者的侵害;6、使用2FA(谷歌驗證器);7、把日常用錢包和主要錢包分開;8、經常換錢包;9、結合使用冷熱錢包。

另外,用戶也要持續保持防范意識,謹防假網站釣魚、電信詐騙、跑路風險等詐騙類型。對所參與項目的最新進展可以多加關注,日常刷刷官方通告渠道(官網、Twitter 等)或社區(Discord、TG 等),一旦有技術升級、產品更新、服務暫停、漏洞預警或事故披露,也能第一時間獲悉,并行動起來保護資產。

作者:比推Asher Zhang

比推 Bitpush News

媒體專欄

閱讀更多

金色早8點

1435Crypto

區塊律動BlockBeats

吳說區塊鏈

金色財經

blockin

Block unicorn

Foresight News

Odaily星球日報

Bankless

DeFi之道

Tags:WEBWEB3DAOESTWEB3ALLBI價格WEB3COINConstitutionDAO電競幣est

歐易交易所app下載
香港發布有關虛擬資產發展的政策宣言(全文)_虛擬資產:代幣化債券

本宣言由財經事務及庫務局(“財庫局” )發出,就在香港發展蓬勃的虛擬資產行業和生態圈,闡明政府的政策立場和方針.

1900/1/1 0:00:00
以太坊分片設計簡史:從Block到Blob_BLO:以太坊

來源: @protolambda推文作者:Protolambda從 “Block” 到 “Blob”,這其中涵義深刻.

1900/1/1 0:00:00
解析新型空投騙局:警惕相同尾號偽裝地址_okx:usdt幣提現到銀行卡會凍結嗎

作者:Lisa 原文:《慢霧:警惕相同尾號空投騙局》本文主要介紹了騙子利用用戶復制交易記錄中過往地址的這個習慣,生成相同尾號的地址作為偽裝地址,并利用偽裝地址向用戶不斷空投小額的 Token.

1900/1/1 0:00:00
Mango Market黑客事件與預言機的局限性_INV:ANC

來源:Medium 編譯:比推BitpushNews Derrick Chen預言機是將有關某些鏈上或鏈下事件的信息傳輸到區塊鏈上的工具.

1900/1/1 0:00:00
一文詳解以太坊擴容全方案_以太坊:PLATO

出品:LD Capital Research作者:0xRJ_eth(Twitter:@0xRJ_eth)今天主要是從一個自上而下結合時間發展的視角整理了以太坊擴容方案.

1900/1/1 0:00:00
圖解ENS 3季度發展狀況:活躍地址增長強勁 域名注冊量達歷史新高_ETH:Frankenstein Finance

撰文:BlockTurbo來源:《ENS 3季度表現分析:增長強勁,注冊量達歷史新高》盡管市場疲軟,ENS 月度活躍地址依然強勁.

1900/1/1 0:00:00
ads