以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > SAND > Info

黑客攻擊頻頻 Web3的安全在哪里?_區塊鏈:區塊鏈技術發展現狀和趨勢

Author:

Time:1900/1/1 0:00:00

今年以來,黑客攻擊事件頻繁,僅10月20日到10月25日就發生了5余起安全事件,這還是除去各類的釣魚網站、虛假賬戶以及項目方跑路等安全事件。那么,今年哪些板塊和生態黑客攻擊事件最為頻繁?最近加密領域又有哪些安全事件值得注意?這些安全事件折射出加密市場有哪些亟需彌補的短板?未來Web3將朝著哪些方向發展?作為用戶,我們又能做些什么來保證我們的資產安全呢?本文將就這些問題進行探討。

加密世界愁云慘淡,下半年黑客攻擊異常猖獗

今年毫無疑問是加密市場的熊市之年,不少散戶和項目方本就因幣價下跌而損失慘重,可“屋漏偏又逢陰雨”,整個加密市場又不斷遭受黑客“洗劫”。到了今年下半年,黑客攻擊更是異常猖獗,下面就將今年主要黑客攻擊事件進行匯總梳理。

SpiritSwap:AWS上前端服務器被黑客攻破并篡改參數,被盜1.8萬美元:5月14日消息,Fantom生態去中心化交易協議SpiritSwap發推表示,放在AWS上的前端服務器被黑客攻破,網站被篡改參數,目前被盜1.8萬美元。協議宣布更新之前,請不要與網站互動。[2022/5/14 3:15:38]

據派盾數據統計,2022年上半年黑客攻擊總共加密市場總損失達11.3599億美元,其中大約53%的攻擊是利用合約漏洞,大約26.6%的攻擊涉及閃電貸。從黑客攻擊領域看,大約71%的攻擊發生在DeFi領域,受多方面因素影響,DeFi市場TVL從1月初的2760億美元下降到6月底的800億美元,下降了71%。

進入到今年三季度,黑客事件更是頻發。從攻擊類型看,加密市場總共發生98起退出騙局,共計損失5619萬美元,發生23起閃電貸攻擊,共計損失1737萬美元,發生50起其他攻擊事件,共計損失4.3億美元。從生態系統上看,BNBChain生態黑客安全事件最多,共發生105起,其次是以太坊生態,共發生25起,黑客攻擊造成生態損失最大的是Multichain,共發生6起事件,共計損失3.53億美元。從時間上看,7月發生59起安全事件,8月發生56起安全事件,9月發生53起安全事件。十月也是多事之秋,僅10月20日到10月25日就發生了5余起,這還是除去各類的釣魚網站、虛假賬戶以及項目方跑路等安全事件,以下是近期相對典型的安全事件:

動態 | 朝鮮黑客攻擊韓國交易所UpBit的用戶:據CoinDesk 5月31日消息,朝鮮黑客利用網絡釣魚手法攻擊了韓國交易所UpBit的用戶。根據安全公司East Security發布的數據,該黑客于5月28日發送網絡釣魚電子郵件進行網絡攻擊。該郵件的主題表明,UpBit需要更多信息來為客戶的虛構抽獎支付。郵件不是來自UpBit的服務器,而是來自其他服務器。該電子郵件包含一個聲稱包含付款文檔的文件。據East Security稱,運行此文件顯示的內容看起來像普通文檔,但隨后會運行惡意代碼。然后,它會將有關用戶計算機的數據以及私鑰和登錄信息發送給黑客,然后將計算機連接到命令和控制系統,以便進行遠程訪問。East Security認為,這次網絡攻擊來自朝鮮黑客組織Kim Soo-ki。[2019/5/31]

10月20日,以太坊鬧鐘服務漏洞被利用,導致約26萬美元被黑客盜取。

動態 | 基于Augur的DeFi應用Defisurance推出黑客攻擊保險:據Augur官方博客,基于Augur的DeFi應用Defisurance推出黑客攻擊保險。defisurance使得從以太坊、dYdX和Dharma等去中心化的金融協議中的黑客攻擊中獲得保險變得容易,使協議在檢測到黑客攻擊時自動支付給用戶。此外,Augur App現已發布 v1.13.0和v1.13.1,旨在為其V2版本的發布作出準備。[2019/5/23]

10月23日,Optimism生態投資項目Layer2DAO遭遇黑客攻擊,黑客通過獲取Layer2DAO的多重簽名權限盜走約4995萬枚L2DAOToken并將部分拋售,使得L2DAO價格一度下跌約90%。

10月24日,SBF發推稱一些用戶在虛假網站上注冊交易,并泄露了自己的FTXAPI密鑰。

動態 | 此前遭黑客攻擊的EOSBet重新上線:14日,基于EOS的游戲EOSBet遭受黑客攻擊,損失44427.4302個EOS。經過修復后,EOSBet現已重新上線。EOSBet的合約遭受攻擊是由于EOSBet團隊編寫出有漏洞的代碼,而不是因為EOS主網本身的漏洞。[2018/9/16]

10月24日,QuickSwap因閃電貸攻擊損失22萬美元。

10月25日,Web3音樂項目Melody合約受到黑客攻擊,代幣SNS被盜。

Web3安全該如何保障,聽一聽行業大V的建議

隱私幣Verge的官方推特遭到黑客攻擊:Verge(XVG)是一種以隱私保護作為特色的數字貨幣。在周三,其首席開發者賈斯汀受到黑客攻擊,這導致的個人推特賬戶,以及官方推特賬戶被入侵,他的照片ID被發布。隨后,Verge很快就暗示,攻擊者之所以采取行動,是因為他們覺得altcoin的崛起“威脅”了他們,并譴責AT&T允許網絡被進行社會工程,以及可通過SIM swap移植賬號。截至目前,XYG全球均價收于0.03美元,24小時跌幅17.02%。[2018/3/15]

在Web2向Web3的發展過程中,區塊鏈帶來了諸多好處,比如公開透明、自己掌控資產和數據等;但是,合約代碼開源、鏈上數據不可篡改以及權力下放等似乎又給了黑客可乘之機。那么該如何看待區塊鏈技術這把雙刃劍?未來Web3的安全問題又該如何解決呢?筆者整理了部分行業KOL的觀點,供讀者參考。

Polygon首席安全官MuditGupta認為,完美的代碼和密碼學是不夠的,希望Web3公司聘請傳統安全專家來結束容易預防的黑客攻擊。最近發生的幾起加密攻擊最終是Web2安全漏洞的結果,例如私鑰管理和網絡釣魚攻擊以獲取登錄信息,而不是設計不良的區塊鏈技術;在不采用標準Web2網絡安全實踐的情況下獲得經過認證的智能合約安全審計并不足以保護協議和用戶的錢包不被攻擊。我一直建議所有大公司至少聘請一位真正重視密鑰管理的專門安全人員。

Beosin安全團隊子玉表示,一定要對運維等內部人員做好安全培訓,因為人其實是安全環節里最充滿可變性和不穩定性的一個環節;前陣子有一個跨鏈橋遭受了攻擊,當時大家都以為是私鑰被盜/泄露了,結果后來發現是社工釣魚。團隊中的一個工程師想找工作,隨后收到了一個高薪offer,當他打開offer文檔時,電腦就被入侵了,導致了數據泄露。

BAICapital合伙人Will表示:這個行業強調codeislaw,立法和執法都是沒有的。之前的Web3用戶以程序員為主,大家需要對自己完全負責。現在用戶圈層逐漸擴大到了小白,這類用戶是帶著傳統移動端時代對于應用的盲性/體驗上的慣性來到Web3的。所以我覺得安全問題更應該是面向C端解決的,在開發者端、網站端和項目端也需要有安全對策。

安全公司TrailofBits前顧問、數字支付公司安全工程師BobbyTonic認為,對于Web3公司來說,最重要的是了解系統技術的復雜性以及確保其應用程序設計的正確性。對于Web3組織而言,不能保證代碼的復雜性和正確性會產生災難性的后果,因為攻擊者可以隨時查看其系統和應用程序的源代碼。因此,Web3將他們開發的應用程序提交給第三方安全研究公司進行審查已經成為了一種共識:即向用戶承諾該應用已經通過了安全測試,可以放心使用。

給用戶的一些小建議

在Web3世界,權力下放到用戶手中,要想在Web3世界中暢游,安全意識是必不可少的。筆者在此給出一些安全指南,希望可以給剛進入行業的小白一些幫助。

在錢包的使用方面:1、郵箱密碼要至少12位以上,并且開啟二步驗證;2、不要告訴任何人你的任何數字貨幣信息;3、使用硬件錢包管理賬戶;4、注意使用chrome插件;5、使用VPN保護你的連接免受窺探者的侵害;6、使用2FA;7、把日常用錢包和主要錢包分開;8、經常換錢包;9、結合使用冷熱錢包。

另外,用戶也要持續保持防范意識,謹防假網站釣魚、電信詐騙、跑路風險等詐騙類型。對所參與項目的最新進展可以多加關注,日常刷刷官方通告渠道或社區,一旦有技術升級、產品更新、服務暫停、漏洞預警或事故披露,也能第一時間獲悉,并行動起來保護資產。

作者:比推AsherZhang

Tags:DAO區塊鏈以太坊DAO幣DAO價格區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢以太坊幣是什么幣

SAND
DeFi+NFT逐漸起勢:一文盤點5個方向和7大項目!_Aavegotchi:NFT幣

如果只用一個詞來概括2020年的區塊鏈行業,這個詞應該是DeFi。而下一個關鍵詞呢?許多人心中的答案是:NFT.

1900/1/1 0:00:00
拒絕謠言,你需要知道的關于 FTX 暴雷的幾個誤解_Foresight:FTX價格

請仔細核查你所看到消息的真實來源。 撰文:ZachXBT 編譯:aididiaojp.eth,ForesightNews推特上流傳的有關FTX暴雷的新聞中充斥著大量的錯誤信息,我將在這里揭示其中.

1900/1/1 0:00:00
去中心化金融可能是未來,但當前投資者教育匱乏_去中心化金融:加密貨幣市場還有未來嗎知乎

近來,加入傳統金融市場對消費者和機構投資者的吸引力已有所下降。隨著去中心化金融受到廣泛關注,新的機會隨處可見。然而,這種新運動也不是沒有風險和缺點.

1900/1/1 0:00:00
黑客利用SS7協議進行電信詐騙,20名加密高管遭遇攻擊_BTC:SIM幣BTCs是不是黃了

上個月,黑客利用一份已有數十年歷史的協議中的漏洞,破壞了多個加密高管的Telegrammessenger和電子郵件帳戶.

1900/1/1 0:00:00
深入理解NFT的投資邏輯——火熱的NFT能否進入?_NFT:DEFINFT價格

NFT最近成為熱門其實是有一定的預期的,在DEFI火爆的時候,其實我們已經分析過接下來可能成為熱門的幾點,一個是波卡生態,一個是NFT,一個是存儲領域,當然這里目前NFT提前預熱.

1900/1/1 0:00:00
SLG鏈游的春天:一種新的經濟模型的嘗試_COC:WEBSLG價格

這個長文系列的第一篇休閑破冰類游戲發出后,反響比預計的要熱烈,看的出經過了10個月的鏈游熊市,玩家們看到一個項目已經不再是開頭就問:怎么賺錢最快?而是先思考和判斷值不值得深度介入.

1900/1/1 0:00:00
ads