本文來自沈陽四塊科技。
在這次Solana被襲同期,跨鏈橋Nomad Bridge也受到攻擊。值得注意的是,參與攻擊Nomad Bridge的黑客有上百位,甚至包含了“白帽子”,損失近2億美元。
慢霧科技首席信息安全官(CISO)張連鋒告訴極客公園,目前對Web3的攻擊類型主要有兩種:
一是鏈上攻擊,例如假充值、重入攻擊、重放攻擊、重排攻擊等。這類攻擊往往更加隱秘,需要通過專業(yè)的代碼安全審計、完備的鏈上分析監(jiān)測預警等方法來識別。
二是鏈下攻擊,如高級長期威脅(APT)、網(wǎng)絡釣魚、供應鏈攻擊等。這類都是傳統(tǒng)Web2常見的安全問題,但是目前卻對Web3生態(tài)安全產(chǎn)生了很大影響。
今年4月,周杰倫丟失價值超300萬人民幣的無聊猿編號3738的NFT,就是因為無意中點擊了釣魚鏈接。
Web3自帶金融屬性,金錢的誘惑下,更容易被黑客盯上。隨著Web3玩家的體量不斷擴大,加密貨幣犯罪也呈現(xiàn)快速上漲趨勢。
根據(jù)慢霧區(qū)塊鏈被黑事件檔案庫(SlowMist Hacked)統(tǒng)計,2022年上半年,Web3領域的資產(chǎn)損失接近20億美元,已經(jīng)超過2021年全年因黑客攻擊漏洞造成的總損失。
2022年因此被稱作“Web3興起以來損失最慘重的一年”。其中,以去中心化程度低、流動資金量大的跨鏈橋受損最為嚴重。
截至6月30日,今年共發(fā)生7起跨鏈橋安全事件,損失超過10億美元,占上半年總資產(chǎn)損失的半數(shù)以上。在上半年損失金額達到上億美元的4起事件中,有3起波及跨鏈橋。
比較有代表性的是區(qū)塊鏈游戲Axie Infinity的側鏈Ronin Network被襲,造成6.24億美元的損失,以及Solana的跨鏈橋項目Wormhole被攻擊,損失3.26億美元。
除了跨鏈橋,區(qū)塊鏈錢包也是安全事件發(fā)生的“重災區(qū)”。
錢包是用戶管理加密資產(chǎn)的工具,也是用戶進入各類Web3應用的賬戶入口,加密世界的交互和交易通過錢包來進行。
錢包包含著基于公鑰和私鑰生成的地址,表面上看是一組有字母、數(shù)字構成的符號串。其中的私鑰可以對照理解為Web2支付工具的密碼,掌握這個“密碼”的人才是加密資產(chǎn)的真正主人。
所以,私鑰一般是黑客攻擊竊取的關鍵信息。通常來說,大部分錢包都會與網(wǎng)絡連接,私鑰泄露的風險系數(shù)較高。
加密貨幣被黑客盜取后,主要流向就是洗錢場景,以混幣器為代表性“幫兇”。
從隱私保護出發(fā)的混幣器,本來的設想是消除用戶的鏈上交易痕跡,卻被黑客用作轉移被盜資產(chǎn)后的洗錢工具。不久前被制裁的Tornado Cash自2019年創(chuàng)建以來,已經(jīng)「清洗」了價值超過70億美元的虛擬貨幣。
今年5月份的時候,美國曾經(jīng)制裁了中心化混幣平臺Blender,理由是Blender涉嫌幫助朝鮮知名黑客組織Lazarus Group清洗從Axie Infinity盜取的部分資產(chǎn)。
以美國政府為代表的監(jiān)管勢力盯上混幣器,黑客們的如意算盤未來或許打得不那么響。制裁犯罪固然重要,但另一個關鍵的問題是,加密世界亟需更優(yōu)化的安全方案,在財產(chǎn)、隱私保護與犯罪監(jiān)管之間尋求平衡。
無論對淺試Web3的個體玩家還是All in的建設者來說,在通向一個美麗新世界之前,先要走過一片遍布安全陷阱的暗黑森林。