Web3“危機四伏”

Web3自帶金融屬性,金錢的誘惑下,更容易被黑客盯上。隨著Web3玩家的體量不斷擴大,加密貨幣犯罪也呈現(xiàn)快速上漲趨勢。

本文來自沈陽四塊科技。

在這次Solana被襲同期,跨鏈橋Nomad Bridge也受到攻擊。值得注意的是,參與攻擊Nomad Bridge的黑客有上百位,甚至包含了“白帽子”,損失近2億美元。

慢霧科技首席信息安全官(CISO)張連鋒告訴極客公園,目前對Web3的攻擊類型主要有兩種:

一是鏈上攻擊,例如假充值、重入攻擊、重放攻擊、重排攻擊等。這類攻擊往往更加隱秘,需要通過專業(yè)的代碼安全審計、完備的鏈上分析監(jiān)測預警等方法來識別。

二是鏈下攻擊,如高級長期威脅(APT)、網(wǎng)絡釣魚、供應鏈攻擊等。這類都是傳統(tǒng)Web2常見的安全問題,但是目前卻對Web3生態(tài)安全產(chǎn)生了很大影響。

今年4月,周杰倫丟失價值超300萬人民幣的無聊猿編號3738的NFT,就是因為無意中點擊了釣魚鏈接。

Web3自帶金融屬性,金錢的誘惑下,更容易被黑客盯上。隨著Web3玩家的體量不斷擴大,加密貨幣犯罪也呈現(xiàn)快速上漲趨勢。

根據(jù)慢霧區(qū)塊鏈被黑事件檔案庫(SlowMist Hacked)統(tǒng)計,2022年上半年,Web3領域的資產(chǎn)損失接近20億美元,已經(jīng)超過2021年全年因黑客攻擊漏洞造成的總損失。

2345截圖20220818151609.png

2022年因此被稱作“Web3興起以來損失最慘重的一年”。其中,以去中心化程度低、流動資金量大的跨鏈橋受損最為嚴重。

截至6月30日,今年共發(fā)生7起跨鏈橋安全事件,損失超過10億美元,占上半年總資產(chǎn)損失的半數(shù)以上。在上半年損失金額達到上億美元的4起事件中,有3起波及跨鏈橋。

比較有代表性的是區(qū)塊鏈游戲Axie Infinity的側鏈Ronin Network被襲,造成6.24億美元的損失,以及Solana的跨鏈橋項目Wormhole被攻擊,損失3.26億美元。

除了跨鏈橋,區(qū)塊鏈錢包也是安全事件發(fā)生的“重災區(qū)”。

錢包是用戶管理加密資產(chǎn)的工具,也是用戶進入各類Web3應用的賬戶入口,加密世界的交互和交易通過錢包來進行。

錢包包含著基于公鑰和私鑰生成的地址,表面上看是一組有字母、數(shù)字構成的符號串。其中的私鑰可以對照理解為Web2支付工具的密碼,掌握這個“密碼”的人才是加密資產(chǎn)的真正主人。

所以,私鑰一般是黑客攻擊竊取的關鍵信息。通常來說,大部分錢包都會與網(wǎng)絡連接,私鑰泄露的風險系數(shù)較高。

加密貨幣被黑客盜取后,主要流向就是洗錢場景,以混幣器為代表性“幫兇”。

從隱私保護出發(fā)的混幣器,本來的設想是消除用戶的鏈上交易痕跡,卻被黑客用作轉移被盜資產(chǎn)后的洗錢工具。不久前被制裁的Tornado Cash自2019年創(chuàng)建以來,已經(jīng)「清洗」了價值超過70億美元的虛擬貨幣。

今年5月份的時候,美國曾經(jīng)制裁了中心化混幣平臺Blender,理由是Blender涉嫌幫助朝鮮知名黑客組織Lazarus Group清洗從Axie Infinity盜取的部分資產(chǎn)。

以美國政府為代表的監(jiān)管勢力盯上混幣器,黑客們的如意算盤未來或許打得不那么響。制裁犯罪固然重要,但另一個關鍵的問題是,加密世界亟需更優(yōu)化的安全方案,在財產(chǎn)、隱私保護與犯罪監(jiān)管之間尋求平衡。

無論對淺試Web3的個體玩家還是All in的建設者來說,在通向一個美麗新世界之前,先要走過一片遍布安全陷阱的暗黑森林。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論