2022年是Web3兴起以来亏损最严重的一年。
Web3已经混乱了一个月。
8月初,一名黑客从公共链Solana窃取了资金。超过9000个钱包地址遭到攻击,损失超过400万美元,在用户中引发了一波恐慌,使索拉纳陷入信用危机。
几天后,加密货币混合器Tornado Cash被美国财政部下属的3354海外资产控制办公室(OFAC)列入制裁名单,包括40多个与Tornado Cash协议有关的以太坊地址,涉及价值超过4亿美元的资产被冻结。
定位于隐私服务的money mixer的名声在加密界一直饱受争议,其中“掌门人”Tornado Cash被称为“卖脏钱的黄金洞穴”。
在受到美国财政部的制裁后,Tornado Cash的象征性价格大幅下跌。来源:business2community.com
这一制裁意味着美国的社区用户,无论是个人还是实体,都不能再与Tornado Cash平台及其绑定的钱包地址进行经济交易。根据以往案例,如果违规,可能面临30万美元以上的罚款和最高30年的监禁。
接着,外媒曝出29岁的开发商Tornado Cash在荷兰阿姆斯特丹被捕。当地执法部门表示,Tornado Cash涉嫌隐瞒非法资金流动和协助洗钱,自今年6月以来一直在对其进行调查。
龙卷风现金被制裁,引起加密行业“排队”。有人公开表示不满,称美国财政部的监管越界,侵犯了美国公民的隐私和自由;其他人率先响应监管,稳定货币USDC的发行者Circle迅速冻结了Tornado Cash钱包地址上的资产。
Web3正面临着崛起以来最严峻的安全考验和审查压力。2022年上半年,Web3领域的资产损失约为20亿美元,超过了黑客去年的损失总额。随之而来的连锁反应就是监管执法的手越伸越长。
在人们通常的认知中,强调去中心化逻辑的Web3应该具有更强的安全性和隐私性,但现在却被黑客和监管者同时盯上了。加密世界正在经历一个对其未来命运产生深远影响的动荡时刻。
黑客抢劫索拉纳:一桩悬而未决的“公案”,从黑客在索拉纳盗币的时间算起,已经过去了半个多月。官方还没有给出最终的调查结果。
区块链安全公司Slow Fog Technology Team分析发现,根据Solana foundation提供的数据,近60%的被盗用户使用Phantom wallet,约30%的地址使用Slope wallet,iOS和Android版本的app都有相应的受害者。
事件发生三天后,斯洛普在推特上发布了一个官方钱包地址,并公开表示他一直在配合执法机构和情报公司追踪被盗资产。如果黑客愿意归还它们,可以付给它们10%的赏金。“追回这些资金后,我们不会进一步追究,也不会采取任何法律行动。」
Slope团队给了黑客48小时归还资产的时间,但是这个赏金并没有得到黑客的回应。
斜坡钱包正式向黑客发出悬赏。|来源:推特
wallet Keystone的创始人刘立新还记得,事发当天,他和100多名白帽黑客一起被拖进了一个“作战室”。安全专家讨论了事件的可能过程。
“最初的猜测是,NFT的一个项目遭到了集体攻击。刘立新回忆说,从被黑客攻击的钱包地址数量来看,八九千的数量级通常是NFT项目发布的常见号码。最初的猜测是NFT项目方做了坏事,比如恶意授权。
但这个猜测很快被否定了。安全技术人员发现,几笔被盗交易都是用私钥签名的,而不是错误授权导致的资产转移。接下来关于事故原因的猜测包括供应链攻击、黑客打随机数、签名方式不当等等,都被一一推翻。
当天下午,一位海外研究人员发现,在Solana chain的Slope wallet私有化中部署了第三方应用监控服务Sentry,它会收集用户的私钥或助记符等信息,然后上传到一个集中的服务器。
Sentry是一个应用程序监控平台,可以实时监控应用程序运行时的异常或错误日志信息。如果Sentry发现系统bug,会通过电子邮件通知应用方的技术人员。
在加密世界中,哨兵服务应用广泛,斜坡钱包就是其中之一。但是,在使用Sentry的时候,需要注意一个问题。如果有一个配置错误,哨兵可能会收集额外的数据,如私钥或助记符和其他私人信息。
安全专家推测,在索拉纳的偷币事件中,当用户创建钱包时,斯洛普错误地将助记符和私钥等敏感数据发送给了哨兵。这为黑客提供了机会,他们窃取存储在Sentry集中式服务器上的私钥。
经过调查,Slope发表声明称,虽然上述安全漏洞确实存在,但被攻击的Slope地址数量只是此次被盗钱包地址总数的一小部分。目前没有证据表明哨兵官方受到了入侵和攻击,因为Slope钱包使用的哨兵服务部署在私有服务器上。
另外,根据具体数据,在服务器上由私钥和助记符导出的地址中,只有5个以太坊地址和1388个索拉纳地址与受害者的地址有交集。换句话说,这次被Slope黑掉的2700多个钱包中,只有一半存在哨兵漏洞,无法解释其他用户的钱包是如何被黑掉的。
就调查结果来看,已知的攻击者地址有四个,被盗资产在索拉纳链上没有进一步转移。但在ETH链条上,已经有部分资金被转入疑似OTC个人钱包地址,其余资金被转换为ETH再转入龙卷风现金。
Web3处于危险之中。索拉纳遇袭的同时,跨链桥Nomad桥也遭到袭击。值得注意的是,参与Nomad Bridge攻击的黑客有数百人,甚至包括“白帽子”,耗资近2亿美元。
慢雾科技首席信息安全官(CISO)张连峰告诉极客公园,目前对Web3的攻击主要有两种类型:
一种是链式攻击,如虚假充值、重入攻击、重放攻击、重排攻击等。这类攻击往往更加隐秘,需要通过专业的代码安全审计、全链分析、监控预警等手段来识别。二是外链攻击,如高级长期威胁(APT)、网络钓鱼、供应链攻击等。这些都是传统Web2的常见安全问题,但目前对Web3的生态安全影响很大。今年4月,周杰伦因为不小心点开了钓鱼链接,丢失了价值300多万人民币的《闷猿3738号》NFT。
周杰伦的被盗无聊猿NFT。|图片来自网络
Web3有自己的金融属性,在金钱的诱惑下,更容易被黑客盯上。随着Web3玩家数量的不断增加,加密货币犯罪也呈上升趋势。
根据SlowMist被黑区块链的统计,2022年上半年,Web3领域资产损失接近20亿美元,已经超过2021年全年因黑客漏洞造成的损失总和。
所以2022年被称为“Web3崛起以来最糟糕的一年”。其中,分散程度低、流动性大的跨链桥受损最为严重。
截至6月30日,今年共发生7起跨链桥梁安全事故,损失超过10亿美元,占上半年总资产损失的一半以上。上半年,发生了四起损失达数亿美元的事件,其中三起影响到跨链桥。
典型的例子是对Ronin Network的攻击,区块链游戏Axie Infinity的侧链,造成了6.24亿美元的损失,以及对Solana的跨链桥项目Wormhole的攻击,造成了3.26亿美元的损失。
除了跨链桥,区块链钱包也是安全事故的“重灾区”。
钱包是用户管理加密资产的工具,也是用户访问各种Web3应用的账户入口。加密世界中的交互和交易是
钱包包含基于公钥和私钥生成的地址。表面上看是一组由字母和数字组成的符号串。其中,私钥可以比喻理解为Web2支付工具的密码,只有掌握这个“密码”的人才是加密资产的真正拥有者。
所以私钥一般是黑客窃取的关键信息。一般来说,大部分钱包都是联网的,私钥泄露的风险系数较高。
加密货币被黑客盗取后,主要流向是洗钱,以混钱者为代表的“帮凶”。
从隐私保护出发,混钱器最初的想法是消除用户链条上的交易痕迹,却在转移被盗资产后被黑客用作洗钱工具。不久前受到制裁的Tornado Cash自2019年创建以来,已经“清洗”了价值超过70亿美元的虚拟货币。
今年5月,美国制裁了集中式混钱平台Blender,理由是Blender涉嫌帮助朝鲜知名黑客组织Lazarus Group清洗从Axie Infinity窃取的部分资产。
来自朝鲜的网络黑客组织Lazarus Group在2021年窃取了价值超过4亿美元的加密货币。
以美国政府为代表的监管力量盯上了投币搅拌机,黑客的如意算盘以后可能不会那么响了。虽然制裁很重要,但另一个关键问题是,加密世界迫切需要一个更优化的安全方案,在财产、隐私保护和犯罪监管之间找到平衡。
无论是尝试Web3的个人玩家,还是All in的建造者,在去一个美好的新世界之前,你都要走过一片充满安全陷阱的黑暗森林。