2022年對(duì)于整個(gè)數(shù)字資產(chǎn)行業(yè)來(lái)說(shuō)是艱難的一年。在市場(chǎng)低迷的大環(huán)境下,65%的數(shù)字資產(chǎn)市值化為烏有,而數(shù)量空前的黑客攻擊、詐騙事件和機(jī)構(gòu)崩盤,讓本就損失慘重的投資者們雪上加霜。
從今年3月Ronin Bridge被盜6.24億美元事件到11月FTX幾乎一夜崩塌,2022年的損失規(guī)模創(chuàng)下了歷史之最。今年的資產(chǎn)損失約為37.7億美元,遠(yuǎn)遠(yuǎn)超過(guò)2021年的13億美元記錄。
本報(bào)告將深入探究導(dǎo)致Celsius、BlockFi以及FTX等中心化交易所潰敗的各種因素。作為這些迅速重蹈行業(yè)覆轍的中心化機(jī)構(gòu)的替代品,Web3.0和基于開(kāi)源區(qū)塊鏈的去中心化金融應(yīng)用將會(huì)發(fā)揮重要作用,但僅憑這一點(diǎn)就期望Web3.0走向大規(guī)模應(yīng)用還不太現(xiàn)實(shí)。雖然與今年中心化領(lǐng)域的破產(chǎn)規(guī)模相比,去中心化世界的損失相對(duì)較小,但其總額也有數(shù)十億美元之多。整個(gè)Web3.0行業(yè)都需要對(duì)過(guò)去一年進(jìn)行深刻反思,努力從這段艱難時(shí)期中尋求一線生機(jī)。
雖然不安全的協(xié)議仍在不斷造成損失,但這并不能否定Web3.0所具有的真正價(jià)值。如今,各類資產(chǎn)的估值普遍下降,人們的狂熱情緒也逐漸平息。由此我們可以退一步審視現(xiàn)狀,并在一個(gè)更加堅(jiān)實(shí)的基礎(chǔ)上建設(shè)這個(gè)行業(yè)。
除了回顧今年發(fā)生的主要黑客攻擊和漏洞事件外,本報(bào)告也將展示CertiK公開(kāi)的獨(dú)家安全研究,以履行其守護(hù)Web3.0世界的使命。
2022年行業(yè)安全概要
① 2022年,黑客從Web3.0協(xié)議中盜取了價(jià)值約37.7億美元的資產(chǎn)。
② 這個(gè)數(shù)字比2021年的13億美元損失增加了189%。
③ 2022年發(fā)生了316起退出騙局,共盜取了約2.1億美元,102起閃電貸與預(yù)言機(jī)操縱事件共造成了約3.6億美元的損失。
④ 僅僅9個(gè)跨鏈橋漏洞就占了所有損失價(jià)值的三分之一以上,黑客從跨鏈橋攻擊中總共盜取了約13.5億美元。
⑤ 盡管經(jīng)歷了一年熊市,CertiK審計(jì)的項(xiàng)目數(shù)量依然在持續(xù)增長(zhǎng)。迄今為止,CertiK共完成了5046個(gè)Web3.0項(xiàng)目的審計(jì)。相比去年年底的總審計(jì)數(shù)目增加了73%。
⑥ 本文涵蓋了這一年的主要安全事件、Web3.0發(fā)展趨勢(shì)以及整個(gè)行業(yè)在一年動(dòng)蕩后的狀況分析。
中心化平臺(tái)或成為難以調(diào)和的矛盾
今年以來(lái),許多知名數(shù)字資產(chǎn)企業(yè)的消亡給整個(gè)行業(yè)都蒙上了陰影。雖然這些企業(yè)全都從事數(shù)字資產(chǎn)買賣、借貸和交易業(yè)務(wù),但當(dāng)我們?yōu)槠滟N上相同標(biāo)簽之前,應(yīng)該考慮一下,這些已然倒閉的企業(yè)是否真正可以被歸類為數(shù)字資產(chǎn)公司。
可以肯定的是,導(dǎo)致這些企業(yè)失敗的原因更多是源于他們的商業(yè)運(yùn)營(yíng)模式,而不是他們所管理的資產(chǎn)。中心化數(shù)字資產(chǎn)企業(yè)(也被稱為CeFi,意為“中心化金融”,與“去中心化金融”DeFi相反)的致命缺陷就隱含在其名稱中:它們?cè)诰哂袉吸c(diǎn)控制的中心化系統(tǒng)上運(yùn)行,而這恰恰引發(fā)了今年我們所目睹的單點(diǎn)潰敗。
接下來(lái)的故事多少有些悲劇性的諷刺色彩。在今年2月份的超級(jí)碗比賽期間(Super Bowl,美國(guó)國(guó)家橄欖球聯(lián)盟年度冠軍賽),F(xiàn)TX曾向數(shù)百萬(wàn)的觀眾推銷數(shù)字資產(chǎn)的概念,聲稱數(shù)字資產(chǎn)是“下一個(gè)大事件”,并暗示不參與其中的人就像廣告中所扮演的傻瓜那樣會(huì)錯(cuò)失一切。
然而,F(xiàn)TX背地里卻將用戶的存款發(fā)送至該公司所謂的“非內(nèi)部”但實(shí)際為內(nèi)部的交易部門——Alameda,該部門很快就在投資上損失了數(shù)十億美元,這也嚴(yán)重違反了該交易所的服務(wù)條款。
關(guān)于FTX非流動(dòng)性資產(chǎn)負(fù)債狀況的驚人消息很快不脛而走,典型的銀行擠兌事件也隨即爆發(fā)。如果一家交易所按1:1的比例保留存款資金,且不在未經(jīng)許可的情況下進(jìn)行重新抵押或出借,那么它或許就能經(jīng)受住這次考驗(yàn)。但FTX的情況并非如此。
FTX前首席執(zhí)行官Sam Bankman-Fried曾策劃了一連串極其奢華的收購(gòu)、贊助和救助活動(dòng),因此也令FTX的垮臺(tái)也更加令人難以置信。比如另一家現(xiàn)已倒閉的CeFi公司Voyager Digital在申請(qǐng)破產(chǎn)后就宣布FTX成功收購(gòu)了其資產(chǎn),然而在FTX閃電式崩盤后只能再次申請(qǐng)破產(chǎn),這些突如其來(lái)的事件全部發(fā)生在了2022年下半年。
FTX和Three Arrows Capital等公司的倒閉確實(shí)打擊了許多大型投資機(jī)構(gòu),但受傷最嚴(yán)重的還是大量的普通散戶。鋪天蓋地的營(yíng)銷、公眾人物代言和個(gè)人崇拜使他們將信心投放在了錯(cuò)誤的平臺(tái),并為此付出了慘痛代價(jià)。
之所以說(shuō)受傷散戶的比例很高,是因?yàn)樵赩oyager平臺(tái)上,97%的用戶資產(chǎn)都不到1萬(wàn)美元。其中許多誤認(rèn)為CeFi平臺(tái)更加安全的用戶,其資產(chǎn)現(xiàn)已蕩然無(wú)存。他們認(rèn)為把資產(chǎn)存入CeFi平臺(tái)更加放心,收益也更高,同時(shí)避免了去中心化平臺(tái)的智能合約所帶來(lái)的高入門門檻以及各種風(fēng)險(xiǎn)。
關(guān)于FTX更多細(xì)節(jié),請(qǐng)查看《FTX事件始末,黑客攻擊總結(jié):2022 第四季度Web3.0行業(yè)安全報(bào)告》了解詳情。
雖然這些教訓(xùn)讓人們非常痛苦,但其實(shí)也是必不可少的一課。數(shù)字資產(chǎn)的核心原則是自我監(jiān)管和自主權(quán)(Self-Custody and Self-Sovereignty),所以將用戶的資產(chǎn)控制權(quán)交給中心化平臺(tái)也就違背了以上原則。
這些平臺(tái)完全有可能不遵守其服務(wù)條款,而你也無(wú)從得知你的資產(chǎn)正被平臺(tái)如何利用。此外,你無(wú)法驗(yàn)證平臺(tái)的財(cái)務(wù)健康狀況,也不能追蹤資產(chǎn)的流向來(lái)了解字面上的收益來(lái)源,以及所要承擔(dān)的風(fēng)險(xiǎn),一切都只是建立在用戶的盲目信任和信念之上,而今年所發(fā)生的事件也證明了其后果:看似安然無(wú)恙的開(kāi)端,最終卻墜入了滿目瘡痍的結(jié)局。
Terra崩盤事件
今年影響最大的事件之一是Terra的崩盤,其450億美元的市值在幾天內(nèi)化為泡影。
與Tether、USDC和BUSD等穩(wěn)定幣不同,算法穩(wěn)定幣并非依靠與美元1:1的錨定比率來(lái)維持穩(wěn)定,而是通過(guò)其內(nèi)部機(jī)制來(lái)維持貨幣錨定。具體來(lái)說(shuō),算法穩(wěn)定幣通過(guò)智能合約設(shè)定的鑄幣及銷毀功能來(lái)維持其基本價(jià)值。
以Terra的UST穩(wěn)定幣為例,UST與另一項(xiàng)獨(dú)立的數(shù)字資產(chǎn)Luna掛鉤,UST的持有者隨時(shí)可以把他們的資產(chǎn)兌換成等值的LUNA。在5月初,LUNA的交易價(jià)格為85美元,此時(shí)一個(gè)UST穩(wěn)定幣可以交易0.0118枚LUNA。
假如UST的交易價(jià)格跌破其設(shè)定的1美元門檻,做市商們隨即會(huì)把大量UST兌換為L(zhǎng)UNA以縮小二者間的價(jià)值缺口。其原理是在降低UST供應(yīng)量的同時(shí),提升對(duì)LUNA的需求,也就是通過(guò)提高支持該穩(wěn)定幣儲(chǔ)備資產(chǎn)的價(jià)格,來(lái)維持貨幣錨定的穩(wěn)定。
5月7日,鏈上分析顯示UST被大量拋售,8500萬(wàn)的UST被兌換成了8450萬(wàn)USDC,這直接導(dǎo)致了UST首次脫鉤美元。受此影響,5月8日UST的價(jià)格跌至0.985美元的低點(diǎn)。
為了讓UST重新錨定美元,Luna Foundation Guard(LFG)部署了價(jià)值7.5億美元的比特幣,以協(xié)助做市商們維持UST價(jià)格的穩(wěn)定。在市場(chǎng)環(huán)境恢復(fù)正常后,LFG又回購(gòu)了價(jià)值7.5億美元的比特幣。
然而令人意想不到的是,5月9日UST的價(jià)格竟然跌至0.65美元的更低點(diǎn)。UST的再次脫鉤隨之引發(fā)了LUNA的價(jià)格震動(dòng),其價(jià)格驟跌至35美元,跌幅超過(guò)44%,而這又使得LUNA與UST之間的市值脫鉤,從而危及其作為穩(wěn)定儲(chǔ)備資產(chǎn)的功能。因?yàn)榇藭r(shí)的LUNA生態(tài)系統(tǒng)已經(jīng)沒(méi)有足夠的價(jià)值來(lái)抵押所有正在流通的UST了。
從這時(shí)開(kāi)始,LUNA和UST之間的微妙平衡開(kāi)始瓦解。然而禍不單行,Terra創(chuàng)建者Terraform Labs的首席執(zhí)行官Do Kwon被曝是此前失敗的算法穩(wěn)定幣Basis Cash背后的匿名聯(lián)合創(chuàng)始人之一。有指控稱,在經(jīng)歷了價(jià)值脫鉤和數(shù)十億美元的損失后,Do Kwon挪用了價(jià)值約6700萬(wàn)美元的比特幣,卻并未將其用于維護(hù)貨幣錨定。韓國(guó)檢察官已對(duì)Do Kwon's發(fā)出逮捕令,但其目前仍然在逃。
Terra/LUNA的這次歷史性的崩盤讓整個(gè)區(qū)塊鏈生態(tài)系統(tǒng)措手不及,從業(yè)者們和用戶不得不停下來(lái)思考此次事件對(duì)Web 3.0的未來(lái)產(chǎn)生的深刻影響。
危機(jī)持續(xù)蔓延
Celsius是一個(gè)支持用戶存入資產(chǎn)以賺取收益的中心化平臺(tái),其曾在Terra生態(tài)系統(tǒng)中持有超過(guò)5億美元的資金。在Celsius倒閉前,其聲稱已經(jīng)撤回了所有資產(chǎn)。但一個(gè)月過(guò)后,該公司就宣布暫停存款業(yè)務(wù),并申請(qǐng)破產(chǎn)。
Celsius的用戶永遠(yuǎn)無(wú)法得知他們所賺取的收益來(lái)源,他們也對(duì)自己所承擔(dān)的風(fēng)險(xiǎn)一無(wú)所知。
Celsius還利用去中心化平臺(tái)償還了許多債務(wù),以努力挽回其所剩無(wú)幾的流動(dòng)性資金,這也從側(cè)面證明了DeFi的力量:所有鏈上活動(dòng)都是公開(kāi)可見(jiàn)的,這就與Celsius對(duì)投資者和債權(quán)人各種隱瞞的負(fù)債形成了鮮明對(duì)比。
雪上加霜的是,為了證明偽匿名去中心化金融平臺(tái)的隱私優(yōu)勢(shì),Celsius后來(lái)在一份法庭文件中公開(kāi)披露了其數(shù)千名用戶的姓名、余額和交易歷史記錄。這是極其不負(fù)責(zé)任的而且危險(xiǎn)的行為。
而Aave等DeFi平臺(tái)的持續(xù)成功,為去中心化商業(yè)模式提供了正面的素材支持。用戶可以實(shí)時(shí)驗(yàn)證Aave的償還支付能力,了解儲(chǔ)戶賺取的收益來(lái)自哪里。而該平臺(tái)的清算過(guò)程,根本不允許出現(xiàn)最終導(dǎo)致Celsius倒閉的風(fēng)險(xiǎn)。
與中心化金融平臺(tái)相比,DeFi明顯具有多方面的優(yōu)勢(shì)。不過(guò)為Web 3.0提供動(dòng)力的智能合約在某種程度上也不是無(wú)懈可擊的:DeFi協(xié)議也有屬于自己的一系列風(fēng)險(xiǎn),比如智能合約的編寫不規(guī)范會(huì)引入一系列的漏洞,而黑客們已經(jīng)發(fā)現(xiàn)并利用了這些漏洞,在2022年竊取了高達(dá)30多億美元的資金。
在詳細(xì)了解Web 3.0的優(yōu)勢(shì)以及行業(yè)趨勢(shì)后,本報(bào)告將重點(diǎn)分析今年的一些重大安全事件。
Web 3.0解決方案
或許這就是Web 3.0世界的意義:建立在開(kāi)源區(qū)塊鏈上的去中心化應(yīng)用,為不透明的中心化機(jī)構(gòu)世界提供了強(qiáng)有力的替代,同樣也為具有眾所周知缺陷的金融運(yùn)作方式提供了真正的替代。
使用過(guò)Aave的用戶可能知道,該平臺(tái)是無(wú)法違背其服務(wù)條款的,因?yàn)檫@些條款被寫入了管理其運(yùn)作的智能合約,就如同一個(gè)準(zhǔn)則被寫入了DNA一樣;在 Pancake Swap平臺(tái)上交易的用戶也不需要擔(dān)心他們的資產(chǎn)控制權(quán)有可能被轉(zhuǎn)移給平臺(tái),因?yàn)樗薪灰锥荚趨^(qū)塊鏈上被公開(kāi)透明地執(zhí)行;雖然各種高收益率的Yield產(chǎn)品可能會(huì)使用戶承擔(dān)相當(dāng)大的風(fēng)險(xiǎn),但這也取決于Yield產(chǎn)品的特性和策略。無(wú)論如何用戶可以隨時(shí)看到他們資產(chǎn)的去向以及收益率的獲得方式,一切將公開(kāi)透明。
雖然以上所述確實(shí)給用戶帶來(lái)了更多的盡職調(diào)查負(fù)擔(dān),但Web 3.0模式相較中心化平臺(tái)還是有著不可比擬的優(yōu)勢(shì),許多中心化金融(CeFi)的崩潰故事在去中心化的環(huán)境中根本不可能發(fā)生。
然而,Web 3.0在實(shí)現(xiàn)其全部潛力和被認(rèn)為是CeFi的真正替代之前,還有一段路要走。
值得思考的是:為什么數(shù)以百萬(wàn)計(jì)的用戶愿意將數(shù)十億美元“托付”給這些中心化組織?
或許是因?yàn)橹行幕M織提供了一個(gè)流程簡(jiǎn)化的服務(wù),并且消除了自我保管的風(fēng)險(xiǎn)。除此之外,他們也提供更大的流動(dòng)性和更豐富的金融產(chǎn)品,并提供支持與服務(wù)平臺(tái)以便及時(shí)幫助用戶解決遇到的問(wèn)題。最后,別忘了黑客僅2022年就利用去中心化協(xié)議的漏洞獲得了數(shù)十億美元的收益,這也是為什么更多人選擇相信中心化的平臺(tái)。
如果想要走的更遠(yuǎn),Web 3.0需要在兩個(gè)主要方面進(jìn)行改進(jìn):可用性和安全性。
可用性:要了解如何使用某DeFi平臺(tái),有時(shí)候甚至需要花上數(shù)小時(shí)去研究,而這僅僅還是資金投入之前。想要研究透徹多個(gè)平臺(tái),甚至可能會(huì)花上幾天。
安全性:雖然DeFi在2022年的損失可能比CeFi少,但從Web 3.0中流失的價(jià)值仍然有數(shù)十億美元。通過(guò)對(duì)2022年主要事件的總結(jié),我們希望能夠喚起人們對(duì)Web 3.0仍需改進(jìn)的領(lǐng)域特別是安全方面的關(guān)注。只有重新致力于基本理想和回歸初心,我們才能建立一個(gè)完整的替代性產(chǎn)品,為每個(gè)人提供真正自由和公平的金融系統(tǒng)。
跨鏈橋攻擊事件
2022年,針對(duì)跨鏈橋的攻擊事件共導(dǎo)致了13億美元的損失,這個(gè)數(shù)字占據(jù)了過(guò)去12個(gè)月總損失金額的36%。僅其中三起事件就占據(jù)了整個(gè)跨鏈橋資產(chǎn)損失的87%,這也突顯了跨鏈橋攻擊會(huì)帶來(lái)的巨大風(fēng)險(xiǎn)。
跨鏈應(yīng)用大多具有極其復(fù)雜的技術(shù)結(jié)構(gòu),同時(shí)也包含了各種攻擊載體。其復(fù)雜性能夠?yàn)槠涮峁└鼜V泛的功能,但代價(jià)是會(huì)暴露更多的攻擊面。
?Ronin損失6.25億美元
Ronin Bridge事件可以說(shuō)是DeFi領(lǐng)域有史以來(lái)最大的攻擊事件/漏洞。3月23日,為Web 3.0游戲Axie Infinity建立的側(cè)鏈被黑客攻擊,超過(guò)173,600枚ETH和2,550萬(wàn)USDC(總價(jià)值6.25億美元)受到損失。
Nomad的報(bào)告顯示,黑客設(shè)法獲得了保護(hù)網(wǎng)絡(luò)的五個(gè)驗(yàn)證節(jié)點(diǎn)私鑰,并且有證據(jù)表明攻擊者是朝鮮的黑客組織Lazarus Group。該組織利用先進(jìn)的魚叉式網(wǎng)絡(luò)釣魚攻擊來(lái)獲取私鑰,在榨干資產(chǎn)后,攻擊者通過(guò)Tornado Cash和中心化交易所(包括FTX和Huobi)將贓款洗白。
?Wormhole損失3.26億美元
2月2日,Wormhole Bridge被黑客攻擊,損失了價(jià)值3.26億美元的資產(chǎn)。攻擊者通過(guò)注入假的sysvar賬戶來(lái)繞過(guò)驗(yàn)證檢查,讓他們可以借此輸出惡意信息,并被Bridge接受。攻擊者通過(guò)調(diào)用帶有惡意信息的complete_wrapped函數(shù),成功鑄造了12萬(wàn)枚WETH。鑄幣兩分鐘后,攻擊者將1萬(wàn)枚ETH橋接到以太坊區(qū)塊鏈上。大約20分鐘后,以太坊區(qū)塊鏈上又進(jìn)行了8萬(wàn)枚ETH的交易。截至2022年底,這些被盜資金仍存放在攻擊者的錢包。
?Nomad 損失1.9億美元
8月1日,Nomad Bridge被利用,損失價(jià)值約1.9億美元。攻擊者利用了初始化過(guò)程中的一個(gè)漏洞 ——即部署合約時(shí)將合約參數(shù)committedRoot初始化為零。這個(gè)漏洞可以使攻擊者繞過(guò)消息驗(yàn)證,從而耗盡橋接合約中持有的token。攻擊者只要在一條鏈上存入ETH(比如0.1甚至0.0001枚ETH),就可在另一條鏈上收到任意數(shù)量的ETH。
而值得注意的是,由于攻擊流程很快就被公開(kāi)了,而資金還在Bridge中,因此至少有41個(gè)錢包復(fù)制了這一攻擊流程。結(jié)果導(dǎo)致Nomad Bridge幾乎全軍覆沒(méi),其總鎖倉(cāng)價(jià)值(TVL)在幾分鐘內(nèi)從1.9億美元驟降至1.2萬(wàn)美元。
Profanity漏洞與私鑰泄漏事件
私鑰泄露引發(fā)的攻擊或成為了2022年最具破壞性的事件之一:通過(guò)私鑰泄露被盜的金額在2022年超過(guò)了10億美元,占比近全年損失的三分之一。這一數(shù)字與2021年相比有所增長(zhǎng)——2021年因私鑰泄露造成的損失為8.92億美元。Ronin事件就是因私鑰泄露導(dǎo)致被惡意利用的一個(gè)典型例子。
一旦惡意行為者獲得了錢包的私鑰,他們就可以完全控制錢包中的所有資產(chǎn)。私鑰泄露可能是密鑰本身沒(méi)有被安全管理的結(jié)果。然而,去年最大的安全事件是由Profanity工具生成的 Vanity 地址中的一個(gè)特定漏洞造成的。
什么是Profanity?
大多數(shù)以太坊地址會(huì)是以0x開(kāi)頭并且看起來(lái)像是一串隨機(jī)的十六進(jìn)制字符。這樣的好處是提供了一定程度的隱私性,但這并不能滿足那些想要一個(gè)獨(dú)特地址的用戶。而Vanity地址就如同車牌或者QQ靚號(hào),它可幫助用戶為包含指定單詞或字符串的地址生成密鑰。
除此之外,Profanity還可以被用來(lái)創(chuàng)建錢包地址,以優(yōu)化手續(xù)費(fèi),這也是Wintermute團(tuán)隊(duì)創(chuàng)建0x00000000AE347……b92280f9e75地址的初衷,但卻最終導(dǎo)致了錢包被黑。開(kāi)頭那串冗長(zhǎng)的0簡(jiǎn)化了地址,減少了以太坊網(wǎng)絡(luò)的算力需求,從而在一定程度上降低了交易手續(xù)費(fèi)——這些節(jié)省下來(lái)的手續(xù)費(fèi)看似微小,卻會(huì)在成千上萬(wàn)的交易中積少成多。
2022年1月,用戶k06a曾在Profanity的GitHub(已被開(kāi)發(fā)者放棄三年以上):https://github.com/johguse/profanity/issues/61,提出了一個(gè)關(guān)于私鑰生成方式的問(wèn)題:Profanity使用一個(gè)隨機(jī)的32位種子數(shù)來(lái)生成256位私鑰,并呼吁關(guān)注私鑰的生成方式。然而這個(gè)意見(jiàn)似乎沒(méi)有得到解決。
暴力攻擊密碼或私鑰就是類似于使用硬件來(lái)不斷嘗試每一個(gè)可能的組合。如果你有1000把鑰匙和一把鎖,你只需嘗試每一把鑰匙,直到找到合適的那一把。
僅過(guò)兩天,該漏洞就在眾目睽睽之下遭到黑客利用:0x6…b93錢包賬戶抽空了多個(gè)Vanity錢包,包括來(lái)自0x0Babe…B05的500枚ETH、0x888888888…597的100枚ETH、0x000000…422的104.4枚ETH,以及更多其他錢包的資產(chǎn),總價(jià)值為330萬(wàn)美元。
“一組1000個(gè)GPU理論上可以在50天內(nèi)對(duì)使用Profanity生成的每個(gè)7字 Vanity 地址的私鑰進(jìn)行暴力破解。我們使用16GB內(nèi)存的Macbook M1,在不到10個(gè)小時(shí)內(nèi)預(yù)計(jì)算出一個(gè)數(shù)據(jù)集——這個(gè)數(shù)據(jù)集只需要計(jì)算一次就可以利用不同的地址。實(shí)際的過(guò)程(不算預(yù)計(jì)算),對(duì)于一個(gè)前面有七個(gè)零的地址來(lái)說(shuō),大約需要40分鐘。我們做到了,并在不到48小時(shí)內(nèi)破解了0x0000000…99b的私鑰。”
—— Amber Group
在技術(shù)發(fā)展瞬息萬(wàn)變的Web 3.0世界,只需要兩天就能借助這一漏洞攻破一個(gè)Wintermute的DeFi交易錢包,其損失的1.62億美元也是今年因私鑰泄露而造成的第二大資金損失,僅次于Ronin。
目前問(wèn)題尚未得到解決:所有基于Profanity創(chuàng)建的錢包都存在風(fēng)險(xiǎn)。所有使用Profanity生成錢包的用戶都應(yīng)盡快將資產(chǎn)轉(zhuǎn)移到可離線生成密鑰的錢包中。
“私鑰管理安全是Web 3.0領(lǐng)域的一個(gè)基本要求。正如Profanity漏洞和其他多個(gè)私鑰泄露事件所顯示的那樣,密鑰生成或管理方面的任何弱點(diǎn)都會(huì)給Web 3.0用戶和應(yīng)用程序帶來(lái)災(zāi)難性的后果。”
—— 李康教授,CertiK首席安全官
黑客組織Lazarus Group
Lazarus Group一直是數(shù)字資產(chǎn)領(lǐng)域最持久、最有效的威脅者之一。除了讓他們凈賺5億多美元的Ronin Bridge漏洞外,這個(gè)由朝鮮國(guó)家支持的黑客組織在2022年還進(jìn)行了多次有利可圖的攻擊。最值得關(guān)注的是Operation In(ter)ception,Gate.io漏洞,和Harmony Horizon Bridge攻擊。In(ter)ception行動(dòng)是一個(gè)由Lazarus Group實(shí)施的求職欺詐廣告計(jì)劃,Lazarus在LinkedIn等網(wǎng)站上發(fā)布工作機(jī)會(huì),要求申請(qǐng)者下載一個(gè)部署有可執(zhí)行文件的PDF文件,然后這個(gè)惡意軟件使Lazarus的操作人員能夠針對(duì)受害者系統(tǒng)中的漏洞,竊取業(yè)內(nèi)員工的敏感信息。
Lazarus Group的活動(dòng)并不局限于數(shù)字資產(chǎn)領(lǐng)域:2014年他們就曾是黑過(guò)索尼影業(yè)和早期針對(duì)韓國(guó)和美國(guó)DDoS的幕后黑手。不過(guò)自從將注意力轉(zhuǎn)向Web 3.0以來(lái),該集團(tuán)的惡勢(shì)力影響力便增加了。由該團(tuán)伙“操刀”的2017年WannaCry勒索軟件攻擊是同類攻擊中規(guī)模最大的一次,影響了150個(gè)國(guó)家的30多萬(wàn)臺(tái)電腦,并要求以比特幣支付贖金。針對(duì)個(gè)人用戶的魚叉式釣魚攻擊和對(duì)韓國(guó)交易所的利用,為L(zhǎng)azarus Group帶來(lái)了數(shù)百萬(wàn)美元的收入。
Lazarus Group的活動(dòng)反面襯托了Web 3.0界中構(gòu)建和運(yùn)營(yíng)時(shí)安全的重要性。而DeFi平臺(tái)想要足夠安全,不僅要能抵御來(lái)自無(wú)良Solidity開(kāi)發(fā)者的攻擊,同時(shí)還能抵御來(lái)自世界上最有效的黑客的攻擊。否則,持有數(shù)億美元用戶資金的智能合約將繼續(xù)成為攻擊目標(biāo)。
揭開(kāi)黑市KYC演員
產(chǎn)業(yè)鏈面紗
KYC, 即了解你的客戶,也可以被稱為項(xiàng)目背景調(diào)查。項(xiàng)目開(kāi)發(fā)者可以選擇接受KYC驗(yàn)證,以便向他們的社區(qū)表明他們?cè)敢夤_(kāi)身份,并將身份和聲譽(yù)與他們提供的服務(wù)聯(lián)系起來(lái)以增加項(xiàng)目可信度。
然而,KYC演員行業(yè)顛覆了身份驗(yàn)證的正當(dāng)性。CertiK于不久前發(fā)布了一份關(guān)于KYC演員黑市買賣的采訪和調(diào)查報(bào)告。在黑市上,不到50人民幣的價(jià)格就可以購(gòu)買讓專業(yè)KYC演員代替你進(jìn)行驗(yàn)證的服務(wù)。因此不將這種潛在的演員替代風(fēng)險(xiǎn)考慮在內(nèi)的KYC是毫無(wú)意義的。
CertiK的KYC項(xiàng)目背景調(diào)查服務(wù)是一個(gè)深入調(diào)查的過(guò)程,由CertiK聘請(qǐng)的專家,利用他們的專業(yè)調(diào)查背景來(lái)提供最高水平的身份驗(yàn)證,因此不必?fù)?dān)心KYC有造假,風(fēng)險(xiǎn)也將從社群回歸到持有數(shù)百萬(wàn)或數(shù)十億美元用戶資金的項(xiàng)目開(kāi)發(fā)者身上。
而真正的去中心化協(xié)議,就是其開(kāi)發(fā)者已經(jīng)明確地放棄了對(duì)平臺(tái)的任何所有權(quán)。因此那些對(duì)用戶資金有著集中控制權(quán)的項(xiàng)目被社區(qū)要求進(jìn)行KYC,以增加透明度和信任度,是合乎情理的。
“今年,我們?cè)贑ertiK端到端安全服務(wù)中增加了定制的KYC項(xiàng)目背景調(diào)查服務(wù)。由于匿名創(chuàng)始人可能會(huì)有犯罪前科等問(wèn)題,團(tuán)隊(duì)也可能使用質(zhì)量參差不齊甚至是偽造的KYC認(rèn)證,許多用戶對(duì)Web 3.0團(tuán)隊(duì)缺乏信任,從而產(chǎn)生了實(shí)際問(wèn)題。我們將利用我們特定領(lǐng)域的知識(shí)和專長(zhǎng)來(lái)進(jìn)行項(xiàng)目團(tuán)隊(duì)審查,給團(tuán)員們進(jìn)行精準(zhǔn)和深入的身份審計(jì)。當(dāng)然,我們與社區(qū)分享該風(fēng)險(xiǎn)評(píng)估的的結(jié)果同時(shí)會(huì)絕對(duì)保護(hù)團(tuán)隊(duì)的隱私。”
—— Hugh Brooks,CertiK安全運(yùn)營(yíng)總監(jiān)
網(wǎng)絡(luò)釣魚攻擊
網(wǎng)絡(luò)釣魚攻擊仍是Web 3.0領(lǐng)域的持續(xù)威脅,而且欺詐者們的騙術(shù)也隨著道高一尺魔高一丈而變得越來(lái)越高超精湛。目前已有數(shù)百萬(wàn)美元價(jià)值的資產(chǎn)因?yàn)榫W(wǎng)絡(luò)釣魚而被盜。不僅是社群,個(gè)人用戶也成為了惡意軟件和惡意者的目標(biāo)。新型網(wǎng)絡(luò)釣魚方式層出不窮,而他們的詐騙行為均是利用了區(qū)塊鏈的不可逆性以及用戶的經(jīng)驗(yàn)缺乏。
比如最近新出的一種網(wǎng)絡(luò)釣魚方式,被稱為Ice Phishing騙局,通俗一點(diǎn)理解就是空手套白狼。它與傳統(tǒng)網(wǎng)絡(luò)釣魚攻擊不同,是Web 3.0獨(dú)有的攻擊類型。傳統(tǒng)網(wǎng)絡(luò)釣魚通常會(huì)通過(guò)一些手段獲得如私鑰或密碼等個(gè)人信息,而Ice Phishing則更多是為了欺騙用戶簽署權(quán)限,并授予惡意者任意花費(fèi)其資產(chǎn),但又無(wú)需獲取用戶的私鑰。Ice Phishing對(duì)Web 3.0的投資者來(lái)說(shuō)是相當(dāng)大的威脅,因?yàn)榕cDeFi協(xié)議的互動(dòng)需要用戶授予某些權(quán)限,而簽名到底授予了哪些權(quán)限人們并不總是百分之百清楚。
法律法規(guī)
各個(gè)國(guó)家(地區(qū))的法律法規(guī)條款詳情,請(qǐng)下載PDF版本進(jìn)行查看。
2022年度回顧
2022年,數(shù)字貨幣的市值損失了數(shù)萬(wàn)億美元,數(shù)百億美元被封鎖在中心化機(jī)構(gòu)已破產(chǎn)的程序中,而去中心化的協(xié)議損失了30多億美元,因此2022年的美好景象已很難描繪而出。
由于形勢(shì)的極端動(dòng)蕩,許多Web 3.0頭部大型參與者已經(jīng)消逝在歷史中,這包括了那些我們?cè)?jīng)以為無(wú)懈可擊的項(xiàng)目或平臺(tái)。不過(guò)幸存的大多數(shù)Web 3.0應(yīng)用程序和平臺(tái)仍在危機(jī)中緩緩前進(jìn),目前來(lái)看一切尚還維持著常態(tài)。
過(guò)去的12個(gè)月對(duì)整個(gè)行業(yè)都是一個(gè)重大的壓力測(cè)試,并不是所有的人都挺過(guò)來(lái)了。但是“殺不死你的會(huì)讓你變得更強(qiáng)大”,幸存者將吸取往日的教訓(xùn),搏出更具潛力的前景。
開(kāi)源、去中心化的系統(tǒng)為用戶提供了真正的好處,可以使互聯(lián)網(wǎng)成為一個(gè)更自由、更公平的地方,這是在建設(shè)數(shù)字未來(lái)時(shí)要牢記的愿景。但是,當(dāng)你的資產(chǎn)可能在頃刻之間被盜時(shí),公平和自由就毫無(wú)意義可言了。這就是為什么安全是至關(guān)重要的因素。而CertiK端到端的安全解決方案,為用戶和建設(shè)者提供了他們需要的工具,使得用戶可以安全地瀏覽新興的Web 3.0世界。
安全是一種選擇,為了將Web 3.0的優(yōu)勢(shì)帶給最廣泛的用戶群體,我們無(wú)疑需要做出這種選擇。
2022年是艱難的一年,但艱難的時(shí)刻已經(jīng)過(guò)去。現(xiàn)在正是時(shí)候以全新且樂(lè)觀的態(tài)度展望行業(yè)的未來(lái)。
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
