今年以来,黑客攻击事件频繁,仅10月20日到10月25日就发生了5余起安全事件,这还是除去各类的钓鱼网站、虚假账户以及项目方跑路等安全事件。那么,今年哪些板块和生态黑客攻击事件最为频繁?最近加密领域又有哪些安全事件值得注意?这些安全事件折射出加密市场有哪些亟需弥补的短板?未来Web3将朝着哪些方向发展?作为用户,我们又能做些什么来保证我们的资产安全呢?本文将就这些问题进行探讨。
加密世界愁云惨淡,下半年黑客攻击异常猖獗
今年毫无疑问是加密市场的熊市之年,不少散户和项目方本就因币价下跌而损失惨重,可“屋漏偏又逢阴雨”,整个加密市场又不断遭受黑客“洗劫”。到了今年下半年,黑客攻击更是异常猖獗,下面就将今年主要黑客攻击事件进行汇总梳理。
美国政府对FTX破产后遭遇的黑客攻击事件展开调查:金色财经报道,美国政府对FTX破产后遭遇的3.7亿美元黑客攻击事件展开调查。[2022/12/28 22:11:13]
据派盾数据统计,2022年上半年黑客攻击总共加密市场总损失达11.3599亿美元,其中大约53%的攻击是利用合约漏洞,大约26.6%的攻击涉及闪电贷。从黑客攻击领域看,大约71%的攻击发生在DeFi领域,受多方面因素影响,DeFi市场TVL从1月初的2760亿美元下降到6月底的800亿美元,下降了71%。
进入到今年三季度,黑客事件更是频发。从攻击类型看,加密市场总共发生98起退出局,共计损失5619万美元,发生23起闪电贷攻击,共计损失1737万美元,发生50起其他攻击事件,共计损失4.3亿美元。从生态系统上看,BNBChain生态黑客安全事件最多,共发生105起,其次是以太坊生态,共发生25起,黑客攻击造成生态损失最大的是Multichain,共发生6起事件,共计损失3.53亿美元。从时间上看,7月发生59起安全事件,8月发生56起安全事件,9月发生53起安全事件。十月也是多事之秋,仅10月20日到10月25日就发生了5余起,这还是除去各类的钓鱼网站、虚假账户以及项目方跑路等安全事件,以下是近期相对典型的安全事件:
黑客攻击以色列芯片商TSEM并索要数十万美元比特币赎金:黑客向以色列纳斯达克上市无线芯片和摄像头传感器制造商Tower Semiconductor Ltd(TSEM)进行勒索软件攻击,并索要数十万美元比特币赎金。为了安全起见,TSEM关闭了一些正在运行的服务器,并暂停了部分工厂的生产。(U.Today)[2020/9/7]
10月20日,以太坊闹钟服务漏洞被利用,导致约26万美元被黑客盗取。
10月23日,Optimism生态投资项目Layer2DAO遭遇黑客攻击,黑客通过获取Layer2DAO的多重签名权限盗走约4995万枚L2DAOToken并将部分抛售,使得L2DAO价格一度下跌约90%。
10月24日,SBF发推称一些用户在虚假网站上注册交易,并泄露了自己的FTXAPI密钥。
动态 | 曾遭受黑客攻击的Bitpoint重启业务,8月9日推出保证金交易:七月中旬遭受黑客攻击、并且损失了2800万美元加密货币的日本交易所Bitpoint正在恢复其交易服务。在对旗下加密货币钱包进行完全评估之后,Bitpoint在8月6日重启了法定货币存取款服务,同时此前遭受黑客攻击的钱包将不再使用。另外,Bitpoint透露将从8月9日开始推出保证金交易服务,现货交易将于8月13日开始。(Coindesk)[2019/8/6]
10月24日,QuickSwap因闪电贷攻击损失22万美元。
10月25日,Web3音乐项目Melody合约受到黑客攻击,代币SNS被盗。
动态 | Bitrue遭黑客攻击 失窃930万枚XRP及250万枚ADA:据加密货币平台Bitrue官推消息,6月27日凌晨1点(EMT+8)左右,一名黑客利用该平台风险控制团队二次审查过程中的一个漏洞,访问了大约90位Bitrue用户的个人资金。黑客通过攻击进入Bitrue热钱包,将930万XRP和250万ADA转移到不同的交易所。 Bitrue官方表示,在发现黑客攻击后已暂停了服务,并向火币、Bittrex等资金接收方通报了情况。情况已得到控制,资金损失将100%返还用户,Bitrue正在重新审核其安全措施和政策,以确保这种情况不会再次发生。[2019/6/27]
Web3安全该如何保障,听一听行业大V的建议
在Web2向Web3的发展过程中,区块链带来了诸多好处,比如公开透明、自己掌控资产和数据等;但是,合约代码开源、链上数据不可篡改以及权力下放等似乎又给了黑客可乘之机。那么该如何看待区块链技术这把双刃剑?未来Web3的安全问题又该如何解决呢?笔者整理了部分行业KOL的观点,供读者参考。
分析 | 3月共发生20起黑客攻击事件,总损失超1.3亿元:据PeckShield态势感知平台04月01日数据显示,过去一个月,共计发生20起黑客攻击事件,涉及竞猜类DApp、交易所等,包含EOS、BTC、ETH、USDT等数十种数字资产,累计总价值131,645,989 元。其中较为重大的为两起黑客攻击交易所事件:DragonEX龙网交易所被盗损失超4,000万元;韩国Bithumb交易所被盗损失近9,000万元。其余DApp类安全事件共计发生18起,损失70,384个EOS。PeckShield安全人员提醒,近期黑客攻击事件有逐渐从DApp转移至交易所的迹象,黑客团伙攻击也更加猖獗,攻击所致损失的资金额度和带来的社会危害都较为重大。同时在此希望广大区块链生态伙伴,尤其是交易所和DApp开发者应注意加强数字资产保护,做好相应的安全风控举措,避免给用户带来数字资产损失。[2019/4/1]
Polygon首席安全官MuditGupta认为,完美的代码和密码学是不够的,希望Web3公司聘请传统安全专家来结束容易预防的黑客攻击。最近发生的几起加密攻击最终是Web2安全漏洞的结果,例如私钥管理和网络钓鱼攻击以获取登录信息,而不是设计不良的区块链技术;在不采用标准Web2网络安全实践的情况下获得经过认证的智能合约安全审计并不足以保护协议和用户的钱包不被攻击。我一直建议所有大公司至少聘请一位真正重视密钥管理的专门安全人员。
Beosin安全团队子玉表示,一定要对运维等内部人员做好安全培训,因为人其实是安全环节里最充满可变性和不稳定性的一个环节;前阵子有一个跨链桥遭受了攻击,当时大家都以为是私钥被盗/泄露了,结果后来发现是社工钓鱼。团队中的一个工程师想找工作,随后收到了一个高薪offer,当他打开offer文档时,电脑就被入侵了,导致了数据泄露。
BAICapital合伙人Will表示:这个行业强调codeislaw,立法和执法都是没有的。之前的Web3用户以程序员为主,大家需要对自己完全负责。现在用户圈层逐渐扩大到了小白,这类用户是带着传统移动端时代对于应用的盲性/体验上的惯性来到Web3的。所以我觉得安全问题更应该是面向C端解决的,在开发者端、网站端和项目端也需要有安全对策。
安全公司TrailofBits前顾问、数字支付公司安全工程师BobbyTonic认为,对于Web3公司来说,最重要的是了解系统技术的复杂性以及确保其应用程序设计的正确性。对于Web3组织而言,不能保证代码的复杂性和正确性会产生灾难性的后果,因为攻击者可以随时查看其系统和应用程序的源代码。因此,Web3将他们开发的应用程序提交给第三方安全研究公司进行审查已经成为了一种共识:即向用户承诺该应用已经通过了安全测试,可以放心使用。
给用户的一些小建议
在Web3世界,权力下放到用户手中,要想在Web3世界中畅游,安全意识是必不可少的。笔者在此给出一些安全指南,希望可以给刚进入行业的小白一些帮助。
在钱包的使用方面:1、邮箱密码要至少12位以上,并且开启二步验证;2、不要告诉任何人你的任何数字货币信息;3、使用硬件钱包管理账户;4、注意使用chrome插件;5、使用VPN保护你的连接免受窥探者的侵害;6、使用2FA;7、把日常用钱包和主要钱包分开;8、经常换钱包;9、结合使用冷热钱包。
另外,用户也要持续保持防范意识,谨防假网站钓鱼、电信、跑路风险等类型。对所参与项目的最新进展可以多加关注,日常刷刷官方通告渠道或社区,一旦有技术升级、产品更新、服务暂停、漏洞预警或事故披露,也能第一时间获悉,并行动起来保护资产。
作者:比推AsherZhang
作者:Jaran?Mellerud,AndersHelesth 编译:TSEKate 供热领域是全球最大的能源终端消费领域.
不出意外的话,以太坊Layer2扩容解决方案zkSync将于今日正式上线2.0主网。作为zkEVM兼容的L2区块链,此次升级或将成为整个Layer2尤其是zkEVM试金的开端.
10月31日消息,香港金融科技周10月31日开幕,新世界发展行政总裁郑志刚发表演讲时表示,香港将能拥抱三大机遇,成为独一无二的全球虚拟资产中心.
原文:《对话总结——从基础设施到应用,SocialFi的逻辑和机会在哪里?》 作者:北辰 链茶馆联合51区在上周六举办了主题为「SocialFi起飞,卡在哪儿了?」的线下闭门聚会.
我很悲观,因为我相信使用批发模式的CBDC将在所有主流经济体推出。因为他们已无路可走,不使用这样的工具来安抚平民,从财政上压制贵族,就无法走出通胀的困境.
1.金色观察|BitwiseQ3季度报告:你需知道的5个市场趋势加密货币的积极价格趋势得到了普遍积极的社会舆论支持.