WEB:半年被盗 20 亿美金 黑客与监管都盯上了 Web3_区块链技术通俗讲解简书

作者：雪小顽

2022 年是 Web3 崛起以来，损失最惨重的一年。

Web3 这一个月来风波不断。

8 月初，明星公链 Solana 发生黑客盗币事件，超过 9000 个钱包地址被袭击，损失约 400 多万美元，在用户中引发了一波恐慌情绪，也让 Solana 陷入信用危机。

几天后，加密货币混币器 Tornado Cash 被美国财政部的下属机构——海外资产控制办公室（OFAC）列入制裁名单，其中包括 40 多个与 Tornado Cash 协议相关的以太坊地址，涉及价值超 4 亿美元的资产被冻结。

定位于隐私服务的混币器，在加密社区的名声一直备受争议，其中的「头部」Tornado Cash 更是有「脏币销金窟」之称。

Tornado Cash 被美国财政部制裁后，其代币价格大幅下降。｜来源：business2community.com

这次制裁意味着美国的社区用户，无论个人还是实体，都不得再与 Tornado Cash 平台以及和它绑定的钱包地址进行经济交易。按照过往的案例，如果违规，可能面临高达 30 多万美元的罚款和最高 30 年的监禁。

Coinbase风投部门上半年完成37笔交易，在企业风投基金中仅次于谷歌和Salesforce:市场研究公司CB Insights数据显示，Coinbase风投部门Coinbase Ventures上半年完成37笔交易，超过去年全年交易数量近一倍，在企业风投基金中排名第三，仅次于谷歌（64笔）和Salesforce（59笔）。Coinbase Ventures投资了打造去中心化衍生品交易网络的Vega Protocol、比特币自我托管公司Casa，以及交易公司Fractal等初创公司。企业风投指的是直接将企业资金投资于外部初创公司，由于许多企业资金雄厚，更有可能达成大额交易。（Benzinga）[2021/8/9 1:43:46]

紧接着，外媒曝出 29 岁的 Tornado Cash 开发者在荷兰阿姆斯特丹被逮捕，当地执法部门称 Tornado Cash 涉嫌隐瞒非法资金流动和协助，从今年 6 月份开始一直在对其进行调查。

Tornado Cash 被制裁，在加密行业引发「站队」。有人公开表达不满，认为美国财政部监管越界，侵犯了美国公民的隐私权和自由；也有人带头响应监管，稳定币 USDC 的发行方 Circle 迅速冻结了 Tornado Cash 相关钱包地址上的资产。

Web3 正面临着崛起以来最严峻的安全考验与审查压力。2022 年上半年，Web3 领域的资产损失约为 20 亿美元，超过了去年全年被黑客攻击的总损失数额。随之而来的连锁反应是，监管执法之手越伸越长。

星云发布下半年研发路线图 包括将支持以太坊资产跨链等:星云基金会今日发布下半年研发路线图，重点是去中心化金融服务，包括：1.Link.nextDAO跨链资产：支持以太坊资产跨链；2.Swap.nextDAO去中心化闪兑交易：提供自动做市和流动性，允许自由创建交易对；3.Market.nextDAO去中心化借贷：资产在用户手中，去中心化抵押资金池，规避智能合约资产安全风险；4.DeFi APP：NAS nano pro升级版，移动端星云生态入口升级；5.PoD链上治理升级。[2020/8/10]

人们的惯常认知中，强调去中心化逻辑的 Web3 本应拥有更强的安全性和私密性，如今却被黑客和监管双双盯上。加密世界正经历着对其未来命运影响深远的动荡时刻。

黑客打劫 Solana：

一场悬而未决的「公案」

距离 Solana 发生黑客盗币时间已经过去半个多月，官方依然没有给出最终的调查结果。

区块链安全公司慢雾科技团队分析发现，根据 Solana foundation 提供的数据显示，近 60% 被盗用户使用的是 Phantom 钱包，此外有 30% 左右地址使用了 Slope 钱包，并且 iOS 和 Android 版本的应用都有相应的受害者。

事发 3 天后，Slope 曾在 twitter 上发布了一个官方钱包地址，并公开表示，一直在与执法部门和情报公司合作追踪被盗资产，如果黑客愿意归还，可以向其支付 10% 的赏金。「收回这些资金后，我们就不会再继续追究，也不会采取任何法律行动。」

PlanB更新库存流量模型预计比特币下半年暴涨，此轮牛市峰值将达28.8万美元:推特上著名的加密分析师PlanB周三更新了他的库存流量模型，新的数据显示，目前比特币的价格仍在按照该模型预计的发展。如果模型正确，比特币的价格在2020年底之前就将上涨，向其预测的此轮牛市峰值28.8万美元进发。

PlanB认为，和黄金一样，比特币的价值来自其“稀缺性”，其稀缺性直接驱动了比特币的价值。他通过库存流量比对这一指标进行量化，并同比特币的美元市值进行了比较。最终，他认为二者间存在明显的相关性。[2020/7/2]

Slope 团队给黑客留了 48 小时的时间来归还资产，但这个赏金要约并未得到黑客的回应。

Slope 钱包官方向黑客发出赏金要约。｜来源：twitter

硬件钱包 Keystone 创始人刘力心还记得，事发当天，他被拉进了一个有 100 多位白帽黑客的「war room」，安全专家们讨论了事件可能的经过。

「最初的猜测是某个 NFT 项目被集体攻击。」刘力心回忆，从被黑的钱包地址数量来看，八九千个的量级通常是某个 NFT 项目发行的常见数量，最初的猜测是某个 NFT 项目方作恶，例如进行了恶意授权。

动态 | 2019年下半年或将成为韩国区块链实现高速发展的关键节点:谷歌趋势数据显示，在上一周的搜索热度中，韩国已成为全球“blockchain”搜索热度最高的国家。2019年下半年或将成为韩国区块链实现高速发展的关键节点。9月刚过半，韩国互联网、通讯、娱乐领域的巨头企业就纷纷推出了各自发行代币的计划。

2017年的9月，韩国金融服务委员会（FSC）表示，禁止所有形式的代币融资（ICO），韩国成为继中国之后叫停ICO的第二个国家。其后，2018年6月禁令被正式解除，可ICO仍要面临较为严苛的监管，代币发行受到极大限制。与此同时，不知是否受到大企业布局的影响，韩国公众也对区块链有了更多的关注。两年时间流转，韩国巨头企业却已纷纷从代币发行的角度，开始构建区块链产业，并在逐步加快区块链的发展步伐。（互链脉搏）[2019/9/20]

但这个猜测很快被否定。安全技术人员发现，有几笔被盗交易的发生是由于用私钥做签名，而不是错误授权导致资产转移。接下来，关于事故原因的猜测还有供应链攻击、黑客撞取随机数、采取不恰当的签名方式等等，随后也都被一一推翻。

当天下午，一位海外研究人员发现，Solana 链上的 Slope 钱包私有化部署了第三方应用监控服务 Sentry，会收集用户的私钥或助记词等信息，然后上传到中心化的服务器。

Sentry 是一个应用监测平台，可以实时监控应用在运行状态时出现的异常或错误日志信息。如果 Sentry 发现了系统 bug，会通过邮件等方式通知应用方的技术人员。

金色财经现场报道 ALEX YE：2018年下半年一定是服务载体的竞争:在GBLS全球无眠区块链领袖峰会上，孔明屋首席执行官ALEX YE表示：我是创业十年，从产生的实验到电商以及PC互联网发展、微商、红商以及区块链整个过程当中，我们发现所有的升级都是基于服务载体的升级。什么是服务载体？就是我们阿里云、腾讯云，包括我们的移动公司物联网的服务平台服务载体，所有应用升级和发展都是基于什么？服务载体和平台。今天基于区块链的服务平台是什么？就是共链，我们基于和约、算例、带宽所有东西来做的升级和发展。所以未来竞争我大胆预测一下，2018年下半年一定是服务载体的竞争，哪些共链来做行业的价值，那么一定会率先突围。[2018/6/6]

在加密世界，Sentry 服务被广泛应用，Slope 钱包就是其一。但使用 Sentry 时需要注意一个问题，如果出现了配置错误，Sentry 可能会收集到额外的数据，如私钥或助记词等私密信息。

安全专家们推测，在 Solana 盗币事件中，用户创建钱包时，Slope 将助记词和私钥等敏感数据错误发送给了 Sentry。这给黑客提供了可乘之机，黑客窃取了存储在 Sentry 中心化服务器上的私钥。

经过调查后，Slope 发布声明称，虽然上述安全漏洞确实存在，但被攻击的 Slope 地址的数量只是这次被盗钱包地址总数的一小部分。目前也暂无证据表明 Sentry 官方遭到了入侵和攻击，因为 Slope 钱包使用的 Sentry 服务部署在私有服务器。

此外，具体数据来看，服务器上的私钥和助记词派生出来的地址中，与受害者地址有交集的，只有 5 个以太坊地址和 1388 个 Solana 地址。也就是说，Slope 此次被黑的超过 2700 个钱包中只有一半存在 Sentry 漏洞，这无法解释其余用户钱包是如何被黑的。

就已经掌握的调查结果来看，已知的攻击者地址有 4 个，被盗资产在 Solana 链上尚未出现进一步转移，但在 ETH 链上，一些资金已经被转移到疑似 OTC 个人钱包地址，剩余部分被兑换为 ETH 后，转移到了 Tornado Cash。

Web3「危机四伏」

在这次 Solana 被袭同期，跨链桥 Nomad Bridge 也受到攻击。值得注意的是，参与攻击 Nomad Bridge 的黑客有上百位，甚至包含了「白帽子」，损失近 2 亿美元。

慢雾科技首席信息安全官（CISO）张连锋告诉极客公园，目前对 Web3 的攻击类型主要有两种：

一是链上攻击，例如假充值、重入攻击、重放攻击、重排攻击等。这类攻击往往更加隐秘，需要通过专业的代码安全审计、完备的链上分析监测预警等方法来识别。

二是链下攻击，如高级长期威胁（APT）、网络钓鱼、供应链攻击等。这类都是传统 Web2 常见的安全问题，但是目前却对 Web3 生态安全产生了很大影响。

今年 4 月，周杰伦丢失价值超 300 万人民币的无聊猿编号 3738 的 NFT，就是因为无意中点击了钓鱼链接。

周杰伦被盗的无聊猿 NFT。｜图片源自网络

Web3 自带金融属性，金钱的诱惑下，更容易被黑客盯上。随着 Web3 玩家的体量不断扩大，加密货币犯罪也呈现快速上涨趋势。

根据慢雾区块链被黑事件档案库（SlowMist Hacked）统计，2022 年上半年，Web3 领域的资产损失接近 20 亿美元，已经超过 2021 年全年因黑客攻击漏洞造成的总损失。

2022 年因此被称作「Web3 兴起以来损失最惨重的一年」。其中，以去中心化程度低、流动资金量大的跨链桥受损最为严重。

截至 6 月 30 日，今年共发生 7 起跨链桥安全事件，损失超过 10 亿美元，占上半年总资产损失的半数以上。在上半年损失金额达到上亿美元的 4 起事件中，有 3 起波及跨链桥。

比较有代表性的是区块链游戏 Axie Infinity 的侧链 Ronin Network 被袭，造成 6.24 亿美元的损失，以及 Solana 的跨链桥项目 Wormhole 被攻击，损失 3.26 亿美元。

除了跨链桥，区块链钱包也是安全事件发生的「重灾区」。

钱包是用户管理加密资产的工具，也是用户进入各类 Web3 应用的账户入口，加密世界的交互和交易通过钱包来进行。

钱包包含着基于公钥和私钥生成的地址，表面上看是一组有字母、数字构成的符号串。其中的私钥可以对照理解为 Web2 支付工具的密码，掌握这个「密码」的人才是加密资产的真正主人。

所以，私钥一般是黑客攻击窃取的关键信息。通常来说，大部分钱包都会与网络连接，私钥泄露的风险系数较高。

加密货币被黑客盗取后，主要流向就是场景，以混币器为代表性「帮凶」。

从隐私保护出发的混币器，本来的设想是消除用户的链上交易痕迹，却被黑客用作转移被盗资产后的工具。不久前被制裁的 Tornado Cash 自 2019 年创建以来，已经「清洗」了价值超过 70 亿美元的虚拟货币。

今年 5 月份的时候，美国曾经制裁了中心化混币平台 Blender，理由是 Blender 涉嫌帮助朝鲜知名黑客组织 Lazarus Group 清洗从 Axie Infinity 盗取的部分资产。

Lazarus Group 是一个来自朝鲜的网络黑客集团，在 2021 年共窃取了价值超 4 亿美元的加密货币。｜来源：bleepingcomputer.com

以美国政府为代表的监管势力盯上混币器，黑客们的如意算盘未来或许打得不那么响。制裁犯罪固然重要，但另一个关键的问题是，加密世界亟需更优化的安全方案，在财产、隐私保护与犯罪监管之间寻求平衡。

无论对浅试 Web3 的个体玩家还是 All in 的建设者来说，在通向一个美丽新世界之前，先要走过一片遍布安全陷阱的暗黑森林。

极客公园

个人专栏

阅读更多

金色早8点

Bress

PANews

链捕手

财经法学

成都链安

Odaily星球日报

区块律动BlockBeats

标签：WEBWEB3ENT区块链Web 3 Developmentweb3域名后缀GreenTrust Token区块链技术通俗讲解简书

以太坊价格热门资讯