月亮链 月亮链
Ctrl+D收藏月亮链

WEB:黑客攻击频频 Web3的安全在哪里?_哪个不是区块链特性

作者:

时间:1900/1/1 0:00:00

今年以来,黑客攻击事件频繁,仅10月20日到10月25日就发生了5余起安全事件,这还是除去各类的钓鱼网站、虚假账户以及项目方跑路等安全事件。那么,今年哪些板块和生态黑客攻击事件最为频繁?最近加密领域又有哪些安全事件值得注意?这些安全事件折射出加密市场有哪些亟需弥补的短板?未来Web3将朝着哪些方向发展?作为用户,我们又能做些什么来保证我们的资产安全呢?本文将就这些问题进行探讨。

加密世界愁云惨淡,下半年黑客攻击异常猖獗

今年毫无疑问是加密市场的熊市之年,不少散户和项目方本就因币价下跌而损失惨重,可“屋漏偏又逢阴雨”,整个加密市场又不断遭受黑客“洗劫”。到了今年下半年,黑客攻击更是异常猖獗,下面就将今年主要黑客攻击事件进行汇总梳理。

据派盾数据统计,2022 年上半年黑客攻击总共加密市场总损失达 11.3599 亿美元,其中大约 53% 的攻击是利用合约漏洞,大约 26.6% 的攻击涉及闪电贷。从黑客攻击领域看,大约 71% 的攻击发生在 DeFi 领域,受多方面因素影响, DeFi 市场 TVL 从 1 月初的 2760 亿美元下降到 6 月底的 800 亿美元,下降了 71%。

报告:日本因朝鲜加密黑客攻击而遭受的损失占全球的30%:金色财经报道,根据区块链分析公司Elliptic的一项研究,日本因朝鲜加密货币黑客攻击而造成的损失居世界首位,占总数的30%。根据 2022 年估计损失的 6.4 亿美元加密货币,日本在这些攻击中遭受了 7.21 亿美元的损失,占全球总损失 23 亿美元的 30%。

根据该报告,越南是第二大受攻击的国家,在此期间损失了 5.4 亿美元。美国以 4.97 亿美元的损失位居第三,香港以 2.81 亿美元的损失位居第四。[2023/5/16 15:04:39]

进入到今年三季度,黑客事件更是频发。从攻击类型看,加密市场总共发生98起退出局,共计损失5619万美元,发生23起闪电贷攻击,共计损失1737万美元,发生50起其他攻击事件,共计损失4.3亿美元。从生态系统上看,BNB Chain生态黑客安全事件最多,共发生105起,其次是以太坊生态,共发生25起,黑客攻击造成生态损失最大的是Multichain,共发生6起事件,共计损失3.53亿美元。从时间上看,7月发生59起安全事件,8月发生56起安全事件,9月发生53起安全事件。十月也是多事之秋,仅10月20日到10月25日就发生了5余起,这还是除去各类的钓鱼网站、虚假账户以及项目方跑路等安全事件,以下是近期相对典型的安全事件:

Coinspect Security已确定Algorand生态钱包MyAlgo遭黑客攻击的根本原因:3 月 19 日消息,区块链安全公司 Coinspect Security 发文表示,通过与 Algorand 钱包 MyAlgo 合作,已确定 MyAlgo 被黑客攻击的根本原因,即将官宣具体信息。目前,攻击不再活跃、没有利用应用程序错误或易受攻击的代码库、不要滥用浏览器功能(例如自动填充)、私钥加密并不弱、开源 MyAlgo 组件不受影响。此外,攻击者解密私钥是因为他们获得了密码,而不是由于加密漏洞,针对受影响用户,建议立即更改钱包密码,切勿重复使用。[2023/3/19 13:12:50]

10月20日,以太坊闹钟服务(Ethereum Alarm Clock)漏洞被利用,导致约 26 万美元被黑客盗取。

10月23日,Optimism生态投资项目Layer2DAO遭遇黑客攻击,黑客通过获取Layer2DAO的多重签名权限盗走约4995万枚L2DAO Token并将部分抛售,使得L2DAO价格一度下跌约90%。

报告:2020年区块链黑客攻击次数有所减少:根据VPN提供商Atlas VPN近日发布的报告,2020年与加密货币和区块链相关的黑客攻击一直在减少。报告指出,2019年是区块链黑客攻击次数创纪录的一年,2019年上半年成功的黑客攻击达到94次,而在2020年上半年有31次。与此同时,报告称,由于2020年还没有结束,预计在年底之前还会发生更多与区块链相关的违规行为。不过,根据历史数据,2020年似乎不会达到2019年的纪录高点,而区块链黑客攻击的次数将继续减少。(腾讯网)[2020/11/3 11:29:56]

10月24日,SBF发推称一些用户在虚假网站上注册交易,并泄露了自己的FTX API密钥。

10月24日,QuickSwap因闪电贷攻击损失22万美元。

10月25日,Web3音乐项目Melody合约受到黑客攻击,代币SNS被盗。

动态 | EOS竞猜类游戏遭遇黑客攻击 损失2000枚EOS:Beosin成都链安预警:近日,根据成都链安区块链安全态势感知系统检测发现,攻击者xs***z及所属多个子账号,在几天内持续对某竞猜类游戏进行攻击并获利2000枚EOS,已于昨晚将盈利转入big.one交易所。经过成都链安技术团队详细分析,攻击者使用的攻击手法仍为通过交易堵塞攻击链上随机数,值得一提的是此次攻击者为了躲避检测,使用了模拟挖矿的方式进行攻击,每次获利仅0.1EOS左右,使得安全检测难度增加。Beosin成都链安在此提醒所有EOS 合约开发者关注合约安全,不要使用不安全的随机数方案。[2019/2/21]

Web3安全该如何保障,听一听行业大V的建议

动态 | 韩国Allstarbit否认遭受黑客攻击:今日韩国虚拟货币交易所Allstarbit发布公告,对个人资料流出进行致歉。但是对于是否遭受黑客攻击的问题进行解答时称,虽然个人资料流出,但并不是遭受黑客攻击’。[2018/10/18]

在Web2向Web3的发展过程中,区块链带来了诸多好处,比如公开透明、自己掌控资产和数据等;但是,合约代码开源、链上数据不可篡改以及权力下放等似乎又给了黑客可乘之机。那么该如何看待区块链技术这把双刃剑?未来Web3的安全问题又该如何解决呢?笔者整理了部分行业KOL的观点,供读者参考。

Polygon首席安全官Mudit Gupta认为,完美的代码和密码学是不够的,希望Web3公司聘请传统安全专家来结束容易预防的黑客攻击。最近发生的几起加密攻击最终是Web2安全漏洞的结果,例如私钥管理和网络钓鱼攻击以获取登录信息,而不是设计不良的区块链技术;在不采用标准Web2网络安全实践的情况下获得经过认证的智能合约安全审计并不足以保护协议和用户的钱包不被攻击。我一直建议所有大公司至少聘请一位真正重视密钥管理的专门安全人员。

Beosin安全团队子玉表示,一定要对运维等内部人员做好安全培训,因为人其实是安全环节里最充满可变性和不稳定性的一个环节;前阵子有一个跨链桥遭受了攻击,当时大家都以为是私钥被盗/泄露了,结果后来发现是社工钓鱼。团队中的一个工程师想找工作,随后收到了一个高薪 offer,当他打开 offer 文档时,电脑就被入侵了,导致了数据泄露。

BAI Capital合伙人Will表示:这个行业强调 code is law,立法和执法都是没有的。之前的 Web3 用户以程序员为主,大家需要对自己完全负责。现在用户圈层逐渐扩大到了小白,这类用户是带着传统移动端时代对于应用的盲性/体验上的惯性来到 Web3 的。所以我觉得安全问题更应该是面向C端解决的,在开发者端、网站端和项目端也需要有安全对策。

安全公司 Trail of Bits 前顾问、数字支付公司安全工程师Bobby Tonic认为,对于Web3公司来说,最重要的是了解系统技术的复杂性以及确保其应用程序设计的正确性。对于 Web3 组织而言,不能保证代码的复杂性和正确性会产生灾难性的后果,因为攻击者可以随时查看其系统和应用程序的源代码。因此,Web3 将他们开发的应用程序提交给第三方安全研究公司进行审查已经成为了一种共识:即向用户承诺该应用已经通过了安全测试,可以放心使用。

给用户的一些小建议

在Web3世界,权力下放到用户手中,要想在Web3世界中畅游,安全意识是必不可少的。笔者在此给出一些安全指南,希望可以给刚进入行业的小白一些帮助。

在钱包的使用方面:1、邮箱密码要至少12位以上,并且开启二步验证;2、不要告诉任何人你的任何数字货币信息;3、使用硬件钱包管理账户;4、注意使用chrome插件;5、使用VPN保护你的连接免受窥探者的侵害;6、使用2FA(谷歌验证器);7、把日常用钱包和主要钱包分开;8、经常换钱包;9、结合使用冷热钱包。

另外,用户也要持续保持防范意识,谨防假网站钓鱼、电信、跑路风险等类型。对所参与项目的最新进展可以多加关注,日常刷刷官方通告渠道(官网、Twitter 等)或社区(Discord、TG 等),一旦有技术升级、产品更新、服务暂停、漏洞预警或事故披露,也能第一时间获悉,并行动起来保护资产。

作者:比推Asher Zhang

比推 Bitpush News

媒体专栏

阅读更多

金色早8点

1435Crypto

区块律动BlockBeats

吴说区块链

金色财经

blockin

Block unicorn

Foresight News

Odaily星球日报

Bankless

DeFi之道

标签:WEBWEB3区块链EOSMETAWEB3PA价格WEB3Token哪个不是区块链特性eosdac币有发展前景吗

以太坊价格热门资讯
EFI:Bankless:FTX的失败是我们需要更多DeFi的原因_WDEFI价格

撰写:Donovan Choy编译:深潮 TechFlow“FTX 的失败宣告了 DeFi 的失败.

1900/1/1 0:00:00
BSP:缺乏透明度 加密市场变革迫在眉睫?_BSPAY

无论如何,变革即将到来,让这个行业的领导者以负责任的方式推动变革至关重要。回顾近几年的加密行业发展,10年期间美国政府债券收益率在10月上涨了近70个基点,从10月初的3.65%再到即将月末的4.

1900/1/1 0:00:00
FTX:SBF推出的《数字资产行业标准草案》 包含哪些行业共识?_DEF

原文作者:SBF, FTX创始人原文编译:Leo,BlockBeats以下为全文内容:该文件包含了一套标准草案,加密作为一个行业应该颁布这些标准,在等待完整的联邦监管制度的同时.

1900/1/1 0:00:00
比特币:晚间必读5篇 | 我所理解的Layer0、1、2层到底是什么?_BeatGen NFT

1.观点: 我所理解的Layer0、1、2层到底是什么?Web3 一直是一个概念新词满天飞的领域,所以我斗胆用一篇文章尝试为大家讲讲我所理解的 Layer0、1、2.

1900/1/1 0:00:00
加密货币:万字长文:CEX 纷纷暴雷 如何保障你的加密资产安全?_APP

作者:Binance 团队安全性是至关重要的。虽然这是一个显而易见的事实,但我还是很痛苦地看到大多数普通人都缺乏安全意识.

1900/1/1 0:00:00
CAR:Cardano的DApp生态风起 Haskell会否是下一个「MOVE」?_CARD

原文来源:Adaverse Asia9 月 22 日,Cardano 主网 Vasil 硬分叉升级成功激活,此次升级对 Cardano 的自定义智能合约语言 Plutus 进行了重大改进.

1900/1/1 0:00:00