2022年第三季度,黑客从Web3.0领域中盗取了总价值约5亿美元的资产,这个数字相比上季度减少了32.32%,同时今年的损失总额增长至28.8亿美元。
第三季度共发生了98起退出局,导致了5619万美元的资产损失,23起闪电贷攻击则导致了1737万美元的资产损失。
仅6起多链安全事件造成的高达4.3亿美元的损失金额就占到了本季度总损失的85.3%。
第三季度CertiK审计的Web3.0项目数量新增了537个,同时CertiK审计的项目总数达到了4737个。37个Web3.0项目成功通过KYC项目背景调查,47个项目入驻CertiKSkynet。
截至目前,2022年CertiK已完成了183个项目的KYC项目背景调查服务,同时有846个新的Web3.0项目入驻CertiKSkynet。?
第三季度攻击损失清单
①以攻击类型分类
98起退出局,共计损失5619万美元
23起闪电贷攻击,共计损失1737万美元
50起其他攻击事件,共计损失4.3亿美元
②?以生态系统分类
Avalanche:4起事件,共计损失316万美元
BNBChain:105起事件,共计损失5389万美元
Ethereum:25起事件,共计损失2838万美元
Fantom:2起事件,共计损失39万美元
Multichain:6起事件,共计损失3.53亿美元
Polygon:3起事件,共计损失106万美元
Solana:4起事件,共计损失2102万美元
其他/非区块链:11起事件,共计损失531万美元
③以时间分类?
7月:59起事件,共计损失6673万美元
8月:56起事件,共计损失2.55亿美元
9月:53起事件,共计损失1.82亿美元?
SoFi Bank Q2报告:拥有价值1.7亿美元的加密货币:金色财经报道,总部位于旧金山的SoFi Bank拥有620万客户,该银行在第二季度收益报告中透露,拥有价值1.7亿美元的加密货币。
持有比特币、以太坊、莱特币、卡尔达诺、solana,狗狗币和ETC。他们拥有8200万美元的比特币和5500万美元的以太坊,其中狗狗币位居第三,价值近500万美元,卡尔达诺位居第四,价值450万美元。[2023/8/10 16:17:59]
概要
7月是今年到目前为止安全态势最为良好的一个月,黑客攻击、行为、漏洞利用和其他安全事件仅造成了6600万美元损失,但该数量在之后两个月内再次攀升。8月总损失的74%源于NomadFinance跨链桥攻击事件,而9月总损失的89%源于做市商Wintermute钱包被盗的1.62亿美元。
2022年第三季度,Web3.0行业仍然多受退出局的困扰。本季度,CertiK共记录了169起独立安全事件,其中58%被归类为退出局。
如果仍然有一些经验不足的用户考虑把钱投资到未经审计的项目中,或是甘愿冒着风险急于成为代币早期持有人,那么退出局就会持续扩散,整个产业也将被其阴影笼罩。??
跑路的过程其实非常简单明了,欺诈团队所要做的仅仅是复制粘贴现成的局项目代码并将其部署,为去中心化交易所的交易对增加流动性,然后将代币推销给用户,直到他们投入了足以让欺诈团队脱身的大量资金。
代码审计很容易就能发现项目钱包所存在的中心化风险及访问特权,从而根据一些疑点揭露团队欺诈。我们建议Web3.0用户不要投资任何未经审计,或者那些审计发现了中心化和特权风险却未修复的项目。
Etherscan更新高级筛选器:7月21日消息,Etherscan发推称,更新高级筛选器,更新内容包括用OR(或者)运算符用于过滤“From”和“To”字段中的交易,在Age和Datetime之间切换, 过滤按钮可轻松按特定代币进行过滤,重置按钮可轻松重置所有选定的筛选器。[2023/7/21 15:51:08]
其实所有退出局基本都遵循着类似的套路,要规避那些明显有退出局迹象的项目并不困难,因此退出局并不能提供Web3.0安全方面的最具启发性案例分析。?
但是第三季度还发生了许多其他不寻常的事件,可以让Web3.0用户和开发者汲取到新的经验。本报告将分享三个案例,就其事件进行分析并从中为读者提取安全相关的重要启示。
Nomad跨链桥黑客攻击事件:损失1.9亿美元,成为本季度最严重的安全事件;做市商Wintermute钱包私钥泄露事件:被盗1.62亿美元;Slope被黑事件:损失800万美元,其是Solana生态中比较流行的热钱包,被黑数额相对较小。然而,以上所有损失都是由于不安全的应用程序代码所致,这就表明要实现Web3.0的全面安全不仅关乎智能合约,技术堆栈的各个层面也必须保证安全。?
实际上,Nomad跨链桥被黑和Wintermute私钥泄露事件的资产损失合计占据了第三季度总损失的近70%,这说明成功的漏洞攻击很可能不需要黑客付出过多“努力”,而其所得的回报有可能是巨大的。换句话说,无论目标钱包存有162美元还是1.62亿美元,如果攻击者想要暴力破解其私钥,所要付出的算力都是一样的。而在Nomad被黑事件中,任何普通用户都能简单复制原始攻击者的交易,并换成自己的钱包地址实施攻击,这也更加凸显Web3.0世界的残酷性。毫无疑问,所有漏洞都会受到最大程度地利用。Web3.0开发者必须认真对待安全问题,不仅是为了保护用户资金,也是为了保障整个项目的长期生存和发展。?
重大安全事件
鲍威尔曾在十年前美国历史第三大银行倒闭事件中建议保护每个账户的全部金额:金色财经报道,美联储主席鲍威尔曾在国际银行家协会2013年华盛顿会议上发表Ending \"Too Big to Fail\"主题演讲,在他作为美联储理事的第一次演讲中讨论过关于银行挤兑的情况要怎么处理。在1991年1月,当时发生过美国历史上第三大银行倒闭事件,金融系统和整体经济正面临巨大压力,有45家银行关闭,30万个账户受到影响。那时候面临的问题就是要么美国联邦存款保险公司保护所有的银行储户,不考虑存款保险限额,要么就可能要面临更加严峻的恐慌性挤兑。最后美联储做出决定:无视最高保险金额,保护每个账户里的全部金额。[2023/3/12 12:58:55]
私钥安全危机四伏
导致Slope钱包被黑的漏洞并不常见,该事件涉及了9000多个钱包地址,损失金额高达800万美元。大部分因退出局或智能合约代码错误造成的损失只发生在区块链上,但这次事件却源自一个链下漏洞。?
8月2日晚,Solana用户钱包中的资产开始神秘消失,且每笔转账都是有效交易,就像是钱包主人自己操作签名转移了所有代币。调查人员在调查被黑钱包之间共性的过程中,关于漏洞起源的一系列假设也开始流传。?
这些假设和结论让那些担忧大型DeFi平台被黑导致数十万用户和价值数十亿美元的资产都将处于险境之中的人们松了口气。因为就在前一天刚刚发生了Nomad跨链桥被黑事件,人们仍然处于神经紧绷的状态中。最终Slope的漏洞是在其钱包应用程序的代码中被发现的——该程序会在服务器上以明文形式存储用户的助记词。当攻击者获得该数据库的访问权时,就能完全控制所有受到影响的钱包,并立即卷走资产。
一些反应迅速的用户已将资金转移到了硬件钱包或其他不受Slope漏洞影响的热钱包中。?安全启示:使用硬件钱包或者网络隔离电脑离线生成密钥是最安全的做法,而在热钱包中生成或导入的私钥都不宜用于存放任何重要资产。
谨慎处理钱包密钥?
9月20日,最大数字资产做市商之一的Wintermute因私钥泄露造成1.62亿美元损失,原因是Wintermute使用第三方工具生成的“vanity”地址存在漏洞,并遭到黑客利用。造成这次意外事件的原因不同于由智能合约漏洞所致的常见情况,而是来自外部的基础设施问题。
Sushi CEO:一年内已花费3000万美元引导流动性,新代币经济学将重新设计引导流动性:12月12日消息,SushiSwap新任CEO Jared Grey发推表示,在过去的12个月中,SushiSwap 在其基于排放的奖励策略中花费了3000万美元,以引导流动性和激励LP,目前正在采取多种方案,旨在2023年第一季度改进Sushi和商业模式破裂的长期问题。
Jared Grey表示,Sushi即将推出的代币经济学侧重于重新调整其最具可操作性的资产TVL与LP,“尽管代币经济学是重组DEX业务模型的核心部分,但它并不是全部解决方案。我们重新设计了如何引导交易所的流动性,我们不再完全通过排放补贴流动性,而是通过一个更公平的机制”。
此前报道,11月27日,SushiSwap新任首席执行官Jared Grey在社交媒体上发文称其与EONS开发者David Wilson已完成SushiSwap新Token经济学初稿,并将于下周在社区内部进行展示。预计2-3周后发布公开草案。[2022/12/12 21:39:07]
大多数以太坊地址看起来是一串完全随机的字母和数字,开头都为0x。这样的好处是提供了一定程度的隐私性,但这并不能满足想要一个独特地址的用户。基于人们对“vanity地址”的追求,一个名为“Profanity”的vanity生成器应运而生,它可帮助用户为包含指定单词或字符串的地址生成密钥。
除此之外,Profanity还可以被用来创建钱包地址,以优化手续费,这也是Wintermute团队创建0x00000000AE347......b92280f9e75地址的初衷,但却最终导致了钱包被黑。开头那串冗长的0简化了地址,减少了以太坊网络的算力需求,从而在一定程度上降低了交易手续费——这些节省下来的手续费看似微小,却会在成千上万的交易中积少成多。
2022年1月,用户k06a曾在Profanity的GitHub:https://github.com/johguse/profanity/issues/61,提出了一个关于私钥生成方式的问题:Profanity使用一个随机的32位种子数来生成256位私钥。
VOTTUN拟在年底前通过Token发行募集2000万欧元:10月8日消息,被称为Web3领域中WordPress的VOTTUN计划在2022年底前通过Token发行募集2000万欧元资金。该公司推出了基于区块链技术的模板,帮助雀巢、Estrella Damm和世界银行等公司跟踪数据、验证身份、管理加密支付和启动NFT,其即用型区块链产品也支持追踪和验证数据。
(freshgooglenews)[2022/10/9 12:50:01]
2022年9月15日,1Inch发表了一篇文章,详细介绍了如何破解Profanity生成的钱包私钥的方法。
仅过两天,该漏洞就在众目睽睽之下遭到黑客利用。0x6...b93钱包账户抽空了多个vanity钱包,包括来自0x0Babe...B05的500枚ETH、0x888888888...597的100枚ETH、0x000000...422的104.4枚ETH,以及更多其他钱包的资产,总价值为330万美元。?
在技术发展瞬息万变的Web3.0世界,只需要四天就能借助这一漏洞攻破一个Wintermute的DeFi交易钱包,其损失的1.62亿美元也是今年因私钥泄露造成的最高资产损失。??
事发后,攻击者迅速将价值1.14亿美元的稳定币转入CurveFinance的3Pool。有人猜测这是为了避免被盗资金被USDT和USDC列入黑名单并冻结。
但问题还没解决:所有基于Profanity创建的钱包都存在风险。9月25日,vanity地址0x000000000......Ff3791338975被黑,攻击者卷走了钱包中价值超过95万美元的各种代币,将其换成732.3枚ETH后,又通过15次交易把这些代币全部存入TornadoCash。
通过SkyTrace可视化追踪黑客钱包?
数字金融服务提供商AmberGroup称其团队能够在48小时内利用一台M1处理器和16G内存的MacBook复现黑客构建的漏洞并发起攻击。
安全启示:所有使用Profanity生成钱包的用户都应尽快将资产转移到可离线生成密钥的钱包中。?
Nomad跨链桥遭劫
8月1日,NomadFinance在Ethereum、Moonbeam、Avalanche、Evmos和Milkomeda之间的跨链桥遭到攻击,涉案金额约1.9亿美元。
在一次常规升级部署后,由于一个错误配置允许黑客绕过验证信息,最终导致了这起悲剧发生。最初攻击的消息被传开以后,其他黑客、机器人以及社区成员也纷纷效仿,通过克隆原始黑客的交易数据、换上他们自己的地址发起攻击,几乎抽空了跨链桥的所有资产。?
百闻不如一见:人们对一个持有9位数资产的跨链桥实施了去中心化式抢劫?–@0xfoobar?
这次的漏洞本质上源于acceptableRoot(messages)函数中的一个错误,它允许用户绕过从跨链桥上提取资金所需要的验证。关于此次事件的完整技术分析,欢迎阅读CertiK官方公众号发布的Nomad事件分析报告。
跨链桥为巨额资金提供托管服务,是其成为黑客主要目标的原因。今年初,Wormhole跨链桥遭漏洞利用,损失超过3.2亿美元,是有史以来第二大DeFi被黑事件。
值得注意的是,在这场混乱不堪的攻击中,所有对相关技术稍有了解的投机用户都能轻松复制原始攻击者的交易,这些人蜂拥而上将跨链桥洗劫一空。?
作为回应,Nomad宣布向所有归还赃款的用户提供10%的白帽赏金,同时将对那些不归还资金的人采取法律行动。
安全启示:某个漏洞一旦被公开,就别指望恶意者不会抓紧机会闻风而动,因为开源的代码意味着所有人都可以对其进行最大程度的恶意利用。?
本季度大事记
以太坊已顺利合并
9月15日凌晨,无数目光聚焦在以太坊。Web3.0史上最重大的网络升级顺利完成,以太坊的共识机制正式转为PoS权益证明。关闭PoW工作证明后,以太坊的网络能耗从112TW/年骤降为0.01TW/年。这99.95%的能耗降幅不仅减少了以太坊网络对环境的影响,也让ETH在面对那些曾因环保顾虑而放弃了合作的用户和投资者时更具吸引力。
本次合并是一项了不起的技术成就,此次升级的巨大成功也得益于开发者与网络成员多年的精心准备。如果升级失败,整个网络都将承受灾难性的后果。?
尽管人们仍然担心验证者的中心化问题,但如果消除了对昂贵挖矿设备的需求,更加多样的网络参与者会被吸引加入。虽然还有许多其他PoS网络也在运行,但对于锁定价值数千亿美元资产的以太坊网络来说,其雄心勃勃的发展计划已经箭在弦上。
史上最强制裁风暴?
8月8日,美国财政部下属海外资产控制办公室宣布将以太坊混币隐私应用TornadoCash和相关44个钱包地址纳入制裁名单,禁止任何美国个人和实体与TornadoCash相关地址进行交互,并要求TornadoCash向OFAC报告其平台上所有的美国资产。?
与此同时,现年29岁的TornadoCash软件开发者AlexeyPertsev被荷兰当局逮捕,理由是“涉嫌利用TornadoCash以太坊混合服务参与和隐瞒犯罪资金流动”。截至发稿前,Pertsev尚未被正式指控任何罪行,而荷兰法律规定犯罪嫌疑人在未受指控的情况下最长可被羁押110天。
美国财政部对TornadoCash采用“声名狼藉”的描述也并非毫无理由。TornadoCash自2019年成立以来,已被用于价值超过70亿美元的数字货币活动。其中包括由朝鲜国家支持的黑客组织LazarusGroup所盗取的超过4.55亿美元、来自HarmonyBridge漏洞攻击的9600万美元,以及2022年8月2日NomadHeist事件中的至少780万美元等事件。?
但美国财政部将TornadoCash的所有应用均概括为活动就有失偏颇了。虽然TornadoCash的确成了犯罪分子清洗不义之财的首选工具,但在区块链技术的开放世界中,该平台也作为重要的金融隐私工具之一发挥着作用。以太坊联合创始人VitalikButerin在制裁后透露,他曾使用TornadoCash进行过私人捐款。而仅在今年,反对金融监管的斗争已经赢得了来自不同意识形态的个人和团体支持,如美国的支持选择权活动家和加拿大的反疫苗授权抗议者。
在禁令宣布后,TornadoCash在GitHub上的开源代码被迅速删除,但在OFAC就此事作出了澄清后,代码又被重新恢复。9月13日,OFAC在其常见问题页面中发布了指导意见:
“虽然美国被禁止与TornadoCash或其被封锁的财产或财产权益进行任何交易,但只要不涉及禁止交易,与TornadoCash开源代码本身的互动就是被允许的。例如,美国制裁法规不会禁止人们复制开源代码并将其在线提供给他人查看、讨论以及教学,或将开源代码收录于书面出版物中。”?
这个仍在继续的Web3.0传奇故事凸显了Web3.0资产与行业相关实体所面临的挑战:在试图遵守严格的政府行动的同时,又要对事后迟来的指导意见及时作出反应。
在越来越快的行业周期循环中,我们见证了一批又一批新老玩家的登场与退场。依托于上一波牛市的热度和以太坊生态溢出的效应,那些埋伏了一轮熊市的公链新秀得以崭露头角,并且作为市场不断膨胀预期的「落脚点」.
1900/1/1 0:00:00公共随机性是许多现实世界安全协议的一个重要组成部分。在一些应用中,如和多人游戏,随机性增加了乐趣.
1900/1/1 0:00:00原文作者:4rc.eth,由DeFi之道翻译编辑。2022年5月,在没有任何警告或理由的情况下,BanklessYouTube频道一夜之间消失了.
1900/1/1 0:00:00在过去十年中,区块链已成为分布式账本技术的一种主要形式。虽然区块链目前仍占据主导地位,但其存在固有的可扩展性问题,因此有越来越多的项目正在提出替代性解决方案.
1900/1/1 0:00:0010月20日,融资平台CoinList公布了2022年秋季种子项目,5个项目最终入围。以下是CoinList关于此批次项目的博客文章,BlockBeats对其编译整理如下.
1900/1/1 0:00:00前言有天本熊在OpenSea上闲逛时,想起自己当初没有买到艺术向项目RenArt的NFT后,便到他们的项目Discord中看看公售两个月后的社群状况,意外发现本来热闹的社群已经冷清起来.
1900/1/1 0:00:00