DeFi史上第二大黑客攻擊事件：蟲(chóng)洞損失逾3.2億美元

2月3日，作為區(qū)塊鏈之間最大的橋梁之一，連接以太坊和Solana兩大區(qū)塊鏈的主要橋梁——蟲(chóng)洞（Wormhole）遭黑客攻擊被盜取12萬(wàn)ETH，約3.2億美元。
記者了解到，最新消息顯示，Wormhole團(tuán)隊(duì)宣布漏洞已經(jīng)修復(fù)，且協(xié)議恢復(fù)運(yùn)行，但是并沒(méi)有對(duì)這些被盜資金做出明確答復(fù)。值得注意的是，這是目前DeFi第二大黑客攻擊事件。
針對(duì)此次事件，人民大學(xué)貨幣所研究員陳佳向《華夏時(shí)報(bào)》記者表示，雖然在攻擊發(fā)生后，以太坊等相關(guān)項(xiàng)目迅速調(diào)動(dòng)資金和技術(shù)支持開(kāi)展救助行動(dòng)，短期內(nèi)跨鏈交易的技術(shù)影響已經(jīng)降到最低，但考慮到類(lèi)似wormhole跨鏈新興平臺(tái)眾多，并非每個(gè)都能得到及時(shí)資助，對(duì)從業(yè)者和投資者信心的影響難以估量。

DeFi史上第二大黑客攻擊事件

公開(kāi)信息顯示，Wormhole是一種允許用戶(hù)跨區(qū)塊鏈橋接資產(chǎn)的協(xié)議。它鎖定的總價(jià)值超過(guò)10億美元，并支持六個(gè)區(qū)塊鏈：Terra、Solana、Ethereum、Binance Smart Chain、Avalanche和Polygon。
2月5日，Wormhole發(fā)布針對(duì)該事件的報(bào)告中指出，此次事件中Wormhole的漏洞具體是Solana端核心Wormhole合約的簽名驗(yàn)證代碼存在錯(cuò)誤，允許攻擊者偽造來(lái)自“監(jiān)護(hù)人”的消息來(lái)鑄造Wormhole包裝的ETH。目前已通過(guò)添加缺少的核查來(lái)修復(fù)該漏洞。
記者了解到，在漏洞攻擊后，Wormhole向黑客發(fā)送了一條鏈上消息，表示愿意向其提供一份白帽協(xié)議，及1000萬(wàn)美元的漏洞賞金，以獲取漏洞攻擊細(xì)節(jié)。
值得注意的是，本次事件是目前DeFi領(lǐng)域第二大黑客攻擊事件，同時(shí)也是針對(duì)Solana的黑客攻擊中造成的最大損失規(guī)模。2021年8月10日，跨鏈互操作協(xié)議Poly Network遭受攻擊，按事件發(fā)生時(shí)相關(guān)資產(chǎn)的市場(chǎng)價(jià)計(jì)算，黑客就竊取了價(jià)值6.1億美元的加密貨幣，使其不僅成為DeFi歷史上，更是整個(gè)加密貨幣歷史上涉案金額最大的黑客事件。
記者注意到，自DeFi誕生以來(lái)，就伴隨著無(wú)數(shù)的風(fēng)險(xiǎn)。盡管現(xiàn)在許多DeFi項(xiàng)目?jī)r(jià)值一直在爆炸式的翻倍增長(zhǎng)，但被黑事件也愈演愈烈。Rekt數(shù)據(jù)顯示，2021年DeFi領(lǐng)域共發(fā)生了161次黑客攻擊事件，損失金額高達(dá)18.6億美元，同比增幅近1000%。經(jīng)慢霧統(tǒng)計(jì)，DeFi通常存在以下攻擊方式：閃電貸攻擊；合約漏洞；兼容性或架構(gòu)問(wèn)題；私鑰泄露或前端攻擊以及內(nèi)部作案、跑路。
慢霧科技團(tuán)隊(duì)認(rèn)為，對(duì)用戶(hù)來(lái)說(shuō)，隨著區(qū)塊鏈領(lǐng)域的玩法愈發(fā)多樣化，用戶(hù)在進(jìn)行投資前認(rèn)真了解項(xiàng)目背景，查看該項(xiàng)目是否有開(kāi)源、是否經(jīng)過(guò)審計(jì)，在參與項(xiàng)目時(shí)需要提高警惕，注意項(xiàng)目風(fēng)險(xiǎn)。

區(qū)塊鏈安全問(wèn)題日益凸顯

事實(shí)上，在區(qū)塊鏈技術(shù)快速發(fā)展的同時(shí)，區(qū)塊鏈安全問(wèn)題也逐漸凸顯，黑客攻擊時(shí)有發(fā)生，利用加密貨幣進(jìn)行洗錢(qián)、詐騙等案件也逐漸增多。
“區(qū)塊鏈安全事件頻發(fā)一方面表明伴隨著區(qū)塊鏈與經(jīng)濟(jì)、金融領(lǐng)域的不斷交織，其應(yīng)用價(jià)值與日俱增，從而遭到不法分子的覬覦；另一方面也表明目前各區(qū)塊鏈機(jī)構(gòu)在安全方面的布防實(shí)力不足，亟待引進(jìn)相關(guān)領(lǐng)域的高級(jí)人才，及時(shí)構(gòu)建起安全防火墻。”易觀(guān)高級(jí)分析師蘇筱芮向本報(bào)記者表示。
據(jù)慢霧科技區(qū)塊鏈被黑檔案數(shù)據(jù)不完全統(tǒng)計(jì)，2021年區(qū)塊鏈生態(tài)被公開(kāi)的區(qū)塊鏈安全事件共231起，損失超98億美元。其中各生態(tài)DApp、DeFi等安全事件170起，交易所安全事件15起，公鏈安全事件8起，錢(qián)包安全事件3起，其他類(lèi)型安全事件35起。
對(duì)此，陳佳表示，關(guān)于區(qū)塊鏈的安全性問(wèn)題，從業(yè)者和投資者包括大眾的看法是比較分裂的。從業(yè)者在架構(gòu)設(shè)計(jì)和交易過(guò)程中有所失誤是毫無(wú)疑問(wèn)的；投資者和大眾的看法則深遠(yuǎn)的多：包括盜竊和騙術(shù)在內(nèi)的安全問(wèn)題在金融市場(chǎng)里屬于常見(jiàn)的道德悖論，成熟市場(chǎng)往往需要利用機(jī)制設(shè)計(jì)去治標(biāo)，用道德法治去治本，打磨配套整套風(fēng)控體系需要時(shí)間的沉淀。
陳佳認(rèn)為，對(duì)當(dāng)前區(qū)塊鏈社區(qū)來(lái)說(shuō)，尚且還沒(méi)走到風(fēng)控體系時(shí)間沉淀的階段，道德悖論的機(jī)制設(shè)計(jì)在幣圈的交易層面還是非常粗放；叢林法則比比皆是，這種原生態(tài)原則上是某種“投機(jī)機(jī)會(huì)”，但這種“機(jī)會(huì)”催生的道德風(fēng)險(xiǎn)肯定不是純技術(shù)能解決的。
高級(jí)數(shù)據(jù)分析師、鄉(xiāng)村振興建設(shè)委副秘書(shū)長(zhǎng)袁帥向《華夏時(shí)報(bào)》記者表示，區(qū)塊鏈安全形勢(shì)愈發(fā)嚴(yán)峻，要推動(dòng)區(qū)塊鏈發(fā)展首先就應(yīng)秉持“安全先行”的發(fā)展理念，積極進(jìn)行前瞻性戰(zhàn)略布局，實(shí)現(xiàn)政府主導(dǎo)下的技術(shù)創(chuàng)新與安全應(yīng)用的協(xié)同發(fā)展，打造安全可信的產(chǎn)業(yè)生態(tài)體系，保障區(qū)塊鏈安全有序發(fā)展。要完善區(qū)塊鏈應(yīng)用安全監(jiān)管機(jī)制，加快推動(dòng)區(qū)塊鏈安全技術(shù)研究，加快建立區(qū)塊鏈安全標(biāo)準(zhǔn)和測(cè)評(píng)能力，培育區(qū)塊鏈安全復(fù)合型人才。
袁帥認(rèn)為，區(qū)塊鏈安全事關(guān)公鏈平臺(tái)、項(xiàng)目方、投資者等眾多主體。對(duì)于區(qū)塊鏈安全來(lái)講，建議相關(guān)企業(yè)與專(zhuān)業(yè)區(qū)塊鏈安全研究組織合作，及時(shí)發(fā)現(xiàn)、修復(fù)系統(tǒng)漏洞，避免大規(guī)模資金被盜事件發(fā)生；對(duì)于普通用戶(hù)及投資者來(lái)講，應(yīng)充分了解可能存在的風(fēng)險(xiǎn)，在電腦端、手機(jī)端使用騰訊電腦管家可避免掉進(jìn)網(wǎng)絡(luò)釣魚(yú)陷阱，避免數(shù)字虛擬幣錢(qián)包被盜事件發(fā)生。同時(shí)應(yīng)防止電腦中毒成為“礦工”，謹(jǐn)慎使用游戲外掛、破解軟件、視頻網(wǎng)站客戶(hù)端破解工具；對(duì)于云端網(wǎng)站、服務(wù)器資源的管理者，應(yīng)部署企業(yè)級(jí)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，防止企業(yè)服務(wù)器被入侵安裝挖礦病毒，防止受到勒索病毒侵害。
文章轉(zhuǎn)載自華夏時(shí)報(bào)