十年損失超200億美元，黑客盯著區(qū)塊鏈

2021年的區(qū)塊鏈?zhǔn)澜?，光明面欣欣向榮，黑暗面也在穩(wěn)步發(fā)展。
據(jù)SlowMist Hacked不完全統(tǒng)計，2021年區(qū)塊鏈?zhǔn)澜珙l發(fā)安全事件，在數(shù)量、危險性、涉案金額、影響規(guī)模等方面遠(yuǎn)超往年，其中還出現(xiàn)了罕見的“白帽黑客”事件，給人們敲響了安全警鐘。
所謂“白帽黑客”，特指以黑客慣用破壞攻擊之法，行維護(hù)網(wǎng)絡(luò)安全之事的一群人，相對于“黑帽黑客”而存在。不過，2021年最出名的“白帽黑客”卻未在攻擊行為實施之前獲得許可，且涉案金額高達(dá)6億美元，只是最后黑客全額奉還被盜資產(chǎn)，而Poly Network也放棄追究其法律責(zé)任罷了。
技術(shù)不懂是非善惡，區(qū)塊鏈黑客事件從未斷絕。交易所、錢包、公鏈、各生態(tài) DApp、DeFi項目……究竟哪一個是黑客們關(guān)注的核心？
盜走6億美元資產(chǎn)又送回，黑客說“只想提個醒”
2021年8月，一位匿名黑客襲擊Poly Network（異構(gòu)跨鏈協(xié)議），將以太坊、BSC（幣安智能鏈）、Polygon（以太坊側(cè)鏈）鏈上2.5億美元、2.7億美元、8500萬美元的加密資產(chǎn)悄悄轉(zhuǎn)移，總金額高達(dá)6.1億美元，全程耗時34分鐘。
不過，隨著各方展開圍堵，黑客在其后12天內(nèi)將盜走的大部分資產(chǎn)退回，聲稱自己對金錢不感興趣，“白帽黑客”的標(biāo)簽就此誕生。
6.1億美元，這不僅是DeFi史上涉案金額最大的黑客事件，更是整個加密貨幣史上涉案金額最大的黑客事件，規(guī)模超過著名Mt.Gox 事件（744408 枚BTC，當(dāng)時約 4 億美元）以及Coincheck 大案（5.23 億枚 XEM，當(dāng)時約 5.34 億美元）。
面對如此大規(guī)模的安全事件，“當(dāng)事人”不敢懈怠，Poly Network當(dāng)天晚上8點38分發(fā)文，對外界公布其受到的攻擊，貼出該黑客在不同鏈上的具體地址，呼吁礦工及交易所伸手援助，阻止黑客地址所發(fā)起的交易。
幣安CEO趙長鵬、OKex CEO Jay等先后聲援，穩(wěn)定幣USDT發(fā)行方Tether首席技術(shù)官Paolo Ardoino也聲明Tether已凍結(jié)該黑客地址3300萬USDT。
盡管圍追堵截，可黑客仍舊以各種手段快速混幣（即一個交易中包括大量輸入和輸出，輸入與輸出之間的聯(lián)系被事實上割裂，不易追蹤），當(dāng)日就通過Curve將9706萬美元USDC兌換為DAI，又在BSC上利用Curve分叉項目Ellipsis Finance混幣近1.2億美元。
據(jù)局面新聞報道，事發(fā)當(dāng)日，Poly運營方團(tuán)隊通宵達(dá)旦，除了因為數(shù)額巨大的資產(chǎn)被盜事件背負(fù)的壓力外，加密社區(qū)中層出不窮的猜想也讓其如芒刺在背，安全研究員Mudit Gupta、Primitive Ventures創(chuàng)始合伙人Dovey Wan等先后發(fā)文暗示此事“內(nèi)部攻擊”的可能，更有甚者猜測為Poly“自導(dǎo)自演”。
聲勢浩大的圍剿行動激發(fā)了圍觀者的吃瓜心理，事發(fā)當(dāng)日，有“好事者”向黑客地址發(fā)送交易，留言提醒其USDT已被列入黑名單，黑客對此回禮13.5ETH（約42495.84美元）。
“致富之路”就此開啟，大量“吃瓜群眾”蜂擁而至，有的談項目、要投資，有的談夢想、要學(xué)費，有人讓黑客“拉盤”自己持有的幣，更有甚者直接拜師、認(rèn)大哥。
可就在圍觀者看熱鬧的時候，事件卻發(fā)生了反轉(zhuǎn)。
事發(fā)次日，攻擊Poly Network的黑客主動現(xiàn)身Etherscan，通過鏈上交易備注表示其愿意歸還被盜資產(chǎn)，要Poly項目方為其提供一個多簽錢包。
“為什么要退款？”“我對金錢不是很感興趣，”黑客如此回復(fù)道：“獲取這么多財富已經(jīng)是一個傳奇，而拯救世界更是永恒的傳奇。”
2021年8月11日，黑客歸還了價值470萬美元的資產(chǎn)，其中包括100萬美元的UCDC、價值110萬美元的BTCB，以及價值260萬美元的其他資產(chǎn)。同日稍晚，黑客再次在幣安智能鏈上向Poly Network團(tuán)隊留下的收款地址歸還近1.2億BUSD、2.66萬ETH和1000BTCB，總價值約2.5億美元。
在接下來的12天里，黑客逐步歸還了BSC、Ploygon、以太坊上的所有被盜加密資產(chǎn)，此事的輿論風(fēng)向也從一開始對被盜事件的震驚、批判，轉(zhuǎn)變?yōu)閷^(qū)塊鏈網(wǎng)絡(luò)安全的關(guān)注。
2021年8月13日，F(xiàn)2Pool聯(lián)合創(chuàng)始人、Cobo聯(lián)合創(chuàng)始人兼CEO神魚發(fā)布博文，稱Poly Network的攻擊者為網(wǎng)絡(luò)安全的護(hù)衛(wèi)者――“白帽黑客”，還表示將在Cryptovoxels里建造關(guān)于紀(jì)念Poly Network事件的紀(jì)念碑，致謝所有參與者。而后，Poly Network也宣布進(jìn)行主網(wǎng)升級，并邀請此前攻擊者為Poly Network首席安全顧問。
哪里有錢，哪里就有黑客
回頭來看，“白帽黑客”事件發(fā)生在跨鏈協(xié)議被攻破的基礎(chǔ)上，后續(xù)漏洞還涉及以太坊公鏈、Polygon生態(tài)、穩(wěn)定幣USDT等，這使得黑客能在幣安、OKEx、Tether等頭部企業(yè)封鎖圍剿之下還能快速混幣，轉(zhuǎn)移被盜資產(chǎn)，這其中展現(xiàn)的安全隱患，值得引起加密世界的警惕。
據(jù)SlowMist Hacked數(shù)據(jù)不完全統(tǒng)計，整個2021年區(qū)塊鏈生態(tài)被公開的區(qū)塊鏈安全事件共 236 起，損失超98.86億美元。其中各生態(tài)DApp、DeFi 等安全事件127起，占絕大多數(shù)，此外還有交易所安全事件14起，公鏈安全事件8起，錢包安全事件3起，其他類型安全事件84起（項目方跑路等）。
從上述數(shù)據(jù)中可以看出，各生態(tài)的DApp、DeFi項目、交易所部分是2021年區(qū)塊鏈?zhǔn)澜绾诳桶踩录l(fā)生的重災(zāi)區(qū)。
一位資深業(yè)內(nèi)安全人士告訴《鏈新》，加密貨幣交易所中聚集著大量資金，人員復(fù)雜，防御脆弱，用戶缺乏足夠的安全意識，易產(chǎn)生安全漏洞，不論是從薄弱點還是獲利的角度上來說，都是黑客們不容忽視的“香餑餑”，而通過攻擊交易所冷/熱錢包形式進(jìn)行盜幣活動，是2021年的顯著特質(zhì)。
2021年2月，新西蘭交易所Cryptopia清算人Grant Thornton控制的冷錢包（自2019年1月一直處于休眠狀態(tài)）被盜事件中，黑客就通過訪問錢包盜走約196萬美元的Xtake。同年8月19日，日本加密交易平臺Liquid同樣是熱錢包被盜，共計損失約 9135萬美元。
而除了交易所之外，匯聚資金的錢包也對黑客們形成吸引力，這導(dǎo)致2021年錢包泄漏安全事件層出不窮。據(jù)AML11月報告，假錢包App已致上萬人被盜，損失高達(dá)13億美元。
在交易所之外，值得一提的還有公鏈攻擊。從2021年8月開始，先有BSV遭51%攻擊，近100個區(qū)塊發(fā)生重組，再有ETC主網(wǎng)因以太坊客戶端Geth漏洞遭遇分叉，而可不管是公鏈、錢包、還是交易所，他們在涉事金額、攻擊次數(shù)、影響范圍等方面都比不過DeFi、DApp、NFT和跨鏈部分，而這一部分也是去年發(fā)生黑客攻擊事件最頻繁的領(lǐng)域。
自DeFi誕生以來，就伴隨著無數(shù)風(fēng)險。近年來，許多DeFi項目價值一直在爆炸式的翻倍增長，被黑事件也愈演愈烈。閃電貸攻擊、合約漏洞、兼容性或架構(gòu)問題、私鑰泄露或前端攻擊、內(nèi)部作案……DeFi中種種套路層出不窮，令人瞠目結(jié)舌。
2021年，ETH生態(tài)SushiSwap兩次遭遇攻擊，SIL.Finance合約出現(xiàn)高危漏洞。BSC生態(tài)中，Cream Finance三遭閃電貸攻擊，累計損失超過1.87億美元。EOS生態(tài)flash.sx閃電貸智能合約遭受到“re-entry”攻擊。Polygon生態(tài)中，收益耕作協(xié)議PolyYeld Finance項目合約被利用。此外，HECO生態(tài)中也發(fā)生DDEX代碼后門事件等。
安全事件頻發(fā)于“DeFi、DApp、NFT和跨鏈”部分，此現(xiàn)象不僅發(fā)生于2021年，據(jù)《鏈新》觀察，該規(guī)律從2018年安全事件數(shù)量飆升之后就有所顯現(xiàn)，甚至延續(xù)到2022年。
十年損失239億美元
從2008年到2022年，黑客事件如蛆附骨跟隨著區(qū)塊鏈的發(fā)展而日漸壯大。
據(jù)SlowMist Hacked數(shù)據(jù)顯示，自2012年至今，全球區(qū)塊鏈生態(tài)中僅被公開的區(qū)塊鏈安全事件就有610起，損失總金額約為238.78億美元。按年限區(qū)分，2018年后呈現(xiàn)出明顯的階段性變化，數(shù)量和涉案金額都較之前翻倍增長。
區(qū)塊鏈安全公司PeckShield和BCSEC調(diào)查數(shù)據(jù)顯示，2018全年，區(qū)塊鏈安全事件數(shù)量高達(dá)138起，造成的經(jīng)濟損失為22.38億美元，其中以太坊公鏈、EOS公鏈?zhǔn)桩?dāng)其沖，其后依次是交易所、錢包。
其中，以太坊公鏈?zhǔn)录?4起，如“BEC美鏈遭黑客攻擊，一日蒸發(fā)9億美元”;EOS公鏈出現(xiàn)超49起安全事故，大多源于DApp生態(tài)爆發(fā)期間（8-11月）引起的隨機數(shù)、假通知、交易回滾等攻擊事件，直接經(jīng)濟損失高達(dá)74.7萬個EOS。
相較之下，交易所攻擊雖然有十余起，但也只有2018年1月26日“日本Coincheck交易所被盜”和同年3月7日“幣安交易所被黑客釣魚”兩個案子影響較大。BTC事故僅有3起，類似9月的“BTC超發(fā)漏洞”，也在造成危害前得以修復(fù)。
在此基礎(chǔ)上，《鏈新》發(fā)現(xiàn)，在以公鏈、交易所、錢包、ETH生態(tài)、BSC生態(tài)、波場生態(tài)、EOS生態(tài)、Ploygon生態(tài)、HECO生態(tài)等為代表九大安全事故場所中，EOS生態(tài)、ETH生態(tài)尤其被黑客關(guān)注，交易所受到的攻擊數(shù)也相對較多，這三大領(lǐng)域共發(fā)生安全事件超356起，涉事金額超125億美元，總體占比超過52.35%。
同樣的規(guī)律也體現(xiàn)在Atlas VPN團(tuán)隊發(fā)布的“2020年區(qū)塊鏈黑客”系列報告中。Atlas VPN團(tuán)隊指出，2020年有47次針對ETH DApps的成功攻擊，以及28起加密貨幣交易所違規(guī)行為。
黑客攻擊聚焦于DeFi、DApp各生態(tài)、交易所的現(xiàn)象一如既往，直到2022年還在呈現(xiàn)。
截至2022年1月18日，據(jù)SlowMist Hacked統(tǒng)計，全球區(qū)塊鏈生態(tài)公開的2022年區(qū)塊鏈安全事件共16起，其中除了6起跑路事件外，都是DeFi、DApp各生態(tài)的安全事件和交易所的安全事件。
在這樣的情況下，諸多權(quán)威機構(gòu)紛紛發(fā)布報告，提醒加密世界注意防范黑客攻擊，加強區(qū)塊鏈安全建設(shè)。此前McAfee就曾出具《區(qū)塊鏈威脅報告》，聲明“區(qū)塊鏈?zhǔn)侨ブ行幕诰€交易的革命性基礎(chǔ)，但有安全風(fēng)險”。2021年3月，中國信通院也發(fā)布《區(qū)塊鏈安全能力測評與分析報告》，指出區(qū)塊鏈現(xiàn)存“十大安全隱患”，再三提醒外界樹立防范意識。
文章轉(zhuǎn)載自火星財經(jīng)