記者 趙奕 胡金華 上海報(bào)道
(資料圖片僅供參考)
北京時(shí)間10月12日清晨���,Solana生態(tài)去中心化交易平臺(tái)Mango遭遇黑客攻擊�,損失高達(dá)1.15億美元。
記者注意到��,包括Mango平臺(tái)在內(nèi)��,一天之內(nèi)至少有5個(gè)加密平臺(tái)遭到黑客的攻擊���,其余4家分別為��,Rabby Swap�����、Paraswap、TempleDAO和QANplatform����,累計(jì)損失近1.2億美元。
“加密貨幣頻繁遭受黑客攻擊的基本原因是加密貨幣目前仍處于發(fā)展早期階段����,鏈上安全防控與治理都存在巨大提升空間?����!睔W科云鏈高級(jí)研究員蔣照生在接受《》記者采訪時(shí)表示���,安全無(wú)小事�,尤其區(qū)塊鏈安全這類復(fù)雜的前沿信息技術(shù)領(lǐng)域�。從技術(shù)角度來(lái)看,多數(shù)遭黑客攻擊的項(xiàng)目是由于智能合約審計(jì)工作的重視度不高���,成為黑客尋找漏洞成功率最高的方向之一�;而從安全角度來(lái)說(shuō)�����,當(dāng)一個(gè)系統(tǒng)足夠復(fù)雜但又承載了大量資金時(shí)��,就很容易被黑客盯上�,嘗試攻擊獲利。
頻遭攻擊
在12日遭受攻擊之后�,Mango官方在社交平臺(tái)表示,正在采取措施應(yīng)對(duì)�����,并希望黑客能主動(dòng)聯(lián)系商量還款事宜(可以保留部分作為賞金)���,“我們正在采取措施讓第三方凍結(jié)流動(dòng)資金��。作為預(yù)防措施��,我們將在前端禁用存款����,并將隨著情況的發(fā)展提供最新信息?�!?/p>
有趣的是�,黑客在獲得資金后并沒(méi)有就此罷手,而是在項(xiàng)目治理社區(qū)發(fā)起提案���,希望使用Mango資金庫(kù)中約7000萬(wàn)枚USDC償還壞賬����。如果官方同意��,黑客將返還部分被盜資金�,同時(shí)希望免受刑事調(diào)查或凍結(jié)資產(chǎn)。
就在Mango遭受攻擊的一周前�,10月7日凌晨,智能合約平臺(tái)幣安鏈(BNB Chain)遭遇黑客攻擊,短短2小時(shí)�,200萬(wàn)枚幣安幣被洗劫一空。據(jù)悉�����,本次黑客攻擊導(dǎo)致包含200萬(wàn)枚BNB在內(nèi)的約價(jià)值7.18億美元資產(chǎn)被盜取����。該金額為史上最大鏈上攻擊����。
而僅僅度過(guò)不到一半的時(shí)間,10月卻已經(jīng)成為目前整個(gè)2022年加密黑客攻擊最多的月份����。區(qū)塊鏈分析公司Chainalysis發(fā)布的報(bào)告顯示,10月是有史以來(lái)黑客活動(dòng)最大的一年中最大的一個(gè)月�,本月到目前為止,已有7.18億美元從DeFi協(xié)議中被11次不同的黑客竊取�。
Chainalysis表示,以這個(gè)速度��,2022年將輕松超過(guò)2021年���,這是有記錄以來(lái)加密黑客攻擊最多的一年���。到2022年為止�,黑客已經(jīng)設(shè)法在今年發(fā)生的125起黑客事件中竊取了超過(guò)30億美元���。
北京計(jì)算機(jī)學(xué)會(huì)數(shù)字經(jīng)濟(jì)專委會(huì)秘書(shū)長(zhǎng)王娟向《》記者表示����,從幣安平臺(tái)出現(xiàn)被盜后全鏈暫停就可以看出����,這些平臺(tái)根本不是所聲稱去中心化。所謂的匿名和安全�����,僅僅是面對(duì)個(gè)人用戶的任意性�。這些平臺(tái)原本就存在漏洞和后門(mén),既然平臺(tái)方可以用來(lái)操縱市場(chǎng)��,黑客當(dāng)然可以用來(lái)攻擊�。
“當(dāng)年區(qū)塊鏈行業(yè)成長(zhǎng)初期的很多項(xiàng)目,從技術(shù)上并沒(méi)有太高的門(mén)檻��。最近市場(chǎng)低迷,破鼓萬(wàn)人錘���,黑客攻擊再次證明了安全性�、能耗度和交易速度的不可能三角���,并沒(méi)有在平臺(tái)方出現(xiàn)優(yōu)秀的解決方案�����。所謂的黑客攻擊,與各類典型安全事件一定具有共性���,除了外部攻擊�,還有監(jiān)守自盜���?��!蓖蹙瓯硎尽?/p>
在王娟看來(lái)�,第一波平臺(tái)從業(yè)者暴富后的道德風(fēng)險(xiǎn)已經(jīng)暴露,頻發(fā)的負(fù)面事件�����,是對(duì)用戶和盛譽(yù)不負(fù)責(zé)任行為的集中體現(xiàn)。也意味著��,加密行業(yè)又結(jié)束了一個(gè)階段�����,在金融監(jiān)管的注視下開(kāi)始進(jìn)入新的歷史階段���。
跨鏈橋成為黑客的主要目標(biāo)
根據(jù)加密跟蹤公司Chainalysis的數(shù)據(jù)����,今年上半年已有22億美元的加密貨幣從DeFi項(xiàng)目中被盜����,使整個(gè)行業(yè)步入黑客損失最嚴(yán)重的一年。而在這些攻擊當(dāng)中��,跨鏈橋是黑客的主要目標(biāo)����,本月已有3座橋被攻破����,近6億美元被盜���,占本月?lián)p失的82%和全年損失的64%��。
在2022年前十大加密貨幣攻擊中�����,黑客總計(jì)竊走了超過(guò)17億美元的資金�?���?珂湗虻谋槐I資金規(guī)模最高,比如RoninNetwork被盜5.4億美元��,Wormhole被盜3.25億美元���,NomadBridge被盜1.9億美元,Hormony Bridge被盜1億美元����。
此外��,NFT盜竊和DeFi錢(qián)包黑客攻擊也是Web3消費(fèi)者面臨的最大威脅����。
事實(shí)上���,從加密貨幣誕生之日起���,行業(yè)便一直在努力解決安全問(wèn)題��。2014年�,第一家主要的比特幣交易所Mt.Gox在一次破壞性攻擊中遭到破壞����,最終導(dǎo)致該公司破產(chǎn)并損失了數(shù)十億美元的數(shù)字貨幣,該交易所也隨之倒閉�。
對(duì)此,蔣照生表示�,加密貨幣的安全性主要體現(xiàn)在用戶保存或交易時(shí)的可控性,但區(qū)塊鏈系統(tǒng)及項(xiàng)目合約代碼本身存在安全漏洞肯定無(wú)法安全避免��。隨著加密貨幣所承載的商業(yè)價(jià)值增多��,面臨的安全問(wèn)題也會(huì)愈加嚴(yán)峻���。
保障鏈上安全是個(gè)系統(tǒng)性工作,需要各方共同努力�。“項(xiàng)目方要更重視內(nèi)部風(fēng)險(xiǎn)控制和智能合約代碼審計(jì)等安全保障措施�����;區(qū)塊鏈安全服務(wù)機(jī)構(gòu)應(yīng)持續(xù)加強(qiáng)安全研發(fā)投入,不斷迭代安全技術(shù)�����,積極對(duì)應(yīng)各類風(fēng)險(xiǎn)��;對(duì)普通用戶而言�,也需要養(yǎng)成良好習(xí)慣,善用各類鏈上數(shù)據(jù)工具�����。當(dāng)然���,隨著鏈上場(chǎng)景的主流化����,相關(guān)配套的安全規(guī)范�、監(jiān)管措施也需要及時(shí)跟上�����。”蔣照生說(shuō)�����。
獨(dú)立國(guó)際策略研究員陳佳向《》記者表示:“用技術(shù)語(yǔ)言來(lái)說(shuō)�����,加密行業(yè)確實(shí)隱匿�����,但從來(lái)就不夠‘加密’�����?����!奔用苄袠I(yè)的本質(zhì)是把區(qū)塊鏈這種分布式記賬系統(tǒng)技術(shù)應(yīng)用到金融交易之中�����,利用其交易便利性來(lái)引致需求��,最終建立起底層資產(chǎn)架構(gòu)并衍生出一整套加密資產(chǎn)體系——它的本質(zhì)是去中心化的�����。所謂去中心化就是要繞開(kāi)銀行系統(tǒng)形成獨(dú)立的金融體系���,這是它追求隱匿從而被全球監(jiān)管不斷絞殺的核心原因之一�����。
“另一個(gè)核心原因就在于不安全�����,區(qū)塊鏈雖然使用了加密技術(shù)����,但其核心在隱匿不在加密����,一切都依賴于去中心化的分布式記賬系統(tǒng)上。由于這種去中心化的金融革命導(dǎo)致絕大部分加密行業(yè)的產(chǎn)品和服務(wù)都是繞開(kāi)先有金融體系的�����,也就很難利用現(xiàn)有金融交易安全機(jī)制。各大加密資產(chǎn)必須依賴幣圈平臺(tái)和交易所自己研發(fā)對(duì)應(yīng)的交易安全系統(tǒng)����,在全球頂級(jí)區(qū)塊鏈人才供給非常有限的情況下,加密行業(yè)的安全開(kāi)發(fā)力量根本就是不足的���?!标惣颜f(shuō)�����。
陳佳強(qiáng)調(diào)�����,加密行業(yè)在國(guó)內(nèi)不合法�,加密貨幣目前在歐美也不合法。加密行業(yè)目前在美國(guó)是以加密資產(chǎn)大類為基礎(chǔ)進(jìn)行監(jiān)管的�����,美國(guó)金融監(jiān)管方目前正在對(duì)各大加密資產(chǎn)交易所和數(shù)字交易平臺(tái)進(jìn)行聽(tīng)證,準(zhǔn)備嚴(yán)控加密行業(yè)的洗錢(qián)和套利行為��?!凹用苄袠I(yè)并不夠加密,或者說(shuō)它的加密機(jī)制既不是重點(diǎn)也不夠厲害���,因?yàn)楣舻暮诳透阑饓υO(shè)計(jì)師很可能是同一類人�����,甚至技術(shù)更好��?��!?/p>
陳佳表示,加密行業(yè)很多有識(shí)之士一直在尋求轉(zhuǎn)型合法化���,擺脫貨幣應(yīng)用和金融套利的負(fù)面形象��。但NFT�、數(shù)字藏品包括元宇宙等探索理念被濫用了����,導(dǎo)致市場(chǎng)魚(yú)龍混雜��。
