記者 趙奕 胡金華 上海報道
(資料圖片僅供參考)
北京時間10月12日清晨,Solana生態(tài)去中心化交易平臺Mango遭遇黑客攻擊,損失高達1.15億美元�。
記者注意到��,包括Mango平臺在內(nèi)�����,一天之內(nèi)至少有5個加密平臺遭到黑客的攻擊���,其余4家分別為�����,Rabby Swap���、Paraswap、TempleDAO和QANplatform�����,累計損失近1.2億美元���。
“加密貨幣頻繁遭受黑客攻擊的基本原因是加密貨幣目前仍處于發(fā)展早期階段���,鏈上安全防控與治理都存在巨大提升空間�����?!睔W科云鏈高級研究員蔣照生在接受《》記者采訪時表示�,安全無小事,尤其區(qū)塊鏈安全這類復(fù)雜的前沿信息技術(shù)領(lǐng)域�����。從技術(shù)角度來看���,多數(shù)遭黑客攻擊的項目是由于智能合約審計工作的重視度不高��,成為黑客尋找漏洞成功率最高的方向之一��;而從安全角度來說�,當(dāng)一個系統(tǒng)足夠復(fù)雜但又承載了大量資金時��,就很容易被黑客盯上�,嘗試攻擊獲利。
頻遭攻擊
在12日遭受攻擊之后����,Mango官方在社交平臺表示���,正在采取措施應(yīng)對,并希望黑客能主動聯(lián)系商量還款事宜(可以保留部分作為賞金)��,“我們正在采取措施讓第三方凍結(jié)流動資金�。作為預(yù)防措施��,我們將在前端禁用存款�����,并將隨著情況的發(fā)展提供最新信息�����?�!?/p>
有趣的是�����,黑客在獲得資金后并沒有就此罷手�����,而是在項目治理社區(qū)發(fā)起提案,希望使用Mango資金庫中約7000萬枚USDC償還壞賬��。如果官方同意�����,黑客將返還部分被盜資金���,同時希望免受刑事調(diào)查或凍結(jié)資產(chǎn)���。
就在Mango遭受攻擊的一周前,10月7日凌晨��,智能合約平臺幣安鏈(BNB Chain)遭遇黑客攻擊�����,短短2小時����,200萬枚幣安幣被洗劫一空。據(jù)悉�,本次黑客攻擊導(dǎo)致包含200萬枚BNB在內(nèi)的約價值7.18億美元資產(chǎn)被盜取�����。該金額為史上最大鏈上攻擊��。
而僅僅度過不到一半的時間����,10月卻已經(jīng)成為目前整個2022年加密黑客攻擊最多的月份�����。區(qū)塊鏈分析公司Chainalysis發(fā)布的報告顯示�,10月是有史以來黑客活動最大的一年中最大的一個月�,本月到目前為止,已有7.18億美元從DeFi協(xié)議中被11次不同的黑客竊取�。
Chainalysis表示,以這個速度�,2022年將輕松超過2021年,這是有記錄以來加密黑客攻擊最多的一年�����。到2022年為止����,黑客已經(jīng)設(shè)法在今年發(fā)生的125起黑客事件中竊取了超過30億美元����。
北京計算機學(xué)會數(shù)字經(jīng)濟專委會秘書長王娟向《》記者表示��,從幣安平臺出現(xiàn)被盜后全鏈暫停就可以看出��,這些平臺根本不是所聲稱去中心化�。所謂的匿名和安全,僅僅是面對個人用戶的任意性���。這些平臺原本就存在漏洞和后門�����,既然平臺方可以用來操縱市場�,黑客當(dāng)然可以用來攻擊�����。
“當(dāng)年區(qū)塊鏈行業(yè)成長初期的很多項目�,從技術(shù)上并沒有太高的門檻。最近市場低迷��,破鼓萬人錘,黑客攻擊再次證明了安全性���、能耗度和交易速度的不可能三角�,并沒有在平臺方出現(xiàn)優(yōu)秀的解決方案����。所謂的黑客攻擊,與各類典型安全事件一定具有共性���,除了外部攻擊�,還有監(jiān)守自盜����?!蓖蹙瓯硎尽?/p>
在王娟看來�,第一波平臺從業(yè)者暴富后的道德風(fēng)險已經(jīng)暴露,頻發(fā)的負面事件�����,是對用戶和盛譽不負責(zé)任行為的集中體現(xiàn)�����。也意味著,加密行業(yè)又結(jié)束了一個階段�,在金融監(jiān)管的注視下開始進入新的歷史階段。
跨鏈橋成為黑客的主要目標
根據(jù)加密跟蹤公司Chainalysis的數(shù)據(jù)���,今年上半年已有22億美元的加密貨幣從DeFi項目中被盜�����,使整個行業(yè)步入黑客損失最嚴重的一年���。而在這些攻擊當(dāng)中,跨鏈橋是黑客的主要目標���,本月已有3座橋被攻破�����,近6億美元被盜�,占本月?lián)p失的82%和全年損失的64%����。
在2022年前十大加密貨幣攻擊中�����,黑客總計竊走了超過17億美元的資金���。跨鏈橋的被盜資金規(guī)模最高��,比如RoninNetwork被盜5.4億美元�����,Wormhole被盜3.25億美元��,NomadBridge被盜1.9億美元,Hormony Bridge被盜1億美元���。
此外,NFT盜竊和DeFi錢包黑客攻擊也是Web3消費者面臨的最大威脅��。
事實上�,從加密貨幣誕生之日起,行業(yè)便一直在努力解決安全問題�����。2014年,第一家主要的比特幣交易所Mt.Gox在一次破壞性攻擊中遭到破壞��,最終導(dǎo)致該公司破產(chǎn)并損失了數(shù)十億美元的數(shù)字貨幣�����,該交易所也隨之倒閉�����。
對此��,蔣照生表示��,加密貨幣的安全性主要體現(xiàn)在用戶保存或交易時的可控性����,但區(qū)塊鏈系統(tǒng)及項目合約代碼本身存在安全漏洞肯定無法安全避免。隨著加密貨幣所承載的商業(yè)價值增多�,面臨的安全問題也會愈加嚴峻。
保障鏈上安全是個系統(tǒng)性工作�����,需要各方共同努力?���!绊椖糠揭匾晝?nèi)部風(fēng)險控制和智能合約代碼審計等安全保障措施;區(qū)塊鏈安全服務(wù)機構(gòu)應(yīng)持續(xù)加強安全研發(fā)投入��,不斷迭代安全技術(shù)�,積極對應(yīng)各類風(fēng)險;對普通用戶而言���,也需要養(yǎng)成良好習(xí)慣�����,善用各類鏈上數(shù)據(jù)工具�。當(dāng)然���,隨著鏈上場景的主流化�,相關(guān)配套的安全規(guī)范����、監(jiān)管措施也需要及時跟上�。”蔣照生說。
獨立國際策略研究員陳佳向《》記者表示:“用技術(shù)語言來說��,加密行業(yè)確實隱匿�,但從來就不夠‘加密’?�!奔用苄袠I(yè)的本質(zhì)是把區(qū)塊鏈這種分布式記賬系統(tǒng)技術(shù)應(yīng)用到金融交易之中����,利用其交易便利性來引致需求,最終建立起底層資產(chǎn)架構(gòu)并衍生出一整套加密資產(chǎn)體系——它的本質(zhì)是去中心化的�。所謂去中心化就是要繞開銀行系統(tǒng)形成獨立的金融體系,這是它追求隱匿從而被全球監(jiān)管不斷絞殺的核心原因之一�。
“另一個核心原因就在于不安全,區(qū)塊鏈雖然使用了加密技術(shù)�,但其核心在隱匿不在加密,一切都依賴于去中心化的分布式記賬系統(tǒng)上���。由于這種去中心化的金融革命導(dǎo)致絕大部分加密行業(yè)的產(chǎn)品和服務(wù)都是繞開先有金融體系的����,也就很難利用現(xiàn)有金融交易安全機制����。各大加密資產(chǎn)必須依賴幣圈平臺和交易所自己研發(fā)對應(yīng)的交易安全系統(tǒng)�����,在全球頂級區(qū)塊鏈人才供給非常有限的情況下��,加密行業(yè)的安全開發(fā)力量根本就是不足的�?���!标惣颜f。
陳佳強調(diào)����,加密行業(yè)在國內(nèi)不合法,加密貨幣目前在歐美也不合法�。加密行業(yè)目前在美國是以加密資產(chǎn)大類為基礎(chǔ)進行監(jiān)管的,美國金融監(jiān)管方目前正在對各大加密資產(chǎn)交易所和數(shù)字交易平臺進行聽證����,準備嚴控加密行業(yè)的洗錢和套利行為?���!凹用苄袠I(yè)并不夠加密,或者說它的加密機制既不是重點也不夠厲害���,因為攻擊的黑客跟防火墻設(shè)計師很可能是同一類人���,甚至技術(shù)更好?!?/p>
陳佳表示,加密行業(yè)很多有識之士一直在尋求轉(zhuǎn)型合法化�,擺脫貨幣應(yīng)用和金融套利的負面形象。但NFT�����、數(shù)字藏品包括元宇宙等探索理念被濫用了�,導(dǎo)致市場魚龍混雜。
