WEB3:半年被盗20 亿美金 黑客与监管都盯上了 Web3

撰文：雪小顽

来源：?极客公园

Web3 这一个月来风波不断。

8 月初，明星公链 Solana 发生黑客盗币事件，超过 9000 个钱包地址被袭击，损失约 400 多万美元，在用户中引发了一波恐慌情绪，也让 Solana 陷入信用危机。

几天后，加密货币混币器 Tornado Cash 被美国财政部的下属机构——海外资产控制办公室（OFAC）列入制裁名单，其中包括 40 多个与 Tornado Cash 协议相关的以太坊地址，涉及价值超 4 亿美元的资产被冻结。

定位于隐私服务的混币器，在加密社区的名声一直备受争议，其中的「头部」Tornado Cash 更是有「脏币销金窟」之称。

Tornado Cash 被美国财政部制裁后，其代币价格大幅下降。｜来源：business2community.com

这次制裁意味着美国的社区用户，无论个人还是实体，都不得再与 Tornado Cash 平台以及和它绑定的钱包地址进行经济交易。按照过往的案例，如果违规，可能面临高达 30 多万美元的罚款和最高 30 年的监禁。

美银：将标普500指数年末目标位下调20%，料美国下半年陷入衰退:7月14日消息，美国银行策略师在报告中表示，美国将于2022年下半年开始温和衰退，将年末标普500指数目标点位下调20%至3600点，并下调EPS增长预期。策略师们指出，经济衰退期间该指数的平均跌幅为31%，标普500指数年底前可能出现3000-3200点的水平。将2022年每股收益预测从之前的221美元下调至218美元（同比增长4%），将2023年每股收益预期从230美元下调至200美元（同比下降8%），意味着从峰值到谷底每股收益下降10%。(金十)[2022/7/15 2:14:22]

紧接着，外媒曝出 29 岁的 Tornado Cash 开发者在荷兰阿姆斯特丹被逮捕，当地执法部门称 Tornado Cash 涉嫌隐瞒非法资金流动和协助，从今年 6 月份开始一直在对其进行调查。

Tornado Cash 被制裁，在加密行业引发「站队」。有人公开表达不满，认为美国财政部监管越界，侵犯了美国公民的隐私权和自由；也有人带头响应监管，稳定币 USDC 的发行方 Circle 迅速冻结了 Tornado Cash 相关钱包地址上的资产。

Web3 正面临着崛起以来最严峻的安全考验与审查压力。2022 年上半年，Web3 领域的资产损失约为 20 亿美元，超过了去年全年被黑客攻击的总损失数额。随之而来的连锁反应是，监管执法之手越伸越长。

2022 年上半年将有 300 家银行向客户提供比特币:金色财经报道，根据美国银行家的一份报告，预计大约 300 家社区银行将在 2022 年上半年与 Stone Ridge 子公司NYDIG合作推出比特币交易。 在过去的几个月里，银行一直在忙于解决监管问题。 美国银行家采访的参与者声称，在最终确定合作伙伴关系并解决与新型资产类别相关的安全问题后，他们现在接近启动对比特币的支持。 尽管从银行购买比特币的想法听起来像是矛盾的说法，但小型银行机构预计采用加密货币将有助于他们维持生计。（u.today）[2022/1/20 9:00:35]

人们的惯常认知中，强调去中心化逻辑的 Web3 本应拥有更强的安全性和私密性，如今却被黑客和监管双双盯上。加密世界正经历着对其未来命运影响深远的动荡时刻。

距离 Solana 发生黑客盗币时间已经过去半个多月，官方依然没有给出最终的调查结果。

区块链安全公司慢雾科技团队分析发现，根据 Solana foundation 提供的数据显示，近 60% 被盗用户使用的是 Phantom 钱包，此外有 30% 左右地址使用了 Slope 钱包，并且 iOS 和 Android 版本的应用都有相应的受害者。

事发 3 天后，Slope 曾在 twitter 上发布了一个官方钱包地址，并公开表示，一直在与执法部门和情报公司合作追踪被盗资产，如果黑客愿意归还，可以向其支付 10% 的赏金。「收回这些资金后，我们就不会再继续追究，也不会采取任何法律行动。」

《杭州区块链行业发展报告》：上半年6个区块链产业园投用居全国首位:据杭州区块链技术与应用联合会发布的《2019杭州区块链行业发展报告》显示，当前杭州已聚集一大批优秀区块链企业与项目，与北京、上海、深圳一起，牢牢占据全国第一梯队的位置，央行旗下的\"中钞区块链技术研究院\"也于2017年落户杭州。截至2019年12月，在杭注册的区块链企业总量为1611家，较2010年增长了1440家，杭州实际从事与区块链技术研发相关的企业数量为125家，涉及金融（28%）、媒体（16%）和底层技术（13%）等多个方面。截至2020年上半年，杭州全市已有6个区块链产业园正式投用，与广州共居全国首位，上海则以4家产业园紧随其后，在区块链产业园分布上萧山、余杭各有2个，西湖和下城各有1个。在全球区块链技术发明专利前100的企业中，来自杭州的区块链企业占有6家，包括阿里巴巴（蚂蚁集团）、复杂美、趣链科技、秘猿科技、云象科技和沃朴物联。（杭州日报）[2020/10/16]

Slope 团队给黑客留了 48 小时的时间来归还资产，但这个赏金要约并未得到黑客的回应。

Slope 钱包官方向黑客发出赏金要约。｜来源：twitter

动态 | 区块链创业公司今年上半年筹集了32亿美元的的资金:研究公司TeqAtlas进行一项研究显示，区块链创业公司在2019年上半年筹集了32亿美元的资金，代币仍然是最受欢迎的融资方式，其筹资额接近传统融资方式的两倍。研究还显示，IEO越来越受欢迎，逐渐取代了ICO。2018年，区块链创业公司筹集了200多亿美元，创下了自该行业成为主流以来的最高纪录，然而，在2019年，这个数字急剧下降。今年上半年，区块链创业公司成功融资额仅为32亿美元，该行业达成的交易数量也受到了冲击，上半年有268笔交易，而2018年为910笔。[2019/8/19]

硬件钱包 Keystone 创始人刘力心还记得，事发当天，他被拉进了一个有 100 多位白帽黑客的「war room」，安全专家们讨论了事件可能的经过。

「最初的猜测是某个 NFT 项目被集体攻击。」刘力心回忆，从被黑的钱包地址数量来看，八九千个的量级通常是某个 NFT 项目发行的常见数量，最初的猜测是某个 NFT 项目方作恶，例如进行了恶意授权。

但这个猜测很快被否定。安全技术人员发现，有几笔被盗交易的发生是由于用私钥做签名，而不是错误授权导致资产转移。接下来，关于事故原因的猜测还有供应链攻击、黑客撞取随机数、采取不恰当的签名方式等等，随后也都被一一推翻。

动态 | 度小满金融报告：今年上半年，比特币等投资品的情绪指数较为平稳:据环球财富网消息，近日，度小满金融(原“百度金融”)发布的《2019年上半年国民投资理财情绪指数报告》(以下简称《报告》)中显示，今年上半年，在所有七大类主流投资理财品种，情绪指数表现最为平稳的是资管产品(不含基金)，股票、房地产以及比特币和商品期货这类涨幅很高的其他投资品排在其前面，同时整体关注度高过基金类的是互联网理财、银行理财、保险理财等。其中互联网理财在所有资管产品关注度最高，情绪指数近30%。[2019/8/9]

当天下午，一位海外研究人员发现，Solana 链上的 Slope 钱包私有化部署了第三方应用监控服务 Sentry，会收集用户的私钥或助记词等信息，然后上传到中心化的服务器。

Sentry 是一个应用监测平台，可以实时监控应用在运行状态时出现的异常或错误日志信息。如果 Sentry 发现了系统 bug，会通过邮件等方式通知应用方的技术人员。

在加密世界，Sentry 服务被广泛应用，Slope 钱包就是其一。但使用 Sentry 时需要注意一个问题，如果出现了配置错误，Sentry 可能会收集到额外的数据，如私钥或助记词等私密信息。

安全专家们推测，在 Solana 盗币事件中，用户创建钱包时，Slope 将助记词和私钥等敏感数据错误发送给了 Sentry。这给黑客提供了可乘之机，黑客窃取了存储在 Sentry 中心化服务器上的私钥。

经过调查后，Slope 发布声明称，虽然上述安全漏洞确实存在，但被攻击的 Slope 地址的数量只是这次被盗钱包地址总数的一小部分。目前也暂无证据表明 Sentry 官方遭到了入侵和攻击，因为 Slope 钱包使用的 Sentry 服务部署在私有服务器。

此外，具体数据来看，服务器上的私钥和助记词派生出来的地址中，与受害者地址有交集的，只有 5 个以太坊地址和 1388 个 Solana 地址。也就是说，Slope 此次被黑的超过 2700 个钱包中只有一半存在 Sentry 漏洞，这无法解释其余用户钱包是如何被黑的。

就已经掌握的调查结果来看，已知的攻击者地址有 4 个，被盗资产在 Solana 链上尚未出现进一步转移，但在 ETH 链上，一些资金已经被转移到疑似 OTC 个人钱包地址，剩余部分被兑换为 ETH 后，转移到了 Tornado Cash。

在这次 Solana 被袭同期，跨链桥 Nomad Bridge 也受到攻击。值得注意的是，参与攻击 Nomad Bridge 的黑客有上百位，甚至包含了「白帽子」，损失近 2 亿美元。

慢雾科技首席信息安全官（CISO）张连锋告诉极客公园，目前对 Web3 的攻击类型主要有两种：

一是链上攻击，例如假充值、重入攻击、重放攻击、重排攻击等。这类攻击往往更加隐秘，需要通过专业的代码安全审计、完备的链上分析监测预警等方法来识别。

二是链下攻击，如高级长期威胁（APT）、网络钓鱼、供应链攻击等。这类都是传统 Web2 常见的安全问题，但是目前却对 Web3 生态安全产生了很大影响。

今年 4 月，周杰伦丢失价值超 300 万人民币的无聊猿编号 3738 的 NFT，就是因为无意中点击了钓鱼链接。

周杰伦被盗的无聊猿 NFT。｜图片源自网络

Web3 自带金融属性，金钱的诱惑下，更容易被黑客盯上。随着 Web3 玩家的体量不断扩大，加密货币犯罪也呈现快速上涨趋势。

根据慢雾区块链被黑事件档案库（SlowMist Hacked）统计，2022 年上半年，Web3 领域的资产损失接近 20 亿美元，已经超过 2021 年全年因黑客攻击漏洞造成的总损失。

2022 年因此被称作「Web3 兴起以来损失最惨重的一年」。其中，以去中心化程度低、流动资金量大的跨链桥受损最为严重。

截至 6 月 30 日，今年共发生 7 起跨链桥安全事件，损失超过 10 亿美元，占上半年总资产损失的半数以上。在上半年损失金额达到上亿美元的 4 起事件中，有 3 起波及跨链桥。

比较有代表性的是区块链游戏 Axie Infinity 的侧链 Ronin Network 被袭，造成 6.24 亿美元的损失，以及 Solana 的跨链桥项目 Wormhole 被攻击，损失 3.26 亿美元。

除了跨链桥，区块链钱包也是安全事件发生的「重灾区」。

钱包是用户管理加密资产的工具，也是用户进入各类 Web3 应用的账户入口，加密世界的交互和交易通过钱包来进行。

钱包包含着基于公钥和私钥生成的地址，表面上看是一组有字母、数字构成的符号串。其中的私钥可以对照理解为 Web2 支付工具的密码，掌握这个「密码」的人才是加密资产的真正主人。

所以，私钥一般是黑客攻击窃取的关键信息。通常来说，大部分钱包都会与网络连接，私钥泄露的风险系数较高。

加密货币被黑客盗取后，主要流向就是场景，以混币器为代表性「帮凶」。

从隐私保护出发的混币器，本来的设想是消除用户的链上交易痕迹，却被黑客用作转移被盗资产后的工具。不久前被制裁的 Tornado Cash 自 2019 年创建以来，已经「清洗」了价值超过 70 亿美元的虚拟货币。

今年 5 月份的时候，美国曾经制裁了中心化混币平台 Blender，理由是 Blender 涉嫌帮助朝鲜知名黑客组织 Lazarus Group 清洗从 Axie Infinity 盗取的部分资产。

Lazarus Group 是一个来自朝鲜的网络黑客集团，在 2021 年共窃取了价值超 4 亿美元的加密货币。

以美国政府为代表的监管势力盯上混币器，黑客们的如意算盘未来或许打得不那么响。制裁犯罪固然重要，但另一个关键的问题是，加密世界亟需更优化的安全方案，在财产、隐私保护与犯罪监管之间寻求平衡。

无论对浅试 Web3 的个体玩家还是 All in 的建设者来说，在通向一个美丽新世界之前，先要走过一片遍布安全陷阱的暗黑森林。

极客公园

个人专栏

阅读更多

金色早8点

Bress

链捕手

财经法学

PANews

成都链安

Odaily星球日报

标签：区块链WEBWEB3CASH区块链技术通俗讲解小区coinweb币投资机构web3.0币种在中国合法吗DCASH币

芝麻开门交易所下载热门资讯