XRP:黑客年底扎堆「沖業績」？區塊鏈行業顯現「白帽」不足_XRPAYNET

原文標題：《囂張的黑客，和正在消失的防護網...……》

失序的區塊鏈行業里，時刻隱藏著風險，黑客就是其一。就像武俠里的江洋大盜，他們隨時出沒在存儲著大量數字貨幣的區塊鏈錢包、交易所、DApp里，伺機挖掘漏洞，竊取資產。

據粗略統計，近一個月內，區塊鏈領域涉百萬以上黑客攻擊事件近5起。

另一面，多數項目拿這些黑客并沒有辦法。尤其是幣圈進入熊市大半年以來，不少公司都鬧錢荒。區塊鏈安全防護系統因資金匱乏，防護能力正在變弱。

安全團隊BYSECCOO劉澤坤告訴記者，其平臺上注冊有5000多名網絡安全工程師，但在「生存第一」的熊市下，安全防護下降為弱需求。目前愿意付費做安防的僅有10余家。

代碼安全無法守護，共識安全也岌岌可危。

熊市中，一部分礦工由于入不敷出關機蟄伏，直接導致了PoW網絡算力下跌，閑置算力成為「散兵游勇」，威脅著公鏈的安全。

礦工是共識安全的守護者，他們的缺位給了攻擊者可趁之機，本月初ETC遭遇51%攻擊即是一例。

這張本該嚴密的安全防護網，隨著熊市的持續，一個個牽引的防護點正在消失。

此前攻擊MEV機器人的黑客將超730萬枚DAI轉入MakerDAO:9月2日消息，據慢霧監測，于今年4月攻擊MEV機器人獲利數千萬美元的黑客將7317799枚DAI轉入MakerDAO。[2023/9/2 13:12:58]

頻繁的攻擊

去年12月27日發生的錢包釣魚事件可能是近來最大的黑客攻擊事件。

據Cointelegraph消息，當日有用戶在社交媒體上爆料，有團體正在對加密貨幣錢包Electrum進行惡意攻擊，并竊取了近250個BTC。

消息隨后獲得Electrum證實，據介紹，該攻擊主要通過創建一個假版本的錢包，來騙取用戶的密碼信息。

2018年下半年，幣圈進入了明顯的熊市，不少項目開始減員收縮。但黑客永不眠，那些匯集資金的地方永遠是黑客的目標。

區塊鏈安全平臺DVP聯合創始人鄧煥也告訴記者，今年12月以來，越來越多的攻擊者將目光投向了EOSDApp。

根據區塊鏈安全網bcsec統計，12月份其搜索到區塊鏈領域發生的攻擊事件共有20余起，對行業造成損失約190萬美元，其中90%受攻擊的對象是EOS上的DApp。

白帽黑客幫助MetaMask網絡釣魚攻擊受害者收回11.7萬美元加密貨幣:一位MetaMask用戶遭遇網絡釣魚攻擊，無意中將其私鑰交給了騙子。一名白帽黑客成功挽救該用戶錢包（持有24萬美元資金）的一半資金。

Reddit用戶“007happyguy”被引導填寫Whitehat熱線表格，并發布其詳細信息。表格的另一端是一些白帽黑客。這是一項臨時服務，如果有空的話，開發者可以選擇回應請求。前ZenGo區塊鏈研究員Alex Manuskin回應了請求。Manuskin做的第一件事是核實該Reddit用戶擁有的錢包，并且確認其沒有試圖獲取其他人的資金。此時他必須通過索要私鑰來訪問錢包。然后他確保騙子不能再從錢包轉移走資金。為了在以太坊進行交易，用戶需要一些ETH來支付交易費用。因此，他確保任何發送至該錢包的ETH都會被自動發送出去。

為了拯救剩余資金，Manuskin使用了Flashbots，這是一種支持開發人員和礦工之間通信的服務。簡而言之，開發人員可以使用Flashbots向礦工發送一個交易“包”，直接包含在一個區塊中，而不是向網絡廣播交易。

之所以有效是有兩個原因。這種情況的主要原因是，如果錢包里沒有任何ETH，任何零交易費用的交易都不會被任何礦工打包。使用Flashbots的情況是，進行了一項復雜的交易，將資金轉移到另一個錢包，并一次性使用其他資金支付給礦工。第二個原因是它更隱蔽。如果任何交易被廣播到公共網絡上，詐騙者就有機會搶先交易。

Manuskin解釋說，編寫定制腳本和執行交易大約需要5-6個小時。時間的長短取決于交易的復雜性以及他以前是否經歷過類似的情況。在騙子開始轉移錢包資金后，Manuskin設法從錢包剩下的12萬美元代幣中挽救了大約11.7萬美元。（The Block）[2021/7/18 0:59:49]

1月16日凌晨03:47-03:55之間，DAppShield監測到，有黑客向EOS競猜類游戲「影骰」發起連續攻擊，獲利超1萬個EOS。黑客采用的交易阻塞攻擊手段。一個月來，黑客已經憑借該手段發動了4次攻擊。

動態 | 用戶將私鑰相關信息存儲在第三方APP被黑客攻擊 導致加密資產被盜:據AMBcrypto消息，4月6日，推特用戶@XRP4Fam發推稱其XRP和BTC從分類賬中被盜，并轉移至一個幣安賬戶。還用戶@了趙長鵬等人以尋求幫助。趙長鵬要求該用戶提交售后申請來解決這個問題，但是幣安的售后支持團隊無法確定向幣安存入資金的用戶。隨后趙長鵬親自處理此事，并發現該用戶的私鑰或種子字串（也稱為助記符）泄露了。@XRP4Fam聲稱已將此信息存儲在第三方筆記應用程序中，但黑客攻擊了該程序并成功盜取其信息。 與此同時，此事也在XRP社區引起了反響。XRP社區支持者Tiffany Hayden借此事件傳達了另一位XRP社區支持者XRPTrump的觀點。她表示：“XRPTrump總是聲稱，對于多數用戶來說最好是將私鑰存放在交易所，因為個人持有會有風險。此前，這是我跟他最大的分歧所在，但在發生這樣的事件之后，我想我get到他的點了。”[2019/4/8]

12月18日晚間至19日凌晨，多個EOS頭部DAPP則遭遇回滾交易攻擊。

遭受攻擊的幾款游戲基本為EOS頭部較活躍的競猜類游戲：EOSMax、ToBet、BigGame和BetDice。據PeckShield的數據，其中，BetDice一周日均活躍用戶數超5000人，交易額也在5000萬EOS以上。

動態 | PeckShield： EOS競猜游戲FastWin遭遇黑客攻擊 FAST代幣被大量拋售:據 PeckShield 態勢感知平臺12月25日數據顯示：今天中午12:05，EOS競猜類游戲FastWin遭到黑客(mcblockchain)的攻擊。 PeckShield 安全人員初步分析發現：黑客通過攻擊手段掌握并修改了FAST的發幣合約，故意制造出了可多次免費“增發”代幣的漏洞，之后又通過NewDex交易所將“增發”的上億代幣兌換成EOS拋售， 隨后提現上萬個EOS至火幣。值得一提的是，在完成盜幣操作后，黑客于17:03分將游戲合約公鑰修改為黑洞公鑰\"EOS1111111111111111111111111111111114T1Anm”，致使游戲合約被迫停止運營。PeckShield 在此提醒廣大游戲開發者警惕安全風險，尤為注意保護合約私鑰的安全。[2018/12/25]

與此同時，黑客利用重放攻擊漏洞攻破另一款競猜類游戲TRUSTBET。

這些集中攻擊，讓幾款游戲共損失303404.18EOS。以EOS當時的單價18元來測算，黑客盜走的金額達546萬元。

對于這次攻擊，蔣旭憲曾表示，這次攻擊背后是同一個團伙或個人。另外，ECAF追回盜取的EOS預計難度較大，目前已經牽涉到1808個賬戶，數量還在增長中。

動態 | DoraHacks在多倫多大學舉辦區塊鏈主題黑客馬拉松活動:據中國科技網消息，區塊鏈黑客馬拉松組織DoraHacks在加拿大多倫多大學舉辦了區塊鏈主題黑客馬拉松活動，獲獎項目將被多倫多大學孵化器吸收用于孵化。[2018/10/22]

鄧煥分析指出，從早期針對以太坊的TheDAO，到最近的BCE、SMT代幣等事件，以太坊生態已經經過了一場來自黑客的「血的洗禮」，生態環境逐漸趨于安全。而DApp生態的第二翹楚EOS目前正處于蠻荒生長階段，于是黑客開始將魔爪伸向這里。

囂張的攻擊者

對于黑客而言，攻擊這種從別人口袋里掏錢的生意，只有錢難不難掏，沒有錢多錢少的分別。

我們知道，交易所是幣圈最大的聚寶盆，亦是黑客攻擊的高發地。即使在交易量大幅萎縮的境況下，交易所亦逃不過黑客的「摸排」。

賀凱是X交易所的市場負責人。「盡管在各個行情網站上排不上名，但被黑客‘打’卻是家常便飯。」

據他介紹，全球有約1.5萬家交易所，在業內稍微能說的出名字的，基本上三天兩頭就要來一次攻防戰。身處這個「聚寶盆」中，他已經見怪不怪。

但去年11月份的那次黑客尋釁事件，讓賀凱哭笑不得。

那天中午，X交易所的客服像往常一樣在微信群里和用戶聊天。

突然有人加她，沒有注明名字和事由，她通過了。

不料對方一上來就像查戶口似的問：「哎，你是X交易所的嗎？」

「你們其他聯系方式能給我一個嗎？」

對方看客服沒反應補充了句，「我要「打」你們了，怕到時聯系不上你們。這個是你們的啰？」

客服當時明白了，跟她聊天的這個人可能是個黑客。常規的黑客攻擊是先攻擊再勒索，而且最好能攻其不備以降低成本。待攻下后再聯系被攻擊方商談「贖金」事宜。

但這個黑客似乎勝券在握，就等著攻擊結束后的談判了。

「真是活久見」，客服心想。無奈，客服只得回復他：「你先打吧，打完再說。」

作為區塊鏈「白帽子」平臺的調度人，鄧煥沒少見這類令人咋舌的攻擊。

去年12月5日，幣安發布了一個去中心化交易所DEX。消息出來的第二天，DVP即觀察到，社交軟件中有個冒充DEX斂財釣魚網站。

下圖是該釣魚網站的主頁。從UI上看簡直可以以假亂真。

該網站放著幣安此前發布的DEX的宣傳視頻。并配文虛構了一個活動，稱為慶祝DEX的推出，特向全球粉絲贈送5000BTC作為回饋。參與活動的用戶需要先驗證地址，驗證時需發送0.1-10個BTC到指定地址，而后將獲得貢獻BTC數的10倍BTC。

在轉賬頁面，還伴有實時更新的獎池數量、該地址的轉賬交易記錄以及參與用戶的即時評價等，十分逼真。DVP當即發現有人轉賬，那些幣隨即被提走。

DVP向幣安報告了該情報。但該釣魚網站作為外部網站，幣安也拿他沒辦法。

DVP還發現，這個第二天就能上線高仿網站的攻擊者，之前還用同樣的手段模仿過OKEX，可謂在失序的世界中無法無天。即使熊市如此之涼，它也能抓住熱點穩賺一筆。

脆弱的「防護網」

在這些安全事件背后，是黑客不分牛熊的攻擊和熊市中防護網缺失的矛盾。

有數據顯示，目前全球有10000的區塊鏈項目，區塊鏈安全服務公司卻只有不到50家。從紅藍對抗的角度講，紅隊就要比藍隊弱得多。再遇熊市，恐會讓這一狀況更加惡劣。

當前，各個項目方、服務商在寒冬中縮小成本，其在安全上的需求也繼續弱化。這形成了一個惡性循環，在安全上投入越低便越容易遭到攻擊，造成的損失又將給項目方帶來致命的災難。

安全團隊BYSEC的COO劉澤坤和記者講了上個月發生的一個案例。一個以太坊上的菠菜類DApp遭遇黑客攻擊，數萬個ETH被盜，盡管其已做過基本的審計，但離相對安全仍然很遠。

按理說，每個項目都應投入10%的錢來保障100%的資金的安全，但很多團隊在縮減開支中跳過了這一步。

BYSEC團隊是個「白帽子」平臺，其上注冊了5000余名「白帽子」，大多是傳統安全業人員，在上面兼職挖漏洞領取賞金。

到了熊市，平臺上仍在支付賞金的項目方僅有10余家，BYSEC團隊只能提示平臺上的「白帽子」盡量只在這些付費廠家中挖洞，不然可能要變成「楊白勞」。

其他的廠家，要么沒有付費意愿，要么沒有付費能力。

在BYSEC發現一些交易所的重大漏洞后，劉澤坤帶著這些漏洞去聯系交易所，希望安全服務能得到適當回報。

但對方給出的答復卻經常是，「你們的這個服務的確很好，我們也很需要，但老實說我們的收入都沒這么多，實在是付不起。」「活都活不下去了，還講什么安全。就好像我都吃泡面了，你還跟我說泡面不健康。」

轉型謀生存

進入安全行業的錢變少了。一面沒了新的客戶、新的投入，一面是存量客戶已被瓜分殆盡。

安全團隊處境維艱。

慢霧安全團隊在此前的采訪時表示，蓬勃發展后，會進入類似紅海的階段，需要大家進行差異化競爭。比如現在經常有客戶問我們：你們和別人有什么不一樣？

大家需要進行差異化競爭才能活下來，BYSEC也認同這個觀點，并且正在考慮轉型。劉澤坤透露，團隊打算利用在安全行業的積累做一款數字貨幣的支付網關SAAS，面向數字貨幣的商家和C端用戶。

從服務對象和應用場景看，這似乎已和安全行業脫鉤了。但行業沒有生意，像BYSEC這樣的平臺并沒有什么好的辦法。

唯一值得欣慰的或許是，以技術見長的白帽子，如果要回到互聯網或是在其他領域做安全，轉換的成本不算太高。

本文來源于非小號媒體平臺：

Odaily星球日報

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627120.html

區塊鏈

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

下一篇：

BHB到底是什么「暗黑」項目？又為何讓30000人趨之若鶩？

Tags：EOS區塊鏈APPXRPPEOS區塊鏈是什么概念ZAPP價格XRPAYNET

中幣下載