區塊鏈:黑客攻擊頻頻 Web3的安全在哪里？_DAO價格區塊鏈工程專業學什么

今年以來，黑客攻擊事件頻繁，僅10月20日到10月25日就發生了5余起安全事件，這還是除去各類的釣魚網站、虛假賬戶以及項目方跑路等安全事件。那么，今年哪些板塊和生態黑客攻擊事件最為頻繁？最近加密領域又有哪些安全事件值得注意？這些安全事件折射出加密市場有哪些亟需彌補的短板？未來Web3將朝著哪些方向發展？作為用戶，我們又能做些什么來保證我們的資產安全呢？本文將就這些問題進行探討。

加密世界愁云慘淡，下半年黑客攻擊異常猖獗

今年毫無疑問是加密市場的熊市之年，不少散戶和項目方本就因幣價下跌而損失慘重，可“屋漏偏又逢陰雨”，整個加密市場又不斷遭受黑客“洗劫”。到了今年下半年，黑客攻擊更是異常猖獗，下面就將今年主要黑客攻擊事件進行匯總梳理。

Waves Labs去年曾在長達半年的黑客攻擊中遭受“財務損失”:5月17日消息， Waves創始人Sasha Ivanov（Aleksandr Ivanov）在接受采訪時表示，黑客去年入侵了Waves Labs，破壞了內部數據并造成了“財務損失”。黑客“潛入”Waves的管理軟件系統，并試圖從這家陷入困境的區塊鏈公司敲詐錢財。黑客告訴Ivanov：“我們已經在你的系統里潛伏半年了。所以我們什么都知道，你必須付錢給我們。”Ivanov拒絕透露黑客攻擊造成的具體經濟損失，也沒有提供有關被盜數據的詳細信息。Ivanov表示：“情況非常糟糕，我們可能會遭受更大的經濟損失。”對Wave內部系統的黑客攻擊也有可能泄露用戶的數據。[2023/5/17 15:08:36]

據派盾數據統計，2022年上半年黑客攻擊總共加密市場總損失達11.3599億美元，其中大約53%的攻擊是利用合約漏洞，大約26.6%的攻擊涉及閃電貸。從黑客攻擊領域看，大約71%的攻擊發生在DeFi領域，受多方面因素影響，DeFi市場TVL從1月初的2760億美元下降到6月底的800億美元，下降了71%。

Beosin：BNBChain上DPC代幣合約遭受黑客攻擊事件分析:據Beosin EagleEye平臺監測顯示，DPC代幣合約遭受黑客攻擊，損失約103,755美元。Beosin安全團隊分析發現攻擊者首先利用DPC代幣合約中的tokenAirdop函數為滿足領取獎勵條件做準備，然后攻擊者使用USDT兌換DPC代幣再添加流動性獲得LP代幣，再抵押LP代幣在代幣合約中。前面的準備，是為了滿足領獎條件。然后攻擊者反復調用DPC代幣中的claimStakeLp函數反復領取獎勵。因為在getClaimQuota函數中的” ClaimQuota = ClaimQuota.add(oldClaimQuota[addr]);”，導致獎勵可以一直累積。最后攻擊者調用DPC合約中claimDpcAirdrop 函數提取出獎勵（DPC代幣），換成Udst離場。目前被盜資金還存放在攻擊者地址，Beosin安全團隊將持續跟蹤。[2022/9/10 13:21:00]

進入到今年三季度，黑客事件更是頻發。從攻擊類型看，加密市場總共發生98起退出騙局，共計損失5619萬美元，發生23起閃電貸攻擊，共計損失1737萬美元，發生50起其他攻擊事件，共計損失4.3億美元。從生態系統上看，BNBChain生態黑客安全事件最多，共發生105起，其次是以太坊生態，共發生25起，黑客攻擊造成生態損失最大的是Multichain，共發生6起事件，共計損失3.53億美元。從時間上看，7月發生59起安全事件，8月發生56起安全事件，9月發生53起安全事件。十月也是多事之秋，僅10月20日到10月25日就發生了5余起，這還是除去各類的釣魚網站、虛假賬戶以及項目方跑路等安全事件，以下是近期相對典型的安全事件：

數字藝術家Beeple的Discord遭黑客攻擊，虛假NFT空投導致用戶損失約38 ETH:11月11日消息，數字藝術家Beeple的Discord中一位名叫“Multi”的管理員向該小組確認，盡管他們有2FA（雙因子驗證），但他們的賬戶還是被入侵了。肇事者冒充了Multi和Beeple公告機器人，在Nifty Gateway上宣傳Beeple的虛假NFT空投，時間與其第二次佳士得拍賣會相吻合。此前Beeple也開展過類似的抽獎活動，用戶可以1美元的價格搶購其NFT。事件發生一個多小時后，原管理員重新獲得了對其登錄的控制權。據Etherscan顯示，據稱黑客的錢包只剩下9121.54美元，有25個ETH被突然轉移。然而，用戶報告說損失了更多的ETH。（Cointelegraph）[2021/11/11 6:45:57]

10月20日，以太坊鬧鐘服務漏洞被利用，導致約26萬美元被黑客盜取。

動態 | 加密貨幣交易所受到黑客攻擊數量正在下降:據cryptobriefing報道，交易所黑客攻擊是加密貨幣持有者面臨的最大威脅。但列支敦士登一家銀行的最新報告顯示，黑客們從投資者和交易所處盜取加密貨幣的機會越來越少。 家族經營的Frick Bank的研究發現，自2011年以來，盡管加密盜竊造成的總體損失在普遍上漲，但被報告的盜竊數量卻在穩步下降。業務分析師Martin Stolze表示：“資產損失的實際比例正在下降，這表明托管方面的業務正在逐漸專業化。”交易所安全性的提高，加上機構級托管人的增加，可能是加密盜竊事件減少的原因之一。由于為大規模投資者提供了更好的冷存儲解決方案，以及為熱錢包提供了更好的安全協議，交易所現在有了更好的設備來保護用戶存款。[2019/8/11]

10月23日，Optimism生態投資項目Layer2DAO遭遇黑客攻擊，黑客通過獲取Layer2DAO的多重簽名權限盜走約4995萬枚L2DAOToken并將部分拋售，使得L2DAO價格一度下跌約90%。

動態 | 競猜游戲接連遭黑客攻擊 EOS DApp生態安全刻不容緩:據PeckShield態勢感知平臺數據顯示：今晨08:59至09:00,不到一分鐘時間，黑客共計向eos.win游戲合約（eosluckydice）發起125次攻擊，獲利超9,180個EOS。PeckShield安全人員跟蹤分析發現，黑客先是于昨晚22:46實施了小額測試攻擊，在掌握攻擊方法后，于今晨采用多個關聯賬號實施快速攻擊，并迅速將非法所得資金轉至火幣交易所。

近一個月內，已經有超5款EOS競猜類游戲遭到了攻擊，攻擊原因大多和隨機數漏洞有關。PeckShield分析認為，多個攻擊團隊在背后積極發現和利用漏洞，類似攻擊有可能會愈加頻繁，且他們的攻擊效率有逐漸提升的跡象。[2018/11/11]

10月24日，SBF發推稱一些用戶在虛假網站上注冊交易，并泄露了自己的FTXAPI密鑰。

10月24日，QuickSwap因閃電貸攻擊損失22萬美元。

10月25日，Web3音樂項目Melody合約受到黑客攻擊，代幣SNS被盜。

Web3安全該如何保障，聽一聽行業大V的建議

在Web2向Web3的發展過程中，區塊鏈帶來了諸多好處，比如公開透明、自己掌控資產和數據等；但是，合約代碼開源、鏈上數據不可篡改以及權力下放等似乎又給了黑客可乘之機。那么該如何看待區塊鏈技術這把雙刃劍？未來Web3的安全問題又該如何解決呢？筆者整理了部分行業KOL的觀點，供讀者參考。

Polygon首席安全官MuditGupta認為，完美的代碼和密碼學是不夠的，希望Web3公司聘請傳統安全專家來結束容易預防的黑客攻擊。最近發生的幾起加密攻擊最終是Web2安全漏洞的結果，例如私鑰管理和網絡釣魚攻擊以獲取登錄信息，而不是設計不良的區塊鏈技術；在不采用標準Web2網絡安全實踐的情況下獲得經過認證的智能合約安全審計并不足以保護協議和用戶的錢包不被攻擊。我一直建議所有大公司至少聘請一位真正重視密鑰管理的專門安全人員。

Beosin安全團隊子玉表示，一定要對運維等內部人員做好安全培訓，因為人其實是安全環節里最充滿可變性和不穩定性的一個環節；前陣子有一個跨鏈橋遭受了攻擊，當時大家都以為是私鑰被盜/泄露了，結果后來發現是社工釣魚。團隊中的一個工程師想找工作，隨后收到了一個高薪offer，當他打開offer文檔時，電腦就被入侵了，導致了數據泄露。

BAICapital合伙人Will表示：這個行業強調codeislaw，立法和執法都是沒有的。之前的Web3用戶以程序員為主，大家需要對自己完全負責。現在用戶圈層逐漸擴大到了小白，這類用戶是帶著傳統移動端時代對于應用的盲性/體驗上的慣性來到Web3的。所以我覺得安全問題更應該是面向C端解決的，在開發者端、網站端和項目端也需要有安全對策。

安全公司TrailofBits前顧問、數字支付公司安全工程師BobbyTonic認為，對于Web3公司來說，最重要的是了解系統技術的復雜性以及確保其應用程序設計的正確性。對于Web3組織而言，不能保證代碼的復雜性和正確性會產生災難性的后果，因為攻擊者可以隨時查看其系統和應用程序的源代碼。因此，Web3將他們開發的應用程序提交給第三方安全研究公司進行審查已經成為了一種共識：即向用戶承諾該應用已經通過了安全測試，可以放心使用。

給用戶的一些小建議

在Web3世界，權力下放到用戶手中，要想在Web3世界中暢游，安全意識是必不可少的。筆者在此給出一些安全指南，希望可以給剛進入行業的小白一些幫助。

在錢包的使用方面：1、郵箱密碼要至少12位以上，并且開啟二步驗證；2、不要告訴任何人你的任何數字貨幣信息；3、使用硬件錢包管理賬戶；4、注意使用chrome插件；5、使用VPN保護你的連接免受窺探者的侵害；6、使用2FA；7、把日常用錢包和主要錢包分開；8、經常換錢包；9、結合使用冷熱錢包。

另外，用戶也要持續保持防范意識，謹防假網站釣魚、電信詐騙、跑路風險等詐騙類型。對所參與項目的最新進展可以多加關注，日常刷刷官方通告渠道或社區，一旦有技術升級、產品更新、服務暫停、漏洞預警或事故披露，也能第一時間獲悉，并行動起來保護資產。

作者：比推AsherZhang

Tags：DAO區塊鏈以太坊DAO幣DAO價格區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢以太坊幣是什么幣

Luna