撰文:CertiK
2022 年第三季度,黑客從 Web3.0 領域中盜取了總價值約 5 億美元的資產,這個數字相比上季度減少了 32.32%,同時今年的損失總額增長至 28.8 億美元。
第三季度共發生了 98 起退出騙局,導致了 5619 萬美元的資產損失,23 起閃電貸攻擊則導致了 1737 萬美元的資產損失。
僅 6 起多鏈安全事件造成的高達 4.3 億美元的損失金額就佔到了本季度總損失的 85.3%。
第三季度 CertiK 審計的 Web3.0 項目數量新增了 537 個,同時 CertiK 審計的項目總數達到了 4737 個。37 個 Web3.0 項目成功通過 KYC 項目背景調查,47 個項目入駐 CertiK Skynet。
截至目前,2022 年 CertiK 已完成了 183 個項目的 KYC 項目背景調查服務,同時有 846 個新的 Web3.0 項目入駐 CertiK Skynet。
第三季度攻擊損失清單
① 以攻擊類型分類
- 98 起退出騙局,共計損失 5619 萬美元
- 23 起閃電貸攻擊,共計損失 1737 萬美元
- 50 起其他攻擊事件,共計損失 4.3 億美元
② 以生態系統分類
- Avalanche:4 起事件,共計損失 316 萬美元
- BNB Chain:105 起事件,共計損失 5389 萬美元
- Ethereum:25 起事件,共計損失 2838 萬美元
- Fantom:2 起事件,共計損失 39 萬美元
- Multichain:6 起事件,共計損失 3.53 億美元
- Polygon:3 起事件,共計損失 106 萬美元
- Solana:4 起事件,共計損失 2102 萬美元
- 其他 / 非區塊鏈:11 起事件,共計損失 531 萬美元
③ 以時間分類
- 7 月:59 起事件,共計損失 6673 萬美元
- 8 月:56 起事件,共計損失 2.55 億美元
- 9 月:53 起事件,共計損失1.82 億美元
概要
7 月是今年到目前為止安全態勢最為良好的一個月,黑客攻擊、詐騙行為、漏洞利用和其他安全事件僅造成了 6600 萬美元損失,但該數量在之後兩個月內再次攀升。8 月總損失的 74% 源於 Nomad Finance 跨鏈橋攻擊事件,而 9 月總損失的 89% 源於做市商 Wintermute 錢包被盜的 1.62 億美元。
2022 年第三季度,Web3.0 行業仍然多受退出騙局的困擾。本季度,CertiK 共記錄了 169 起獨立安全事件,其中 58% 被歸類為退出騙局。
如果仍然有一些經驗不足的用戶考慮把錢投資到未經審計的項目中,或是甘願冒着風險急於成為代幣早期持有人,那麼退出騙局就會持續擴散,整個產業也將被其陰影籠罩。
跑路的過程其實非常簡單明了,欺詐團隊所要做的僅僅是複製粘貼現成的騙局項目代碼並將其部署,為去中心化交易所(DEX)的交易對增加流動性,然後將代幣推銷給用戶,直到他們投入了足以讓欺詐團隊脫身的大量資金。
代碼審計很容易就能發現項目錢包所存在的中心化風險及訪問特權,從而根據一些疑點揭露團隊欺詐。我們建議 Web3.0 用戶不要投資任何未經審計,或者那些審計發現了中心化和特權風險卻未修復的項目。
其實所有退出騙局基本都遵循着類似的套路,要規避那些明顯有退出騙局跡象的項目並不困難,因此退出騙局並不能提供 Web3.0 安全方面的最具啟發性案例分析。
但是第三季度還發生了許多其他不尋常的事件,可以讓 Web3.0 用戶和開發者汲取到新的經驗。本報告將分享三個案例,就其事件進行分析並從中為讀者提取安全相關的重要啟示。
Nomad 跨鏈橋黑客攻擊事件:損失 1.9 億美元,成為本季度最嚴重的安全事件;做市商 Wintermute 錢包私鑰泄露事件:被盜 1.62 億美元;Slope 被黑事件:損失 800 萬美元,其是 Solana 生態中比較流行的熱錢包,被黑數額相對較小。然而,以上所有損失都是由於不安全的應用程序代碼所致,這就表明要實現 Web3.0 的全面安全不僅關乎智能合約,技術堆棧的各個層面也必須保證安全。
實際上,Nomad 跨鏈橋被黑和 Wintermute 私鑰泄露事件的資產損失合計佔據了第三季度總損失的近 70%,這說明成功的漏洞攻擊很可能不需要黑客付出過多「努力」,而其所得的回報有可能是巨大的。換句話說,無論目標錢包存有 162 美元還是 1.62 億美元,如果攻擊者想要暴力破解其私鑰,所要付出的算力都是一樣的。而在 Nomad 被黑事件中,任何普通用戶都能簡單複製原始攻擊者的交易,並換成自己的錢包地址實施攻擊,這也更加凸顯 Web3.0 世界的殘酷性。毫無疑問,所有漏洞都會受到最大程度地利用。Web3.0 開發者必須認真對待安全問題,不僅是為了保護用戶資金,也是為了保障整個項目的長期生存和發展。
重大安全事件
私鑰安全危機四伏
導致 Slope 錢包被黑的漏洞並不常見,該事件涉及了 9000 多個錢包地址,損失金額高達 800 萬美元。大部分因退出騙局或智能合約代碼錯誤造成的損失只發生在區塊鏈上,但這次事件卻源自一個鏈下漏洞。
8 月 2 日晚,Solana 用戶錢包中的資產開始神秘消失,且每筆轉賬都是有效交易,就像是錢包主人自己操作簽名轉移了所有代幣。調查人員在調查被黑錢包之間共性的過程中,關於漏洞起源的一系列假設也開始流傳。
這些假設和結論讓那些擔憂大型 DeFi 平台被黑導致數十萬用戶和價值數十億美元的資產都將處於險境之中的人們鬆了口氣。因為就在前一天剛剛發生了 Nomad 跨鏈橋被黑事件,人們仍然處於神經緊繃的狀態中。最終 Slope 的漏洞是在其錢包應用程序的代碼中被發現的——該程序會在服務器上以明文形式存儲用戶的助記詞。當攻擊者獲得該數據庫的訪問權時,就能完全控制所有受到影響的錢包,並立即捲走資產。
一些反應迅速的用戶已將資金轉移到了硬件錢包或其他不受 Slope 漏洞影響的熱錢包中。
安全啟示:使用硬件錢包或者網絡隔離(airgapped)電腦離線生成密鑰是最安全的做法,而在熱錢包中生成或導入的私鑰都不宜用於存放任何重要資產。
謹慎處理錢包密鑰
9 月 20 日,最大數字資產做市商之一的 Wintermute 因私鑰泄露造成 1.62 億美元損失,原因是 Wintermute 使用第三方工具生成的「vanity」地址存在漏洞,並遭到黑客利用。造成這次意外事件的原因不同於由智能合約漏洞所致的常見情況,而是來自外部的基礎設施問題。
大多數以太坊地址看起來是一串完全隨機的字母和數字,開頭都為 0x。這樣的好處是提供了一定程度的隱私性,但這並不能滿足想要一個獨特地址的用戶。基於人們對「vanity 地址」(如靚號車牌)的追求,一個名為「Profanity」的 vanity 生成器應運而生,它可幫助用戶為包含指定單詞或字符串的地址生成密鑰。
除此之外,Profanity 還可以被用來創建錢包地址,以優化手續費,這也是 Wintermute 團隊創建 0x00000000AE347……b92280f9e75 地址的初衷,但卻最終導致了錢包被黑。開頭那串冗長的 0 簡化了地址,減少了以太坊網絡的算力需求,從而在一定程度上降低了交易手續費——這些節省下來的手續費看似微小,卻會在成千上萬的交易中積少成多。
2022 年 1 月,用戶 k06a 曾在 Profanity 的 GitHub(已被開發者放棄三年以上):https://github.com/johguse/profanity/issues/61,提出了一個關於私鑰生成方式的問題:Profanity 使用一個隨機的 32 位種子數來生成 256 位私鑰。
2022 年 9 月 15 日,1Inch 發表了一篇文章,詳細介紹了如何破解 Profanity 生成的錢包私鑰的方法。
僅過兩天,該漏洞就在眾目睽睽之下遭到黑客利用。0x6…b93 錢包賬戶抽空了多個 vanity 錢包,包括來自 0x0Babe…B05 的 500 枚 ETH、0x888888888…597 的 100 枚 ETH、0x000000…422 的 104.4 枚 ETH,以及更多其他錢包的資產,總價值為 330 萬美元。
在技術發展瞬息萬變的 Web3.0 世界,只需要四天就能藉助這一漏洞攻破一個 Wintermute 的 DeFi 交易錢包,其損失的 1.62 億美元也是今年因私鑰泄露造成的最高資產損失。
事發后,攻擊者迅速將價值 1.14 億美元的穩定幣轉入 Curve Finance 的 3Pool(USDC、USDT 和 DAI)。有人猜測這是為了避免被盜資金被 USDT 和 USDC 列入黑名單並凍結。
但問題還沒解決:所有基於 Profanity 創建的錢包都存在風險。9 月 25 日,vanity 地址 0x000000000……Ff3791338975 被黑,攻擊者捲走了錢包中價值超過 95 萬美元的各種代幣,將其換成 732.3 枚 ETH 后,又通過 15 次交易把這些代幣全部存入 Tornado Cash。
通過 SkyTrace 可視化追蹤黑客錢包
數字金融服務提供商 Amber Group 稱其團隊能夠在 48 小時內利用一台 M1 處理器和 16G 內存的 MacBook 復現黑客構建的漏洞併發起攻擊。
安全啟示:所有使用 Profanity 生成錢包的用戶都應儘快將資產轉移到可離線生成密鑰的錢包中。
Nomad 跨鏈橋遭劫
8 月 1 日,Nomad Finance 在 Ethereum、Moonbeam、Avalanche、Evmos 和 Milkomeda 之間的跨鏈橋遭到攻擊,涉案金額約 1.9 億美元。
在一次常規升級部署后,由於一個錯誤配置允許黑客繞過驗證信息,最終導致了這起悲劇發生。最初攻擊的消息被傳開以後,其他黑客、機器人以及社區成員也紛紛效仿,通過克隆原始黑客的交易數據、換上他們自己的地址發起攻擊,幾乎抽空了跨鏈橋的所有資產。
百聞不如一見:人們對一個持有 9 位數資產的跨鏈橋實施了去中心化式搶劫?
–@0xfoobar
這次的漏洞本質上源於 acceptableRoot(messages[_messageHash]) 函數中的一個錯誤,它允許用戶繞過從跨鏈橋上提取資金所需要的驗證。關於此次事件的完整技術分析,歡迎閱讀 CertiK 官方公眾號發布的 Nomad 事件分析報告《驚天魔盜,近 2 億美金損失!Nomad Bridge 攻擊事件分析》。
跨鏈橋為巨額資金提供託管服務,是其成為黑客主要目標的原因。今年初,Wormhole 跨鏈橋遭漏洞利用,損失超過 3.2 億美元,是有史以來第二大 DeFi 被黑事件。
值得注意的是,在這場混亂不堪的攻擊中,所有對相關技術稍有了解的投機用戶都能輕鬆複製原始攻擊者的交易,這些人蜂擁而上將跨鏈橋洗劫一空。
作為回應,Nomad 宣布向所有歸還贓款的用戶提供 10% 的白帽賞金,同時將對那些不歸還資金的人採取法律行動。
安全啟示:某個漏洞一旦被公開,就別指望惡意者不會抓緊機會聞風而動,因為開源的代碼意味着所有人都可以對其進行最大程度的惡意利用。
本季度大事記
以太坊已順利合併
9 月 15 日凌晨,無數目光聚焦在以太坊。Web3.0 史上最重大的網絡升級順利完成,以太坊的共識機制正式轉為 PoS 權益證明。關閉 PoW 工作證明后,以太坊的網絡能耗從 112 TW/ 年驟降為 0.01 TW/ 年。這 99.95% 的能耗降幅不僅減少了以太坊網絡對環境的影響,也讓 ETH 在面對那些曾因環保顧慮而放棄了合作的用戶和投資者時更具吸引力。
本次合併是一項了不起的技術成就,此次升級的巨大成功也得益於開發者與網絡成員多年的精心準備。如果升級失敗,整個網絡都將承受災難性的後果。
儘管人們仍然擔心驗證者的中心化問題,但如果消除了對昂貴挖礦設備的需求,更加多樣的網絡參與者會被吸引加入。雖然還有許多其他 PoS 網絡也在運行,但對於鎖定價值數千億美元資產的以太坊網絡來說,其雄心勃勃的發展計劃已經箭在弦上。
史上最強制裁風暴
8 月 8 日,美國財政部下屬海外資產控制辦公室(簡稱 OFAC)宣布將以太坊混幣隱私應用 Tornado Cash 和相關 44 個錢包地址納入制裁名單(Specially Designated Nationals, SDN) ,禁止任何美國個人和實體與 Tornado Cash 相關地址進行交互,並要求 Tornado Cash 向 OFAC 報告其平台上所有的美國資產。
與此同時,現年 29 歲的 Tornado Cash 軟件開發者 Alexey Pertsev 被荷蘭當局逮捕,理由是「涉嫌利用 Tornado Cash 以太坊混合服務參與洗錢和隱瞞犯罪資金流動」。截至發稿前,Pertsev 尚未被正式指控任何罪行,而荷蘭法律規定犯罪嫌疑人在未受指控的情況下最長可被羈押 110 天。
美國財政部對 Tornado Cash 採用「聲名狼藉」的描述也並非毫無理由。Tornado Cash 自 2019 年成立以來,已被用於價值超過 70 億美元的數字貨幣洗錢活動。其中包括由朝鮮國家支持的黑客組織 Lazarus Group 所盜取的超過 4.55 億美元、來自 Harmony Bridge 漏洞攻擊的 9600 萬美元,以及 2022 年 8 月 2 日 Nomad Heist 事件中的至少 780 萬美元等事件。
但美國財政部將 Tornado Cash 的所有應用均概括為洗錢活動就有失偏頗了。雖然 Tornado Cash 的確成了犯罪分子清洗不義之財的首選工具,但在區塊鏈技術的開放世界中,該平台也作為重要的金融隱私工具之一發揮着作用。以太坊聯合創始人 Vitalik Buterin 在制裁后透露,他曾使用 Tornado Cash 進行過私人捐款。而僅在今年,反對金融監管的鬥爭已經贏得了來自不同意識形態的個人和團體支持,如美國的支持選擇權活動家和加拿大的反疫苗授權抗議者。
在禁令宣布后,Tornado Cash 在 GitHub 上的開源代碼被迅速刪除,但在 OFAC 就此事作出了澄清后,代碼又被重新恢復。9 月 13 日,OFAC 在其常見問題頁面中發布了指導意見:
「雖然美國被禁止與 Tornado Cash 或其被封鎖的財產或財產權益進行任何交易,但只要不涉及禁止交易,與 Tornado Cash 開源代碼本身的互動就是被允許的。例如,美國制裁法規不會禁止人們複製開源代碼並將其在線提供給他人查看、討論以及教學,或將開源代碼收錄於書面出版物(如教科書)中。」
這個仍在繼續的 Web3.0 傳奇故事凸顯了 Web3.0 資產與行業相關實體(如 GitHub)所面臨的挑戰:在試圖遵守嚴格的政府行動的同時,又要對事後遲來的指導意見及時作出反應。
本文鏈接:https://www.8btc.com/article/6783588
轉載請註明文章出處