2021年的区块链世界,光明的一面欣欣向荣,阴暗的一面也在稳步发展。据慢雾黑客不完全统计,2021年区块链世界安全事件频发,数量、风险、涉案金额、影响规模都远超往年。其中,还发生了罕见的“白帽黑客”事件,给人们敲响了安全警钟。所谓“白帽黑客”,特指利用黑客惯用的破坏性攻击手段维护网络安全的一群人,与“黑帽黑客”相对。然而,2021年最著名的“白帽黑客”在实施攻击前并没有获得许可,涉案金额高达6亿美元,但最终黑客还是全额归还了被盗资产,并且保利网络也放弃追究其法律责任。.科技不分是非善恶,区块链黑客事件从未间断。交易所、钱包、公链、各类生态DApp、DeFi项目……究竟哪一个才是黑客关注的核心?1、窃取6亿美元资产发回后,黑客说“我只是想提醒你”2021年8月3月,匿名黑客攻击PolyNetwork(异构跨链协议),并投入2.5亿,Ethereum、BSC(BinanceSmartChain)、Polygon(以太坊侧链)上2.7亿美元、8500万美元的加密资产悄然转移,总金额高达6.1亿美元,全程耗时34分钟.然而,随着各方开始封锁,黑客在接下来的12天内归还了大部分被盗资产,并声称自己对钱不感兴趣,“白帽黑客”的标签由此诞生。6.1亿美元,这不仅是DeFi历史上最大的黑客事件,也是加密货币史上最大的黑客事件,超过了著名的Mt.case(5.23亿XEM,当时约5.34亿美元)。面对如此大规模的安全事件,“当事人”不敢有丝毫懈怠。保利网络在晚上8点38分分发了一份文件。当天,向外界公布了自己受到的攻击,将黑客在不同链上的具体地址公布出来,呼吁矿工和交易。都伸出援助之手,阻止由黑客地址发起的交易。(图片来自保利网络推特截图)币安CEO赵长鹏、OKexCEOJay等先后表态支持。稳定币USDT发行方Tether首席技术官PaoloArdoino也表示,Tether已冻结黑客地址3300万美元。尽管围城,黑客还是通过各种手段快速混币(即一笔交易包含大量的输入和输出,而输入和输出之间的连接实际上是分离的,不易追踪),并在当天通过Curve兑换了9706万美元的USDC为DAI,在BSC上使用Curve分叉项目EllipsisFinance混合了近1.2亿美元。据形势新闻报道,事发当天,保利运营团队彻夜未眠。除了巨额资产被盗的压力外,加密界层出不穷的猜想也让其如芒在背。安全研究员MuditGupta、PrimitiveVentures创始人合伙人DoveyWan等人先后发表文章暗示此事可能存在“内部攻击”,甚至猜测保利“自作主张”。声势浩大的围攻行动,引得围观群众纷纷吃瓜。事发当天,有“好心人”向黑客地址发送交易,并留言提醒其USDT已被列入黑名单。).“致富之路”从这里开始,一大批“吃瓜群众”涌向这里。有的谈项目和投资,有的谈梦想要学费,有的找黑客“拉”自己的币。直接拜师,认兄长者。可当围观的人看热闹的时候,事情却出现了转机。事发第二天,攻击保利网络的黑客主动现身Etherscan,通过链上交易备注表示愿意归还被盗资产,并要求保利项目方为其提供多-签名钱包。“为什么要退款?”“我对钱不是很感兴趣,”黑客回答说:“获得这么多财富已经是传说,拯救世界是永恒的传说。”2021年8月11日,黑客返还价值470万美元的资产,其中UCDC100万美元,BTCB110万美元,其他资产260万美元。当天晚些时候,黑客再次向保利网络团队在币安智能链上留下的收款地址返还近1.2亿BUSD、26600枚ETH、1000枚BTCB,总价值约2.5亿美元。在接下来的12天里,黑客逐渐归还了BSC、Ploygon、以太坊上所有被盗的加密资产。网络安全问题。2021年8月13日,F2Pool联合创始人、Cobo联合创始人兼CEO神鱼发表博文,将PolyNetwork的攻击者称为网络安全的守护者——“白帽黑客”,并表示他们将在Cryptovoxels中构建感谢所有参与纪念PolyNetwork事件的纪念碑的人。随后,保利网络也宣布升级主网,并邀请之前的攻击者担任保利网络首席安全顾问。2、哪里有钱,哪里就有黑客回过头来看,“白帽黑客”事件就是在跨链协议被攻破的基础上发生的,后续的漏洞还涉及到以太坊公链、Polygon生态、稳定币USDT等,使得黑客可以在Binance、OKEx、Tether等龙头企业的封锁下快速混币、转移被盗资产。这其中暴露出的安全隐患,值得加密界警惕。据慢雾黑客不完全统计,2021年区块链生态被披露的区块链安全事件共计236起,损失超98.86亿美元。其中,生态DApp、DeFi等安全事件共127起,占绝大多数。此外,交易所安全事件14起,公链安全事件8起,钱包安全事件3起,其他类型(项目跑路等)安全事件84起。从以上数据可以看出,DApps、DeFi项目、各生态交易所是2021年区块链世界黑客安全事件的重灾区。一位业内资深安全人士告诉《链新》,有大量资金聚集在加密货币交易所,人员复杂,防御薄弱,用户缺乏足够的安全意识,容易出现安全漏洞,无论是从弱点还是盈利角度,都是“香饽饽””,黑客无法忽视,通过攻击交易所的冷/热钱包来盗币是2021年的一个显着特征。2021年2月,在新西兰交易所Cryptopia清算人GrantThornton控制的冷钱包失窃案中(此后一直处于休眠状态)2019年1月),黑客通过访问钱包窃取了约196万美元的Xtake。同年8月19日,日本加密交易平台Liquid的热钱包也被盗,总损失约9135万美元。除了交易所之外,聚集资金的钱包也对黑客有吸引力,这将导致2021年钱包泄漏安全事件层出不穷。根据AML11月份的报告,数万人被盗用假钱包应用程序,损失高达13亿美元。除了交易所,值得一提的还有公链攻击。从2021年8月开始,先是BSV遭到51%攻击,近百个区块被重组,随后ETC主网因以太坊客户端Geth漏洞分叉,紧接着Solana主网Beta版也遭遇拒绝服务攻击,网络断线17小时。但是,无论是公链、钱包还是交易所,在涉及的金额、攻击次数、影响范围等方面都比不上DeFi、DApp、NFT、跨链部分,而这部分也是去年最频繁的黑客事件。场地。DeFi自诞生以来,就伴随着无数的风险。近年来,许多DeFi项目的价值呈爆发式翻倍增长,黑客事件也愈演愈烈。闪贷攻击、合约漏洞、兼容性或架构问题、私钥泄露或前端攻击、内部作案……DeFi的各种套路层出不穷,令人瞠目结舌。2021年ETH生态SushiSwap两次被攻击,SIL.Finance合约存在高危漏洞。在BSC生态中,CreamFinance曾3次遭到闪电贷攻击,累计损失超过1.87亿美元。EOS生态flash.sx闪贷智能合约遭遇“重入”攻击。在Polygon生态系统中,使用收入农业协议PolyYeldFinance项目合同。此外,HECO生态还发生了DDEX代码后门事件。“DeFi、DApp、NFT、跨链”板块安全事件频发。这种现象不仅仅出现在2021年,据《链新》观察,这种模式自2018年安全事件数量猛增以来就已经出现,甚至一直持续到2022年。3、十年损失239亿美元从2008年到2022年,随着区块链的发展,黑客事件愈演愈烈。据慢雾黑客数据显示,自2012年以来,全球区块链生态中公开的区块链安全事件仅610起,总损失约238.78亿美元。分年份来看,2018年之后出现了明显的阶段性变化,涉案数量和金额较之前翻了一番。根据区块链安全公司PeckShield和BCSEC的调查数据显示,2018年全年共发生区块链安全事件138起,造成经济损失22.38亿美元,其中以太坊公链和EOS公链首当其冲,其次是交易所、钱包。其中,以太坊公链发生“BEC美国链被黑,9亿美元一天蒸发”等事件超过54起;EOS公链安全事件超过49起,其中大部分是由于DApp生态爆发(8-11月)造成的随机数、虚假通知、交易回滚等攻击,直接经济损失高达为747,000EOS。相比之下,虽然针对交易所的攻击事件有十余起,但仅受到2018年1月26日“日本Coincheck交易所被盗”和同年3月7日“BinanceExchange被黑客入侵”两起案件的影响.更大。BTC事故只有3起,类似9月份的“BTC超发漏洞”,也是在造成危害前修复的。在此基础上《链新》发现,在以公链、交易所、钱包、ETH生态、BSC生态、TRON生态、EOS生态、Ploygon生态、HECO生态等为代表的九大安全事故现场中,EOS生态、ETH生态尤其受到黑客的关注,对交易所的攻击次数比较多。这三个领域共发生安全事故356多起,涉案金额超过125亿美元,占总数的52.35%以上。同样的模式也体现在AtlasVPN团队发布的“2020BlockchainHacking”系列报告中。AtlasVPN团队注意到2020年对ETHDApp的47次成功攻击,以及对加密货币交易所的28次破坏。围绕DeFi、DApp生态、交易所的黑客攻击现象将持续到2022年。截至2022年1月18日,据慢雾黑客统计,全球区块链共披露2022年16起区块链安全事件生态,其中除6起越野事件外,均为DeFi和DApp生态安全事件和交易所安全事件。在此情况下,多家权威机构纷纷发布报告,提醒加密世界注意防范黑客攻击,加强区块链安全建设。McAfee此前曾发文《区块链威胁报告》,称“区块链是去中心化在线交易的革命性基础,但存在安全隐患”。2021年3月,中国信息通信研究院也发布《区块链安全能力测评与分析报告》,指出区块链存在“十大安全隐患”,反复提醒外界树立防范意识。
