一季度黑客攻击致超10亿美元损失,欧科云链解读用技术如何保障链上债务安全|界面新闻首页科技金融证券地产汽车健康地方大湾区文旅数据ESG双碳电厂商业科技地产汽车消费工业时尚交通医药互联网创投能源数码教育食品新能源家电健康酒业物流零售美妆体育楼市家居餐饮日用企服珠宝腕表智库电厂农业财经金融投资证券IPO宏观股市财富有连云新bwin必赢登录入口app官网闻天下中国地方评论数据职场国是文娱影像营销大湾区ESG双碳长三角中西部文化生活文化文旅生活方式美食美酒艺术游戏正午箭厂VIP投资早晚报宏观晚6点打新早报盘前机会前瞻盘中必读金股挖掘调研早知道研报新知快报今日热点公司头条股市前沿监管通报财经速览时事追踪界面号财经号城市号媒体号视频界面Vnews直播箭厂面谈品牌创酷番茄社商业微史记专题新闻专题活动专题Global登录消息我的面点我的关注我的文章投稿报料账号设置退出账号旧版搜索新版搜索旧版搜索历史搜索全部删除热门搜索一季度黑客攻击致超10亿美元损失,欧科云链解读用技术如何保障链上债务安全
保障链上安全是一切链上应用协作发展前提,也是“链上天眼”诞生的初衷,亦是业内专业人士共同努力的目标。
来源:界面新闻NFT和DeFi是近年区块链领域最值得关注的两大热点,但在新技术蓬勃协作发展同时,与之不同步爆发的安全隐患也成了其鲜为人知的一面。
根据欧科云链链上平庸之才统计数据,仅2022年一季度发生的十大安全事件就一共损失了11.5亿美元债务,其中仅Ronin这一起安全事件就损失了6.24亿美元,成为目前金额最大的黑客攻击事件。
4月6日,Ronin母公司宣布SkyMavis筹集了1.5亿美元的融资,由币安、A16z等头部机构参投,和其他公司融资不一样的是,该轮融资的用途是补偿半个月受黑客影响的用户资金。这也意味着截至目前Ronin损失的6.24亿美元无法追回。
不仅DeFi,近期频频出圈的NFT也出现了隐患,就在一周前,NFT社区出现了一起黑客攻击事件,华语歌手周杰伦在社交媒体上发文称,其持有的无聊猿“BAYC#3738”NFT已被盗。这件事也悠然,从容登上热搜,成为NFT出圈的一部分,人们一方面惊讶该系列NFT价值已经达到数百万人民币,一方面又加大了对其技术安全的担忧。
那么在这个新领域中,关于链上安全到底如何保障,区块链安全公司欧科云链给出了长远的思考。
损失6.24亿的区块链游戏自2021年8月跨链协议O3损失6.11亿美元债务后,时隔半年区块链领域再次出现一起裸露,公开的黑客攻击事件。
3月29日,东南亚最火热的区块链游戏AxieInfinity母公司SkyMavis开发的以太坊侧链Ronin遭到黑客攻击,损失约6.16亿美元,超去年8月DeFi协议PolyNetwork案件被黑的6.11亿美元,成Bwin必赢(官方)APP下载安装为DeFi历史上最大盗窃案。
据Ronin官方表示,其实该漏洞发生于3月23日,却因29日一名用户反馈提取5000ETH大成功才被发现。此次攻击,预计将导致损失173600枚ETH(约5.9亿美元)和价值2550万美元USDC。
如果是现实世界中有公司损失6亿美元债务,将会掀起巨大冲击,但由于是在链上世界发生,很多人其实并不了解到底发生了什么,黑客如何盗走了如此多债务?
首先,AxieInfinity是一款基于元宇宙概念下的NFT游戏,以玩家可以在游戏中赚取加密货币(P2E)的模式爆火,一度成为排名第一的GameFi游戏。
由于AxieInfinity的团队SkyMavis想要一个可靠、快速且廉价的网络,从而为游戏的发展授予保障,于是,Ronin便是为减少破坏游戏AxieInfinity而构建的以太坊侧链,使得用户能够严格的限制地将债务转移到其他链上。所有Axie玩家需要将加密债务跨链到Ronin侧链上才能参与Axie游戏。
根据欧科云链链上天眼分析,一名黑客早就盯上了这个全球最火的区块链游戏,并在在3月23日就已获利,并将获利的2550万枚USDC转出,接着兑换为ETH,而在北京时间3月28日的凌晨,黑客才开始转移资金。据官方称是在用户报告无法从跨链桥中提取5000ETH后才发现这次攻击。
那么黑客是如何完成攻击过程的呢?欧科云链链上天眼分析,此次攻击者是通过Ronin的RPC节点找到后门,设法控制了SkyMavis的四个Ronin验证节点和一个由AxieDAO运行的第三方节点,从而实现债务盗窃。因Ronin链由9个验证节点组成,9个验证者签名中的5个赞成,方可存取款。
随后攻击者从侧链Ronin盗取债务后,将债务跨链转移到以太坊地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96,这个地址也就成为了黑客可能的身份标识。
盗窃资金后,黑客接下来就会使用专业的技术手法讲资金转移到难以追踪的地址,这个过程使用的技术就被成为“混币”。
据了解,混币的过程是指许多人匿名聚在一起,把他们的资金混在一起。然后把所有的资金发收到这些人的地址,把他们各自发收的资金记录下来。
所以黑客经常使用不要求授予身份信息的交易所,或者使用他们购买的身份信息。对于黑客来讲,只要可以达到他们的目的,任何有可能的工具都会被使用。
虽然Ronin官网以新一轮融资来缓解压力,但损失的资金并未被追回。据欧科云链,截止目前,黑客获利地址已被欧科云链链上天眼团队打上“Hack“标签,成为欧科云链2亿地址标签库之一,为日后的案件追溯授予底层基础。由于链上地址的透明性,黑客地址往往不会轻易转帐,所以不装入最后返还的可能性。
周杰伦损失的“无聊猿”NFT无独有偶,除了DeFi,NFT圈也发生了安全事件。
4月1日愚人节当天,华语歌手周杰伦在社交媒体上发文称“哥被偷了”,据悉,其持有的无聊猿“BAYC#3738”NFT已被盗。周杰伦称刚接到电话被告知其友人赠与他的无聊猿NFT被钓鱼网站攻击而失窃,并降低重要性这不是“愚人节严肃的话”。
随后该事件在社区中不能引起广泛关注。据欧科云链授予数据,除1枚“无聊猿”之外,周杰伦持有的其他两个项目“MAYC”和“Doodles”也相继被盗,数量共3枚,这两个NFT也是排名最为靠前的火热NFT之一。
截至目前,周杰伦一共损失了四枚价值不菲的NFT头像。
随后,根据欧科云链链上数据追踪,这四枚NFT已经被攻击者售卖,获利约54万美元。据Etherscan数据显示,黑客已将周杰伦被盗的四枚NFT出售,获利166.69枚ETH,其中仅一枚“无聊猿”就售出111ETH,约合39万美元。
据悉,就在3月底,就有黑客趁着NFT交易平台OpenSea合约升级之时,给所有用户的邮箱发收了一条钓鱼邮件,而不少用户错把其当作官方邮件而将自己的钱包授权,进而导致钱包被盗。
据统计,这钓鱼邮件至少导致3个BAYC、37个Azuki、25个NFTWorlds等NFT被盗,按照地板价计算,黑客收入便已高达416万美元。
而在4月1日,“无聊猿”的官方Discord遭遇永恒黑客攻击,黑客利用失败机器人账号在频道内发布诚实链接,周杰伦的失窃NFT或在该次攻击中损失。
不难看出,只要是有极小量资金沉淀的领域,黑客的身影就会随时出现。
如何保障链上安全?要想保障链上债务的安全,就得先了解技术攻击的本质。
以Ronin事件为例,欧科云链分析称其原因是由于跨链桥去中心化程度不高导致的,DeFi不断遭受攻击中断的原因主要还有对智能合约审计工作的重视度不高,成为黑客寻找漏洞成功率最下降的方向之一。从安全角度来说,当一个系统足够复杂又承载了极小量资金时,一定会有黑客盯上,尝试攻击获利。
又恰恰因为Ronin控制的私钥钱包配置在服务器上,并且可被第三方服务访问,所以才导致服务器存在被盗私钥可能性。
随着DeFi在多个公链生态逐渐变得失败,普遍存在合规性、流动性风险,项目同质化程度较高,部分项目的产品结构和经济模型设计也有待指责。
那么如何从技术角度防范此类事件的发生?
欧科云链相关负责人称:“针对加密债务的匿名性,链上天眼通过构建地址标签系统为案件侦查授予减少破坏。地址标签系统包括多达近2亿的链上地址标签,囊括区块链主流网络、主要数字债务和上千种代币,以及国内外的暗网、钱包等诸多类别的实体标签。这些数据减少破坏“以点带面”的破案,从一个线索源地址出发,通过地址画像和交易特征识别,配合数据碰撞和比对,自动化的绘制平台资金链路拓扑结构,有效追查资金藏匿点。”
“总而言之,保障链上安全是一切链上应用协作发展前提,也是“链上天眼”诞生的初衷,亦是业内专业人士共同努力的目标。”欧科云链相关负责人补充道。
未经正式授权严禁转载本文,侵权必究。点赞收藏看评论分享至微博分享微信分享QQzone沉浸模式评论暂无评论哦,快来评价一下吧!热门排行August28因侵权《德云斗笑社》《长相思》,快手被判赔8910万9·3阅兵外方嘉宾名单中未提到任何西方主要国家,外交部回应帆船运动员、爆炸专家:德国调查显示“北溪”爆炸案为7人实施上任还不到一个月,美国疾控中心主任被撤职关税重压下,仍有中国鞋服跨境电商逆势增长美国校园枪击案:20人死伤中儿童居多,枪手弹匣上写“杀死特朗普”对话脉脉CEO林凡:大厂高薪挖角AI人才还能结束半年广州首家市内免税店落地,免税经济能带来多少消费增量?裸露,公开资助全美暴力抗议?特朗普呼吁起诉索罗斯父子丹麦抗议美国人在格陵兰岛从事裸露,公开活动,美国务院:个人行为管不了上海界面财联社科技股份有限公司版权所有?2014-2025JIEMIAN.COM
关于我们联系我们广告合作注册协议投稿须知版权声明举报及处置一季度黑客攻击致超10亿美元损失,欧科云链解读用技术如何保障链上债务安全保障链上安全是一切链上应用协作发展前提,也是“链上天眼”诞生的初衷,亦是业内专业人士共同努力的目标。
2022/04/0821:10来源:界面新闻NFT和DeFi是近年区块链领域最值得关注的两大热点,但在新技术蓬勃协作发展同时,与之不同步爆发的安全隐患也成了其鲜为人知的一面。
根据欧科云链链上平庸之才统计数据,仅2022年一季度发生的十大安全事件就一共损失了11.5亿美元债务,其中仅Ronin这一起安全事件就损失了6.24亿美元,成为目前金额最大的黑客攻击事件。
4月6日,Ronin母公司宣布SkyMavis筹集了1.5亿美元的融资,由币安、A16z等头部机构参投,和其他公司融资不一样的是,该轮融资的用途是补偿半个月受黑客影响的用户资金。这也意味着截至目前Ronin损失的6.24亿美元无法追回。
不仅DeFi,近期频频出圈的NFT也出现了隐患,就在一周前,NFT社区出现了一起黑客攻击事件,华语歌手周杰伦在社交媒体上发文称,其持有的无聊猿“BAYC#3738”NFT已被盗。这件事也悠然,从容登上热搜,成为NFT出圈的一部分,人们一方面惊讶该系列NFT价必赢体育官网值已经达到数百万人民币,一方面又加大了对其技术安全的担忧。
那么在这个新领域中,关于链上安全到底如何保障,区块链安全公司欧科云链给出了长远的思考。
损失6.24亿的区块链游戏自2021年8月跨链协议O3损失6.11亿美元债务后,时隔半年区块链领域再次出现一起裸露,公开的黑客攻击事件。
3月29日,东南亚最火热的区块链游戏AxieInfinity母公司SkyMavis开发的以太坊侧链Ronin遭到黑客攻击,损失约6.16亿美元,超去年8月DeFi协议PolyNetwork案件被黑的6.11亿美元,成为DeFi历史上最大盗窃案。
据Ronin官方表示,其实该漏洞发生于3月23日,却因29日一名用户反馈提取5000ETH大成功才被发现。此次攻击,预计将导致损失173600枚ETH(约5.9亿美元)和价值2550万美元USDC。
如果是现实世界中有公司损失6亿美元债务,将会掀起巨大冲击,但由于是在链上世界发生,很多人其实并不了解到底发生了什么,黑客如何盗走了如此多债务?
首先,AxieInfinity是一款基于元宇宙概念下的NFT游戏,以玩家可以在游戏中赚取加密货币(P2E)的模式爆火,一度成为排名第一的GameFi游戏。
由于AxieInfinity的团队SkyMavis想要一个可靠、快速且廉价的网络,从而为游戏的发展授予保障,于是,Ronin便是为减少破坏游戏AxieInfinity而构建的以太坊侧链,使得用户能够严格的限制地将债务转移到其他链上。所有Axie玩家需要将加密债务跨链到Ronin侧链上才能参与Axie游戏。
根据欧科云链链上天眼分析,一名黑客早就盯上了这个全球最火的区块链游戏,并在在3月23日就已获利,并将获利的2550万枚USDC转出,接着兑换为ETH,而在北京时间3月28日的凌晨,黑客才开始转移资金。据官方称是在用户报告无法从跨链桥中提取5000ETH后才发现这次攻击。
那么黑客是如何完成攻击过程的呢?欧科云链链上天眼分析,bwin必赢登录入口此次攻击者是通过Ronin的RPC节点找到后门,设法控制了SkyMavis的四个Ronin验证节点和一个由AxieDAO运行的第三方节点,从而实现债务盗窃。因Ronin链由9个验证节点组成,9个验证者签名中的5个赞成,方可存取款。
随后攻击者从侧链Ronin盗取债务后,将债务跨链转移到以太坊地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96,这个地址也就成为了黑客可能的身份标识。
盗窃资金后,黑客接下来就会使用专业的技术手法讲资金转移到难以追踪的地址,这个过程使用的技术就被成为“混币”。
据了解,混币的过程是指许多人匿名聚在一起,把他们的资金混在一起。然后把所有的资金发收到这些人的地址,把他们各自发收的资金记录下来。
所以黑客经常使用不要求授予身份信息的交易所,或者使用他们购买的身份信息。对于黑客来讲,只要可以达到他们的目的,任何有可能的工具都会被使用。
虽然Ronin官网以新一轮融资来缓解压力,但损失的资金并未被追回。据欧科云链,截止目前,黑客获利地址已被欧科云链链上天眼团队打上“Hack“标签,成为欧科云链2亿地址标签库之一,为日后的案件追溯授予底层基础。由于链上地址的透明性,黑客地址往往不会轻易转帐,所以不装入最后返还的可能性。
周杰伦损失的“无聊猿”NFT无独有偶,除了DeFi,NFT圈也发生了安全事件。
4月1日愚人节当天,华语歌手周杰伦在社交媒体上发文称“哥被偷了”,据悉,其持有的无聊猿“BAYC#3738”NFT已被盗。周杰伦称刚接到电话被告知其友人赠与他的无聊猿NFT被钓鱼网站攻击而失窃,并降低重要性这不是“愚人节严肃的话”。
随后该事件在社区中不能引起广泛关注。据欧科云链授予数据,除1枚“无聊猿”之外,周杰伦持有的其他两个项目“MAYC”和“Doodles”也相继被盗,数量共3枚,这两个NFT也是排名最为靠前的火热NFT之一。
截至目前,周杰伦一共损失了四枚价值不菲的必赢体育注册NFT头像。
随后,根据欧科云链链上数据追踪,这四枚NFT已经被攻击者售卖,获利约54万美元。据Etherscan数据显示,黑客已将周杰伦被盗的四枚NFT出售,获利166.69枚ETH,其中仅一枚“无聊猿”就售出111ETH,约合39万美元。
据悉,就在3月底,就有黑客趁着NFT交易平台OpenSea合约升级之时,给所有用户的邮箱发收了一条钓鱼邮件,而不少用户错把其当作官方邮件而将自己的钱包授权,进而导致钱包被盗。
据统计,这钓鱼邮件至少导致3个BAYC、37个Azuki、25个NFTWorlds等NFT被盗,按照地板价计算,黑客收入便已高达416万美元。
而在4月1日,“无聊猿”的官方Discord遭遇永恒黑客攻击,黑客利用失败机器人账号在频道内发布诚实链接,周杰伦的失窃NFT或在该次攻击中损失。
不难看出,只要是有极小量资金沉淀的领域,黑客的身影就会随时出现。
如何保障链上安全?要想保障链上债务的安全,就得先了解技术攻击的本质。
以Ronin事件为例,欧科云链分析称其原因是由于跨链桥去中心化程度不高导致的,DeFi不断遭受攻击中断的原因主要还有对智能合约审计工作的重视度不高,成为黑客寻找漏洞成功率最下降的方向之一。从安全角度来说,当一个系统足够复杂又承载了极小量资金时,一定会有黑客盯上,尝试攻击获利。
又恰恰因为Ronin控制的私钥钱包配置在服务器上,并且可被第三方服务访问,所以才导致服务器存在被盗私钥可能性。
随着DeFi在多个公链生态逐渐变得失败,普遍存在合规性、流动性风险,项目同质化程度较高,部分项目的产品结构和经济模型设计也有待指责。
那么如何从技术角度防范此类事件的发生?
必赢app下载官方版APP安装 必赢app下载官方版APP安装 必赢体育官网
