NFT和DeFi是近年區(qū)塊鏈領(lǐng)域最值得關(guān)注的兩大熱點(diǎn),但在新技術(shù)蓬勃發(fā)展的同時,與之同步爆發(fā)的安全隱患也成了其鮮為人知的一面。
根據(jù)歐科云鏈鏈上大師統(tǒng)計(jì)數(shù)據(jù),僅2022年一季度發(fā)生的十大安全事件就一共損失了11.5億美元資產(chǎn),其中僅Ronin這一起安全事件就損失了6.24億美元,成為目前金額最大的黑客攻擊事件。
4月6日,Ronin母公司宣布Sky Mavis籌集了 1.5 億美元的融資,由幣安、A16z等頭部機(jī)構(gòu)參投,和其他公司融資不一樣的是,該輪融資的用途是補(bǔ)償半個月受黑客影響的用戶資金。這也意味著截至目前Ronin損失的6.24億美元無法追回。
不僅DeFi,近期頻頻出圈的NFT也出現(xiàn)了隱患,就在一周前,NFT社區(qū)出現(xiàn)了一起黑客攻擊事件,華語歌手周杰倫在社交媒體上發(fā)文稱,其持有的無聊猿“BAYC #3738 ”NFT 已被盜。這件事也迅速登上熱搜,成為NFT出圈的一部分,人們一方面驚訝該系列NFT價值已經(jīng)達(dá)到數(shù)百萬人民幣,一方面又加大了對其技術(shù)安全的擔(dān)憂。
那么在這個新領(lǐng)域中,關(guān)于鏈上安全到底如何保障,區(qū)塊鏈安全公司歐科云鏈給出了長遠(yuǎn)的思考。
損失6.24億的區(qū)塊鏈游戲
自2021年8月跨鏈協(xié)議O3損失6.11億美元資產(chǎn)后,時隔半年區(qū)塊鏈領(lǐng)域再次出現(xiàn)一起夸張的黑客攻擊事件。
3月29日,東南亞最火熱的區(qū)塊鏈游戲Axie Infinity母公司Sky Mavis開發(fā)的以太坊側(cè)鏈Ronin遭到黑客攻擊,損失約6.16億美元,超去年8月DeFi協(xié)議Poly Network案件被黑的6.11億美元,成為DeFi歷史上最大盜竊案。
據(jù)Ronin官方表示,其實(shí)該漏洞發(fā)生于3月23日,卻因29日一名用戶反饋提取5000ETH失敗才被發(fā)現(xiàn)。此次攻擊,預(yù)計(jì)將導(dǎo)致?lián)p失173600枚ETH(約5.9億美元)和價值2550萬美元USDC。
如果是現(xiàn)實(shí)世界中有公司損失6億美元資產(chǎn),將會掀起巨大沖擊,但由于是在鏈上世界發(fā)生,很多人其實(shí)并不了解到底發(fā)生了什么,黑客如何盜走了如此多資產(chǎn)?
首先,Axie Infinity是一款基于元宇宙概念下的NFT游戲,以玩家可以在游戲中賺取加密貨幣(P2E)的模式爆火,一度成為排名第一的GameFi游戲。
由于Axie Infinity 的團(tuán)隊(duì)Sky Mavis想要一個可靠、快速且廉價的網(wǎng)絡(luò),從而為游戲的發(fā)展提供保障,于是,Ronin 便是為支持游戲 Axie Infinity 而構(gòu)建的以太坊側(cè)鏈,使得用戶能夠自由地將資產(chǎn)轉(zhuǎn)移到其他鏈上。所有Axie玩家需要將加密資產(chǎn)跨鏈到Ronin側(cè)鏈上才能參與Axie游戲。
根據(jù)歐科云鏈鏈上天眼分析,一名黑客早就盯上了這個全球最火的區(qū)塊鏈游戲,并在在 3 月 23 日就已獲利,并將獲利的 2550 萬枚 USDC 轉(zhuǎn)出,接著兌換為 ETH,而在北京時間3月28 日的凌晨,黑客才開始轉(zhuǎn)移資金。據(jù)官方稱是在用戶報告無法從跨鏈橋中提取 5000ETH 后才發(fā)現(xiàn)這次攻擊。
那么黑客是如何完成攻擊過程的呢?
歐科云鏈鏈上天眼分析,此次攻擊者是通過Ronin的RPC節(jié)點(diǎn)找到后門,設(shè)法控制了Sky Mavis的四個Ronin驗(yàn)證節(jié)點(diǎn)和一個由Axie DAO運(yùn)行的第三方節(jié)點(diǎn),從而實(shí)現(xiàn)資產(chǎn)盜竊。因Ronin鏈由9個驗(yàn)證節(jié)點(diǎn)組成,9個驗(yàn)證者簽名中的5個同意,方可存取款。
隨后攻擊者從側(cè)鏈Ronin盜取資產(chǎn)后,將資產(chǎn)跨鏈轉(zhuǎn)移到以太坊地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96,這個地址也就成為了黑客可能的身份標(biāo)識。
盜竊資金后,黑客接下來就會使用專業(yè)的技術(shù)手法講資金轉(zhuǎn)移到難以追蹤的地址,這個過程使用的技術(shù)就被成為“混幣”。
據(jù)了解,混幣的過程是指許多人匿名聚在一起,把他們的資金混在一起。然后把所有的資金發(fā)送到這些人的地址,把他們各自發(fā)送的資金記錄下來。
所以黑客經(jīng)常使用不要求提供身份信息的交易所,或者使用他們購買的身份信息。對于黑客來講,只要可以達(dá)到他們的目的,任何有可能的工具都會被使用。
雖然Ronin官網(wǎng)以新一輪融資來緩解壓力,但損失的資金并未被追回。據(jù)歐科云鏈,截止目前,黑客獲利地址已被歐科云鏈鏈上天眼團(tuán)隊(duì)打上“Hack“標(biāo)簽,成為歐科云鏈2億地址標(biāo)簽庫之一,為日后的案件追溯提供底層基礎(chǔ)。由于鏈上地址的透明性,黑客地址往往不會輕易轉(zhuǎn)帳,所以不排除最后返還的可能性。
周杰倫損失的“無聊猿”NFT
無獨(dú)有偶,除了DeFi,NFT圈也發(fā)生了安全事件。
4月1日愚人節(jié)當(dāng)天,華語歌手周杰倫在社交媒體上發(fā)文稱“哥被偷了”,據(jù)悉,其持有的無聊猿“BAYC #3738 ”NFT 已被盜。周杰倫稱剛接到電話被告知其友人贈與他的無聊猿NFT被釣魚網(wǎng)站攻擊而失竊,并強(qiáng)調(diào)這不是“愚人節(jié)玩笑”。
隨后該事件在社區(qū)中引起廣泛關(guān)注。據(jù)歐科云鏈提供數(shù)據(jù),除1枚“無聊猿”之外,周杰倫持有的其他兩個項(xiàng)目“MAYC”和“Doodles”也相繼被盜,數(shù)量共3枚 ,這兩個NFT也是排名最為靠前的火熱NFT之一。
截至目前,周杰倫一共損失了四枚價值不菲的NFT頭像。
隨后,根據(jù)歐科云鏈鏈上數(shù)據(jù)追蹤,這四枚NFT已經(jīng)被攻擊者售賣,獲利約54萬美元。據(jù) Etherscan 數(shù)據(jù)顯示,黑客已將周杰倫被盜的四枚 NFT 出售,獲利 166.69枚 ETH,其中僅一枚“無聊猿”就售出111ETH,約合39萬美元。
據(jù)悉,就在3月底,就有黑客趁著 NFT交易平臺OpenSea 合約升級之時,給所有用戶的郵箱發(fā)送了一條釣魚郵件,而不少用戶錯把其當(dāng)作官方郵件而將自己的錢包授權(quán),進(jìn)而導(dǎo)致錢包被盜。
據(jù)統(tǒng)計(jì),這釣魚郵件至少導(dǎo)致 3 個 BAYC、37 個 Azuki、25 個 NFT Worlds 等 NFT 被盜,按照地板價計(jì)算,黑客收入便已高達(dá) 416 萬美元。
而在4月1日,“無聊猿”的官方Discord遭遇短暫黑客攻擊,黑客利用機(jī)器人賬號在頻道內(nèi)發(fā)布虛假鏈接,周杰倫的失竊NFT或在該次攻擊中損失。
不難看出,只要是有大量資金沉淀的領(lǐng)域,黑客的身影就會隨時出現(xiàn)。
如何保障鏈上安全?
要想保障鏈上資產(chǎn)的安全,就得先了解技術(shù)攻擊的本質(zhì)。
以Ronin事件為例,歐科云鏈分析稱其原因是由于跨鏈橋去中心化程度不高導(dǎo)致的,DeFi不斷遭受攻擊不斷的原因主要還有對智能合約審計(jì)工作的重視度不高,成為黑客尋找漏洞成功率最高的方向之一。從安全角度來說,當(dāng)一個系統(tǒng)足夠復(fù)雜又承載了大量資金時,一定會有黑客盯上,嘗試攻擊獲利。
又恰恰因?yàn)镽onin控制的私鑰錢包配置在服務(wù)器上,并且可被第三方服務(wù)訪問,所以才導(dǎo)致服務(wù)器存在被盜私鑰可能性。
隨著DeFi在多個公鏈生態(tài)逐漸繁榮,普遍存在合規(guī)性、流動性風(fēng)險,項(xiàng)目同質(zhì)化程度較高,部分項(xiàng)目的產(chǎn)品結(jié)構(gòu)和經(jīng)濟(jì)模型設(shè)計(jì)也有待提升。
那么如何從技術(shù)角度防范此類事件的發(fā)生?
歐科云鏈相關(guān)負(fù)責(zé)人稱:“針對加密資產(chǎn)的匿名性,鏈上天眼通過構(gòu)建地址標(biāo)簽系統(tǒng)為案件偵查提供支持。地址標(biāo)簽系統(tǒng)包括多達(dá)近2億的鏈上地址標(biāo)簽,囊括區(qū)塊鏈主流網(wǎng)絡(luò)、主要數(shù)字資產(chǎn)和上千種代幣,以及國內(nèi)外的暗網(wǎng)、錢包等諸多類別的實(shí)體標(biāo)簽。這些數(shù)據(jù)支持“以點(diǎn)帶面”的破案,從一個線索源地址出發(fā),通過地址畫像和交易特征識別,配合數(shù)據(jù)碰撞和比對,自動化的繪制平臺資金鏈路拓?fù)浣Y(jié)構(gòu),有效追查資金藏匿點(diǎn)?!?/p>
“總而言之,保障鏈上安全是一切鏈上應(yīng)用發(fā)展的前提,也是“鏈上天眼”誕生的初衷,亦是業(yè)內(nèi)專業(yè)人士共同努力的目標(biāo)。”歐科云鏈相關(guān)負(fù)責(zé)人補(bǔ)充道。