您当前的位置:科技视窗网 > VR
10

2022年Q1仅黑客攻击致超10亿美元损失欧科云链解读用技术如何保障链上

时间:2022-04-11 21:17:08    来源:中国网    阅读量:9107   

保障链上安全是一切链上应用发展的前提,也是链上天眼诞生的初衷,亦是业内专业人士共同努力的目标。

NFT和DeFi是最近几年区块链领域最值得关注的两大热点,但在新技术蓬勃发展的同时,与之同步爆发的安全隐患也成了其鲜为人知的一面。

根据欧科云链链上大师统计数据,仅2022年一季度发生的十大安全事件就一共损失了11.5亿美元资产,其中仅Ronin这一起安全事件就损失了6.24亿美元,成为目前金额最大的黑客攻击事件。

日前,Ronin母公司宣布Sky Mavis筹集了 1.5 亿美元的融资,由币安,A16z等头部机构参投,和其他公司融资不一样的是,该轮融资的用途是补偿半个月受黑客影响的用户资金这也意味着截至目前Ronin损失的6.24亿美元无法追回

不仅DeFi,近期频频出圈的NFT也出现了隐患,就在一周前,NFT社区出现了一起黑客攻击事件,华语歌手周杰伦在社交媒体上发文称,其持有的无聊猿BAYC #3738 NFT 已被盗这件事也迅速登上热搜,成为NFT出圈的一部分,人们一方面惊讶该系列NFT价值已经达到数百万人民币,一方面又加大了对其技术安全的担忧

那么在这个新领域中,关于链上安全到底如何保障,区块链安全公司欧科云链给出了长远的思考。

损失6.24亿的区块链游戏

自2021年8月跨链协议O3损失6.11亿美元资产后,时隔半年区块链领域再次出现一起夸张的黑客攻击事件。

日前,东南亚最火热的区块链游戏Axie Infinity母公司Sky Mavis开发的以太坊侧链Ronin遭到黑客攻击,损失约6.16亿美元,超去年8月DeFi协议Poly Network案件被黑的6.11亿美元,成为DeFi历史上最大盗窃案。

据Ronin官方表示,其实该漏洞发生于3月23日,却因29日一名用户反馈提取5000ETH失败才被发现此次攻击,预计将导致损失173600枚ETH和价值2550万美元USDC

如果是现实世界中有公司损失6亿美元资产,将会掀起巨大冲击,但由于是在链上世界发生,很多人其实并不了解到底发生了什么,黑客如何盗走了如此多资产。

首先,Axie Infinity是一款基于元宇宙概念下的NFT游戏,以玩家可以在游戏中赚取加密货币的模式爆火,一度成为排名第一的GameFi游戏。

由于Axie Infinity 的团队Sky Mavis想要一个可靠,快速且廉价的网络,从而为游戏的发展提供保障,于是,Ronin 便是为支持游戏 Axie Infinity 而构建的以太坊侧链,使得用户能够自由地将资产转移到其他链上所有Axie玩家需要将加密资产跨链到Ronin侧链上才能参与Axie游戏

根据欧科云链链上天眼分析,一名黑客早就盯上了这个全球最火的区块链游戏,并在在 3 月 23 日就已获利,并将获利的 2550 万枚 USDC 转出,接着兑换为 ETH,而在北京时间3月28 日的凌晨,黑客才开始转移资金据官方称是在用户报告无法从跨链桥中提取 5000ETH 后才发现这次攻击

那么黑客是如何完成攻击过程的呢。

欧科云链链上天眼分析,此次攻击者是通过Ronin的RPC节点找到后门,设法控制了Sky Mavis的四个Ronin验证节点和一个由Axie DAO运行的第三方节点,从而实现资产盗窃因Ronin链由9个验证节点组成,9个验证者签名中的5个同意,方可存取款

随后攻击者从侧链Ronin盗取资产后,将资产跨链转移到以太坊地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96,这个地址也就成为了黑客可能的身份标识。

盗窃资金后,黑客接下来就会使用专业的技术手法讲资金转移到难以追踪的地址,这个过程使用的技术就被成为混币。

根据消息显示,混币的过程是指许多人匿名聚在一起,把他们的资金混在一起然后把所有的资金发送到这些人的地址,把他们各自发送的资金记录下来

所以黑客经常使用不要求提供身份信息的交易所,或者使用他们购买的身份信息对于黑客来讲,只要可以达到他们的目的,任何有可能的工具都会被使用

虽然Ronin官网以新一轮融资来缓解压力,但损失的资金并未被追回据欧科云链,截止目前,黑客获利地址已被欧科云链链上天眼团队打上Hack标签,成为欧科云链2亿地址标签库之一,为日后的案件追溯提供底层基础由于链上地址的透明性,黑客地址往往不会轻易转帐,所以不排除最后返还的可能性

周杰伦损失的无聊猿NFT

无独有偶,除了DeFi,NFT圈也发生了安全事件。

随后该事件在社区中引起广泛关注据欧科云链提供数据,除1枚无聊猿之外,周杰伦持有的其他两个项目MAYC和Doodles也相继被盗,数量共3枚 ,这两个NFT也是排名最为靠前的火热NFT之一

截至目前,周杰伦一共损失了四枚价值不菲的NFT头像。

随后,根据欧科云链链上数据追踪,这四枚NFT已经被攻击者售卖,获利约54万美元据 Etherscan 数据显示,黑客已将周杰伦被盗的四枚 NFT 出售,获利 166.69枚 ETH,其中仅一枚无聊猿就售出111ETH,约合39万美元

根据消息显示,就在3月底,就有黑客趁着 NFT交易平台OpenSea 合约升级之时,给所有用户的邮箱发送了一条钓鱼邮件,而不少用户错把其当作官方邮件而将自己的钱包授权,进而导致钱包被盗。

据统计,这钓鱼邮件至少导致 3 个 BAYC,37 个 Azuki,25 个 NFT Worlds 等 NFT 被盗,按照地板价计算,黑客收入便已高达 416 万美元。

日前,无聊猿的官方Discord遭遇短暂黑客攻击,黑客利用机器人账号在频道内发布虚假链接,周杰伦的失窃NFT或在该次攻击中损失。

不难看出,只要是有大量资金沉淀的领域,黑客的身影就会随时出现。

如何保障链上安全。

要想保障链上资产的安全,就得先了解技术攻击的本质。

以Ronin事件为例,欧科云链分析称其原因是由于跨链桥去中心化程度不高导致的,DeFi不断遭受攻击不断的原因主要还有对智能合约审计工作的重视度不高,成为黑客寻找漏洞成功率最高的方向之一从安全角度来说,当一个系统足够复杂又承载了大量资金时,一定会有黑客盯上,尝试攻击获利

又恰恰因为Ronin控制的私钥钱包配置在服务器上,并且可被第三方服务访问,所以才导致服务器存在被盗私钥可能性。

伴随着DeFi在多个公链生态逐渐繁荣,普遍存在合规性,流动性风险,项目同质化程度较高,部分项目的产品结构和经济模型设计也有待提升。

那么如何从技术角度防范此类事件的发生。

欧科云链相关负责人称:针对加密资产的匿名性,链上天眼通过构建地址标签系统为案件侦查提供支持地址标签系统包括多达近2亿的链上地址标签,囊括区块链主流网络,主要数字资产和上千种代币,以及国内外的暗网,钱包等诸多类别的实体标签这些数据支持以点带面的破案,从一个线索源地址出发,通过地址画像和交易特征识别,配合数据碰撞和比对,自动化的绘制平台资金链路拓扑结构,有效追查资金藏匿点

总而言之,保障链上安全是一切链上应用发展的前提,也是链上天眼诞生的初衷,亦是业内专业人士共同努力的目标欧科云链相关负责人补充道


声明:本网转发此文章,旨在为读者提供更多信息资讯,所涉内容不构成投资、消费建议。文章事实如有疑问,请与有关方核实,文章观点非本网观点,仅供读者参考。

为您推荐
  • 2022京东云峰会广州站举行,以数智供应链服务广东产业数字化

    2022京东云峰会广州站举行,以数智供应链服务广东产业数字化
    日前,以数字智能供应链驱动新增长为主题的京东云城市峰会广州站成功举办本次活动围绕在当前不确定的行业环境下,企业关注的发展韧性,数字化升级等话题展开京东云发布了多项基于京东的解决方案COM围绕数字化智能供应链的领先供应链实践,来自广东零售,交......
    2022-05-26

  • 首届全球绿氢大会中国区平行论坛在北京大兴成功举办

    首届全球绿氢大会中国区平行论坛在北京大兴成功举办
    大兴国际氢能示范区作为全球绿色氢组织的战略合作伙伴,共同举办了中国区域平行论坛平行论坛围绕中国:绿色氢动力,氢能产业发展中长期规划的主题,与全球绿色氢产业同仁共同探讨可再生能源和绿色氢的发展模式和思路,呼吁全世界认识和关注能源转型,实现全球......
    2022-05-18

  • 80% 的 Steam top 100 游戏已支持在 Linux 系统中游玩

    80% 的 Steam top 100 游戏已支持在 Linux 系统中游玩
    IT之家 12月21日消息,根据统计平台ProtonDB的数据,80%的Steamtop100游戏已支持在Linux系统中游玩。根据报告数据,支持运行的评分标准为:白金:开箱即玩,完美运行金:经过调整后完美运行银:虽然有小问题,但......
    2021-12-23

  • OpenCloudOS 开源操作系统社区成立,腾讯等倡议发起:完全中立、全面开放

    OpenCloudOS 开源操作系统社区成立,腾讯等倡议发起:完全中立、全面开放
    IT之家 12月23日消息,12月22日,开源操作系统社区OpenCloudOS正式宣布成立,腾讯及宝德、北京初心、北京红旗、飞腾、浪潮、龙芯中科、OPPO、先进开源、中电科申泰、中科方德、兆芯等20余家操作系统生态厂商及用户成为......
    2021-12-23

  • 获得场景视频常江出席2021培博会 高效赋能企业在线学习

    获得场景视频常江出席2021培博会 高效赋能企业在线学习
    ▲获得场景视频常江出席2021培博会近期,2021培博会在北京盛大举行,获得场景视频人力资源中心及业务拓展中心副总裁常江受邀出席了本次会议,与现场各行业知名企业家、学者共聚一堂,从行业发展、组织发展、技术变革等方面探讨企业培训、在线学习的新......
    2021-12-23