安全問題已成為下一代互聯網不容忽視的一個問題。
近期,路透社的一篇專欄文章將知名區塊鏈交易平台——幣安送至了風口浪尖。根據路透社的報告顯示,通過分析法庭記錄,與執法部門進行了交談,並與區塊鏈分析公司Chainalysis和Crystal Blockchain合作,追踪交易所的非法資金,最終發現在2017年至2021年期間,至少有23.5億美元的非法資金通過幣安洗錢。
對於路透社的報導,幣安首席營銷官帕特里克·希爾曼(Patrick Hillman)表示他並不相信其分析是準確的。在回應中他告訴記者,該公司正在組建地球上最先進的網絡取證團隊,這將進一步提高我們(幣安)檢測平台上非法加密活動的能力(近期幣安剛剛成立了5億美元的Web3基金)。
不過相較於特里克·希爾曼無力的反駁,路透社的此份報導的確更讓人信服。近期,聯邦貿易委員會也公佈了一份報告,報告顯示自去年年初以來,已有超過46000人在加密相關騙局中損失了超過10億美元,其中2022年第一季度詐騙額約3.29億美元,加密貨幣的安全問題更加嚴峻。
加密貨幣背後:詐騙、洗錢、盜竊
詐騙是幣圈最常見的問題。 FTC(聯邦貿易委員會的)在報告中寫到,隨著加密貨幣前些年收益的成倍增長,加密貨幣在社交媒體的推波助瀾下逐漸出圈,這也為騙子們詐騙編織了一道網,自2021年以來,近一半報告因騙局而失去加密貨幣的人表示,騙局的開始都始於社交媒體平台上的廣告、帖子或消息。
報告還透露,在加密貨幣的詐騙案件中,每10美元中就有近4美元因源自社交媒體的詐騙而損失,與加密貨幣有關,其中Facebook(32%),Instagram(26%)和Whatsapp(9%)是最常被引用的平台;同時騙局與年齡也有較大關係,20至49歲的個人報告被騙的可能性是其三倍,但老年人報告損失的金額更大 ,70多歲受害者的中位數接近12000美元。
而洗錢與盜竊也是加密貨幣行業的一大安全問題。路透社在此次報告中將幾個重要事件和平台聯繫在一起,包括Eterbase、Hydra和Lazarus的黑客攻擊,每個事件都涉及幣安以促進各種加密貨幣交易。
以Lazarus為例,根據路透社估計,Lazarus在2020年通過幣安對540 萬美元的Eterbase攻擊進行洗錢,並對連接鏈遊Axie Infinity以太坊網絡的Ronin側鏈進行了攻擊,導致6.22億美元損失,到2020年該組織已竊取了價值17.5億美元的加密貨幣。在美國執法部門製裁Lazarus後,幣安也表示已確認並凍結了與Ronin黑客有關的500多萬美元加密資產,並表示交易所還將繼續與執法機構合作進行調查。
Web3.0安全問題也不少
如果說加密貨幣是下一代互聯網時代的支付手段的話,那麼Web3.0則可稱為下一代互聯網的骨幹網絡。目前,雖然Web3.0在媒體社交的推動下,其當下與此前的加密貨幣一樣也處於風口之上,各方面都是一片生機勃勃的樣子,但處於早期發展階段的Web3.0就沒有安全問題了嗎?顯然是有的,而且問題還不少。
根據CertiK發布的報告顯示,2022年第一季度Web3.0賽道發生過82次黑客攻擊事件,其造成的損失較上年同比增加8倍之多,約13億美元(1,297,166,019.19美元),其中以RUG PULL(拉地毯攻擊/騙局)、閃電貸攻擊、跨鏈橋基礎設施攻擊為主。
RUG PULL是2022年第一季度發生頻次最高的攻擊事件類型,它通常是指加新加密項目的開發人員撤出DEX流動性池或突然放棄一個項目,毫無徵兆地就捲走投資者的資金。 Rug pulls在DeFi中最常見。大多數Rug pull需要開發人員創建新代幣並將其推廣給投資者,投資者因“期望升值”而去交易這個新代幣,這也為項目提供了流動性,然而,開發人員最終會從流動性池中抽走資金,使代幣的價值為零,然後跑路。
閃電貸攻擊是第二大受黑客歡迎的攻擊類型,閃電貸是新型金融原始工具,它允許用戶開立無抵押貸款,唯一的規定是貸款必須在同一個區塊中償還,否則就會被收回。這與傳統的DeFi貸款有很大的不同,傳統的DeFi貸款往往要求用戶在前期對貸款進行超額抵押,而閃電貸的新奇之處在於,它可以讓世界上任何一個人暫時成為資金非常充裕的交易者,具有突然操縱市場的潛力。在最近的一連串攻擊中,我們看到惡意行為者利用閃電貸瞬間借入、交換、存入並再次借入大量的Token,這樣他們就可以人為地在一個DEX裡操縱Token的價格。
最後一類Web3.0主流攻擊方式則是跨鏈橋基礎設施攻擊,數據顯示,2022年第一季度獲益最大的三個攻擊事件均為針對跨鏈橋基礎設施的攻擊。以 Synapse Protocol 推出的資產跨鏈橋被攻擊為例,攻擊者首先攻擊者通過Firebird Router 在Metaswap.sol 上調用swap() 函數和removeLiquidityOneToken() 函數,先將nUSD 兌換成nUSD-LP 代幣,再移除nUSD-LP 獲取USDC。然後通過MetaswapDeposit 合約中的addLiquidity() 函數用USDC 添加流動性換取nUSD-LP,最後通過MetaswapDeposit 合約中的removeLiquidityOneToken() 函數用nUSD-LP 移除流動性換取nUSD,然後依次循環,不斷套利,最終攻擊者通過循環交易降低Metapool 虛擬價格並從LP 中抽走資金,從而獲取約800 萬美元的nUSD 資產。
總的來說,在下一代互聯網發展的路上,我們既沒有摸清楚它的發展軌跡,也沒有解決發展過程中的安全問題,下一代互聯網還在腹中,請不要讓它流產。