熊市的盛夏,黑客攻擊頻出,讓已經對價格無感的持幣者們還要為安全擔心。
北京時間7月12日上午9時,幣安創始人趙長鵬發布推文:
“我們的威脅情報在ETH 區塊鏈上檢測到Uniswap V3 存在潛在漏洞。到目前為止,黑客已經竊取了4295 ETH,他們正在通過Tornado Cash 進行洗錢。有人可以通知Uniswap
嗎?我們可以提供幫助。謝謝。 ”
並附上了黑客地址:
該地址已經被Etherscan標註為黑客地址。
很快,趙長鵬又發文並附上與Uniswap溝通的截圖表示:
“與Uniswap團隊聯繫後,協議是安全的。該攻擊看起來像是來自網絡釣魚攻擊。團隊反應迅速。都很好。對於警報很抱歉。要學會保護自己免受網絡釣魚。不要點擊鏈接。”
Uniswap創始人Haydenz Adams也回复趙長鵬的最新推文:
“這是一種網絡釣魚攻擊,導致一些LP NFT 被從批准惡意交易的個人手中奪取,與協議完全無關,這是一個很好的提醒,以保護自己免受網絡釣魚,不要點擊惡意鏈接。”
這看似是一次公開的簡單的溝通,但已經引起外界的情緒。
有twitter用戶評價趙長鵬:
“他創造了FUD(恐懼、不確定、懷疑),他是第一個發現它的人……(這很奇怪),在不確定的情況下,他在Uniswap 的用戶中引起恐慌。這一切都是他精心策劃的,他目標是在Uniswap 用戶中產生不信任。並且認為幣安是非常安全的,用戶都應該遷移到那裡,這個人非常惡意。”
也有twitter用戶表示:
“Uniswap似乎隱藏了一些東西。”
更多的用戶討論的核心是:
“趙長鵬發推文而不是私下詢問團隊,即使是一個漏洞,但實際與合約沒有關係,幣安團隊沒有去仔細核查這個漏洞,而直接發了推文,這讓實際情況變得很糟糕。”
但似乎有用戶支持趙長鵬的操作,該用戶表示:
“當這樣的事情發生的時候,你們也是希望事實透明的人,任何人都可以看到趙長鵬發布的鏈上漏洞被利用的消息,這樣就會很快被傳到團隊。”
此用戶似乎將趙長鵬發布推文公佈消息的行為類比為鏈上透明可見的交易。除了討論操作之外,還有用戶對以太坊的編程語言有所表態。
該用戶認為:
“所有這些黑客行為,都在使用這種不安全的語言。最好使用另一種程序語言,否則這種情況會一直發生。”
很明顯的,該用戶認為以太坊上的編程語言導致了合約編輯過程中的漏洞較多,而這促成了黑客攻擊。
但仍有其他用戶表達了相反意見。其表示:
“這是一次網絡釣魚攻擊。也就代表代碼沒有錯。除非比特幣可以阻止人們成為社會工程的犧牲品,否則你不會成為這裡的聰明人(即技術不能改正人的錯誤)。”
經由這一次小的黑客攻擊引發的討論,角度很全面。
首先是行業內普遍認為,安全漏洞會是對合約、協議團隊的打擊。作為行業標杆的Uniswap其合約一直備受推崇,而此次非合約漏洞的烏龍,會是一次利空,讓有用戶不信任該團隊和產品。
因此,有用戶會質疑趙長鵬,筆者記得幾年前,在Uniswap初出茅廬的時候,也和幣安發生過因合約問題導致的資產責任爭論。
其次,經核查後,此次黑客攻擊是因為釣魚攻擊,這是利用用戶行為的漏洞,而不是因為黑客發現了合約代碼編輯上的漏洞以及鏈上漏洞導致的。
這也算是社會化攻擊中的一種,因為用戶未能識別危險的鏈接、網站、工具等,被盜取了私鑰,或截取了代幣授權,而轉移了用戶資產。
嚴格來說,這與平台無關,並且,在完全開放的鏈上,這樣的黑客攻擊方式,無法尋覓,用戶只能自認倒霉。
最後,當用戶提及以太坊編程語言漏洞較多的信息,已經把安全防護討論深入到了基礎設施的部分,在很多新鏈上確實也因為應用新語言提升了安全級別,但對於安全事件來說,技術不能修正人的錯誤。
公鏈上是原始森林,對於錢包團隊以及defi等團隊無法提前識別是否有安全問題,只能提示會有安全風險,同時,也無法控制用戶行為,只要私鑰等暴露在外部環境裡,就有可能被盜取,且沒有第三方可以去負責追回損失。
這也是用戶無法左右的地方,在原始森林裡只能自己保護自己。