作者:Haotian,加密觀察員來源:X(推特)@tmel0211
看到總有人拿駭客說事,認為駭客把幣圈當提款機,抽絲剝繭般拖後了Crypto市場發展的後腿,這句話不能說錯,但黑客之惡遠低於人性醜陋對幣圈的毒害。站在安全從業者角度,說說我的看法。
1)黑客攻擊的門檻一直在被抬高,18年以來,頻發的各類合約增發攻擊、溢出攻擊、重播攻擊、回滾攻擊、隨機數攻擊等等正在逐漸“消失”,因為區塊鏈白帽力量已經成長成一支勢不可擋的鐵軍,在他們的持續Contribution下,行業的整體代碼質量提升了,安全意識也培養了不少,黑客的攻擊門檻也被拉高了。現在的Crypto市場駭客要想攻擊得逞,得做更縝密的漏洞研究發現,更全面的攻擊掃描,或者往更上游的伺服器供應端找突破口,攻擊成功的「投入」在慢慢加大。如果一個專案沒揭露任何被攻擊細節,只是一句輕描淡寫的駭客攻擊,你或許得懷疑下這裡的「駭客」屬性了。
2)過去一年內看到太多的私鑰被爆破,合約權限被控制,Oracle價格攻擊,多簽被攻破,治理代幣攻擊、預留後門、Rugpull等等,說實在的,有很多安全事件乍看挺魔幻的,怎麼xx專案會出現xx小問題,怎麼冷錢包都能被攻擊,的心理這樣發問真的是處於對區塊鏈「技術」的尊重,因為實在不願因把這些奇奇怪怪的魔幻安全事件歸類為人性BUG。不過,當這些善於以駭客障眼法的軟跑路行為成為一種趨勢,會是加密圈最大的悲哀。畢竟,技術BUG易除,人性BUG難平。
3)不完全統計網路釣魚、資金盤詐騙等早已超越駭客攻擊成為Crypto產業的最大毒害,純粹駭客攻擊,多少會有聰明賊和蠢賊之分,遇到一些遺留破綻多的,隔空喊話一下或許還能退還,畢竟透過木馬植入等駭客攻擊非法獲利其實能得到一部分司法庇護的。但釣魚、資金盤這種大部分人都只能當成“認知稅”,真得是毫無辦法。因為那些批量設陷阱搞詐騙的和那些研究漏洞事實攻擊的駭客本質上是兩批人。駭客或許覺得好玩,剛好攻擊得手了,那些做專業利用人性漏洞做詐騙的就大為不同了。
4)Mixin事件比以往駭客攻擊事件更讓我憂心,因為它的使用者畫像。它的大部分群體受眾來自大師公開課,來自OG信仰者,來自簽到領比特幣的嚐鮮者,來自兢兢業業打工博一份未來的定投者,他們都是一些newly onboard的新鮮血液啊,很可能成為未來多頭市場的中堅份子。如今這一錘棒打,也許徹底無奈地回廠打螺絲,重新騎起了小電驢,滿懷憤忿離開了這個讓他們抱有一絲幻想的領域,順帶把“幣圈都是騙局”的刻板印象再一次指數級的放大。入加密圈的「課程費」太貴了。
5)喊了多年的Mass Adoption了,無論是ERC-4337帳戶抽象,還是MPC多簽方案,又或者是用Intent-centric這些,大家原本都有一個共同的信念:降低用戶參與門檻。什麼私鑰分片,郵箱註冊,社交恢復,程式自動代執行,嗯,聽起來很酷的,怎麼那麼像騙子?雖然很極端,但是反映了一個客觀事實,如果某人用大部分都能聽懂的話來讓大部分人放心,那最不放心的可能就是某人了。 Mixin之後,我不能說絕對,大多數做Mass Adoption的專案可能都會被牽連,科普部落客又得加把勁為Crypto信仰充電了,這可惡的人性之惡啊。
這麼多年了,Crypto技術成長了,安全防備力量加固了,監管環境也越來越複雜了,人性之惡也愈演愈烈了,但樂譜說也是Crypto世界越來越壯大的表現,說到底還是那句話:世上只有一種英雄主義,就是在認清生活真相之後依然熱愛生活。