作者:rekt.news,編譯:0xjs@黃金財經
7 月2 日,由於PyPi 套件管理器受到攻擊,Bittensor 的區塊鏈被駭客粗暴地攻擊,損失800 萬美元。
當驗證者在他們的節點上冥想時,攻擊者以比你說「om」更快的速度悄悄地耗盡了他們的錢包。
TAO 直接轉向駭客的錢包,大約32,000 個TAO代幣經歷了未經授權的轉移。
Bittensor 團隊迅速對此情況做出反應,立即停止所有網路操作,採取果斷行動解決當前問題。
網路進入“安全模式”,允許產生區塊但阻止處理任何交易。
採取這項措施是為了在徹底調查的同時防止進一步的損失並保護使用者。
該事件導致TAO 代幣價值迅速下跌15%,表明在區塊鏈中就像在生活中一樣,一切都在流動……包括市值。
根據Bittensor 的Telegram 訊息,用戶和質押者都安然無恙。只有部分驗證者、子網路和礦工的所有者被盜走了資金。
準備好解開這個巨大謎團了嗎?
Bittensor被攻擊事件調查
資料來源:Bittensor、ZachXBT
Bittensor最初在其Discord 上宣布他們的一些錢包遭到了攻擊,並表示他們正在調查,並且已出於預防措施停止了所有鏈上交易。
對Bittensor 區塊鏈的攻擊就像一連串練習過的氣功一樣精準。
在短短的3 小時內,攻擊者成功入侵了多個高價值錢包,並偷走了約32,000 個TAO 代幣。
當Bittensor 團隊緊急回應時,加密社群最喜歡的鏈上偵探已經介入調查。
竊盜發生後不久, ZachXBT 確定了竊取資金的地址:5FbWTraF7jfBe5EvCmSThum85htcrEsCzwuFjG3PukTUQYot
Zach一直是一名加密貨幣偵探,他可能將此與6月1日的一起事件聯繫起來,當時一名TAO 持有者被盜了超過28000個TAO,盜竊時價值1120 萬美元。
攻擊發生的第二天,Opentensor 基金會(OTF)公佈了他們的事後分析,揭示了攻擊的根本原因是PyPi 套件管理器受到攻擊。
以下是這場數位垃圾桶大火的演進:
-
一個惡意包偽裝成合法的Bittensor 包,潛入PyPi 版本6.12.2。
-
該特洛伊木馬包含旨在竊取未加密的冷密鑰詳細資訊的代碼。
-
當毫無戒心的用戶下載此包並解密他們的冷密鑰時,解密的字節碼會被發送到攻擊者控制的遠端伺服器。
此漏洞影響在5 月22 日至5 月29 日下載Bittensor PyPi 包或使用Bittensor==6.12.2,然後執行質押、取消質押、轉移、委託或取消委託等操作的用戶。
為了應對此次攻擊,Bittensor 團隊迅速將鏈置於“安全模式”,暫停所有交易,同時繼續產生區塊。
這項迅速行動可能避免了進一步的損失,但也凸顯了該團隊對所謂的去中心化網路保持的中心控制。
OTF 已立即採取措施減輕損失:
-
從PyPi 套件管理器儲存庫中刪除了惡意6.12.2 套件。
-
對Github 上的Subtensor 和Bittensor 程式碼進行了徹底審查。
-
與交易所合作追蹤攻擊者並盡可能挽救資金。
展望未來,OTF 承諾將加強包裹驗證、增加外部審計頻率、提高安全標準並加強監控。
OTF 表示,該事件並未影響區塊鏈或Subtensor 代碼,底層Bittensor 協議仍未受損害且安全。
他們還與多家交易所合作,向他們提供攻擊的詳細信息,以便追蹤攻擊者並盡可能挽救資金。
隨著塵埃落定,社群開始思考這個惡意軟體是如何突破PyPi 的防禦的,以及這次攻擊是否與6 月1 日的竊案有關。
在Bittensor 的世界裡,通往覺醒的道路似乎是由一些被盜的空錢包鋪成的。
有何啟示
Bittensor駭客攻擊暴露了加密生態系統的一個嚴重漏洞,即對第三方套件管理器的依賴。
雖然區塊鏈協議本身可能是安全的,但開發人員用來與它們互動的工具可能會成為意外的故障點。
這一事件引發了人們對PyPi 以及加密社群所依賴的其他軟體包儲存庫的安全實踐的質疑。
其與6 月1 日竊案的時間和相似性不容忽視。
這些是孤立事件,還是有針對Bittensor 和類似計畫的更廣泛的活動?
當OTF 與交易所合作追蹤被盜資金時,社群屏息關注,希望能夠實現在這種駭客攻擊之後重新拿回代幣,雖然很少能成功拿回被盜資金。
Bittensor迅速採取行動停止網絡,表明「去中心化」專案中中心化控制的雙刃劍性質。
雖然它可能防止了進一步的損失,但也凸顯了該系統的脆弱性。
在加密之道中,唯一不變的就是變化,偶爾,800 萬美元也會消失。
當Bittensor 反思其安全實踐時,他們是否會找到真正的區塊鏈啟蒙,還是注定要在通往更完美協議的道路上繼續鋪設這些昂貴的墊腳石?