记者 赵奕 胡金华 上海报道
(资料图片仅供参考)
北京时间10月12日清晨,Solana生态去中心化交易平台Mango遭遇黑客攻击,损失高达1.15亿美元。
记者注意到,包括Mango平台在内,一天之内至少有5个加密平台遭到黑客的攻击,其余4家分别为,Rabby Swap、Paraswap、TempleDAO和QANplatform,累计损失近1.2亿美元。
“加密货币频繁遭受黑客攻击的基本原因是加密货币目前仍处于发展早期阶段,链上安全防控与治理都存在巨大提升空间。”欧科云链高级研究员蒋照生在接受《》记者采访时表示,安全无小事,尤其区块链安全这类复杂的前沿信息技术领域。从技术角度来看,多数遭黑客攻击的项目是由于智能合约审计工作的重视度不高,成为黑客寻找漏洞成功率最高的方向之一;而从安全角度来说,当一个系统足够复杂但又承载了大量资金时,就很容易被黑客盯上,尝试攻击获利。
频遭攻击
在12日遭受攻击之后,Mango官方在社交平台表示,正在采取措施应对,并希望黑客能主动联系商量还款事宜(可以保留部分作为赏金),“我们正在采取措施让第三方冻结流动资金。作为预防措施,我们将在前端禁用存款,并将随着情况的发展提供最新信息。”
有趣的是,黑客在获得资金后并没有就此罢手,而是在项目治理社区发起提案,希望使用Mango资金库中约7000万枚USDC偿还坏账。如果官方同意,黑客将返还部分被盗资金,同时希望免受刑事调查或冻结资产。
就在Mango遭受攻击的一周前,10月7日凌晨,智能合约平台币安链(BNB Chain)遭遇黑客攻击,短短2小时,200万枚币安币被洗劫一空。据悉,本次黑客攻击导致包含200万枚BNB在内的约价值7.18亿美元资产被盗取。该金额为史上最大链上攻击。
而仅仅度过不到一半的时间,10月却已经成为目前整个2022年加密黑客攻击最多的月份。区块链分析公司Chainalysis发布的报告显示,10月是有史以来黑客活动最大的一年中最大的一个月,本月到目前为止,已有7.18亿美元从DeFi协议中被11次不同的黑客窃取。
Chainalysis表示,以这个速度,2022年将轻松超过2021年,这是有记录以来加密黑客攻击最多的一年。到2022年为止,黑客已经设法在今年发生的125起黑客事件中窃取了超过30亿美元。
北京计算机学会数字经济专委会秘书长王娟向《》记者表示,从币安平台出现被盗后全链暂停就可以看出,这些平台根本不是所声称去中心化。所谓的匿名和安全,仅仅是面对个人用户的任意性。这些平台原本就存在漏洞和后门,既然平台方可以用来操纵市场,黑客当然可以用来攻击。
“当年区块链行业成长初期的很多项目,从技术上并没有太高的门槛。最近市场低迷,破鼓万人锤,黑客攻击再次证明了安全性、能耗度和交易速度的不可能三角,并没有在平台方出现优秀的解决方案。所谓的黑客攻击,与各类典型安全事件一定具有共性,除了外部攻击,还有监守自盗。”王娟表示。
在王娟看来,第一波平台从业者暴富后的道德风险已经暴露,频发的负面事件,是对用户和盛誉不负责任行为的集中体现。也意味着,加密行业又结束了一个阶段,在金融监管的注视下开始进入新的历史阶段。
跨链桥成为黑客的主要目标
根据加密跟踪公司Chainalysis的数据,今年上半年已有22亿美元的加密货币从DeFi项目中被盗,使整个行业步入黑客损失最严重的一年。而在这些攻击当中,跨链桥是黑客的主要目标,本月已有3座桥被攻破,近6亿美元被盗,占本月损失的82%和全年损失的64%。
在2022年前十大加密货币攻击中,黑客总计窃走了超过17亿美元的资金。跨链桥的被盗资金规模最高,比如RoninNetwork被盗5.4亿美元,Wormhole被盗3.25亿美元,NomadBridge被盗1.9亿美元,Hormony Bridge被盗1亿美元。
此外,NFT盗窃和DeFi钱包黑客攻击也是Web3消费者面临的最大威胁。
事实上,从加密货币诞生之日起,行业便一直在努力解决安全问题。2014年,第一家主要的比特币交易所Mt.Gox在一次破坏性攻击中遭到破坏,最终导致该公司破产并损失了数十亿美元的数字货币,该交易所也随之倒闭。
对此,蒋照生表示,加密货币的安全性主要体现在用户保存或交易时的可控性,但区块链系统及项目合约代码本身存在安全漏洞肯定无法安全避免。随着加密货币所承载的商业价值增多,面临的安全问题也会愈加严峻。
保障链上安全是个系统性工作,需要各方共同努力。“项目方要更重视内部风险控制和智能合约代码审计等安全保障措施;区块链安全服务机构应持续加强安全研发投入,不断迭代安全技术,积极对应各类风险;对普通用户而言,也需要养成良好习惯,善用各类链上数据工具。当然,随着链上场景的主流化,相关配套的安全规范、监管措施也需要及时跟上。”蒋照生说。
独立国际策略研究员陈佳向《》记者表示:“用技术语言来说,加密行业确实隐匿,但从来就不够‘加密’。”加密行业的本质是把区块链这种分布式记账系统技术应用到金融交易之中,利用其交易便利性来引致需求,最终建立起底层资产架构并衍生出一整套加密资产体系——它的本质是去中心化的。所谓去中心化就是要绕开银行系统形成独立的金融体系,这是它追求隐匿从而被全球监管不断绞杀的核心原因之一。
“另一个核心原因就在于不安全,区块链虽然使用了加密技术,但其核心在隐匿不在加密,一切都依赖于去中心化的分布式记账系统上。由于这种去中心化的金融革命导致绝大部分加密行业的产品和服务都是绕开先有金融体系的,也就很难利用现有金融交易安全机制。各大加密资产必须依赖币圈平台和交易所自己研发对应的交易安全系统,在全球顶级区块链人才供给非常有限的情况下,加密行业的安全开发力量根本就是不足的。”陈佳说。
陈佳强调,加密行业在国内不合法,加密货币目前在欧美也不合法。加密行业目前在美国是以加密资产大类为基础进行监管的,美国金融监管方目前正在对各大加密资产交易所和数字交易平台进行听证,准备严控加密行业的洗钱和套利行为。“加密行业并不够加密,或者说它的加密机制既不是重点也不够厉害,因为攻击的黑客跟防火墙设计师很可能是同一类人,甚至技术更好。”
陈佳表示,加密行业很多有识之士一直在寻求转型合法化,摆脱货币应用和金融套利的负面形象。但NFT、数字藏品包括元宇宙等探索理念被滥用了,导致市场鱼龙混杂。