加密货币的致命弱点:黑客是怎样炼成的

老雅痞 閱讀 34 2022-2-24 00:06
分享至
微信掃一掃,打開網頁後點擊屏幕右上角分享按鈕

自1月以来,对加密货币公司的黑客攻击呈爆炸性增长,这引起了对区块链和web3技术安全性的质疑。

当备受争议的加密货币交易所Crypto.com(没错,就是NBA明星勒布朗·詹姆斯在的那个)在1月17日发现它被黑客攻击时,警报并不是来自其监测工具。

一个内部消息报道,该公司已意识到演员、投资者和加密货币爱好者Ben Baller对其系统的入侵。

在一条已经删除的推文中,Baller说他的账户被入侵了,他损失了价值近14000美元的以太坊,这是第二大流行的数字货币。他还声称,他已经启用了双因素认证。总而言之就是想表达一句话,这个错误并不在于他。

黑客事件发生三天后,这家位于新加坡的公司在一篇博文中承认,价值超过3500万美元的加密货币被黑客盗走。

然而,在其网站上,Crypto.com却大肆宣传说:"安全第一,始终如此"。

目前,该公司拒绝发表评论。

Crypto.com这次的挫折反映了这个新兴行业的满脸错愕,该行业认为自己因其创始原则而不受网络安全问题的影响:开源、透明、去中心化。

在Crypto.com事件之后几天,承诺通过消除中间商使传统银行过时的去中心化金融(DeFi)协议,Qubit和Wormhole依次遭遇黑客攻击。在Wormhole的案例中,一名黑客偷走了价值超过3.23亿美元的加密货币。

Wormhole和Qubit向黑客发布了赏金。

错误和漏洞

网络风险是加密货币资产的投资者不能再忽视的风险。"每个人都在谈论它。它确实已经成为一个痛点,甚至是阻碍主流公司拥抱它的瓶颈,"哥伦比亚大学助理教授、区块链安全公司CertiK的联合创始人Ronghui Gu,在接受采访时说。

他指出,在2020年,与区块链行业的软件漏洞有关的财务损失价值为5亿美元,这一数字在2021年增加了两倍。“而这个数字在今年可能会再次增加。”Gu警告说。

行业人士在一点上意见一致,区块链,尤其是更成熟的区块链(比特币和以太坊),从未被黑过。

“比特币自2009年以来一直存在。而且,它从来没有被黑过。我想你可以说它是有史以来安全设计最完善的计算机系统之一。它是完全开放、透明和未加密的。”欧洲领先的数据完整性和区块链开发公司nChain的研究主任Owen Vaughan博士说,“它包含了非常有价值的资产。一个超级大的蜜罐,但它从来没有被黑过。所以它从一开始就设计得非常、非常安全。”

如果不能入侵区块链本身,黑客就会把目标放在用户在交易平台上存放加密货币资产的钱包上。为了理解这个过程,老雅痞给大家举个例子,比如一辆车就是区块链。如果你在餐馆或其他地方丢了钥匙,后来发现留在里面的财物被盗,那就不是车的安全性不好。这样的黑客攻击发生在加密货币交易所,因为它们包含大量由私钥控制的资产。

但是因为智能合约是开源的并且对社区是公开的,所以任何人都可以阅读源代码,因为很难修改智能合约,如果有错误,任何人可以找到并利用它们。没有像银行这样的中心化机构可以暂停或取消交易。你一旦发现漏洞,往往要重写一个新的智能合约,以通知社区的其他成员。

“去中心化是一台没有人可以阻止的世界规模的计算机。这也是好处也是坏处.”Gu说。

加密货币的致命弱点:黑客是怎样炼成的

区块链之间的桥梁是非常脆弱的

黑客利用一个弱点来攻击Qubit和Wormhole,他们开发了一个基础设施,想让不同的区块链之间相互对话。黑客在Wormhole案件中针对的正是这个连接Solana系统和以太坊的桥梁。

桥接的工作方式是,资产被锁定在一个区块链上,然后复制到另一个区块链上。你基本上有这个合成或包裹的版本,或克隆版本。这个资产不可能同时被使用两次。所以你需要有效地确保每个区块链上都有一个一对一的计算。

“桥接攻击经常发生,因为人们可以伪造,或者只是伪造数量加入进来,所以这就是这个Wormhole bridge的情况。所以这实际上不是Solana区块链的问题。”以太坊扩展项目Skale实验室首席执行官杰克·奥霍勒兰说。

黑客也在利用正在创建的新金融工具,例如,闪电贷款是一种新型的贷款,你不需要任何抵押品,你几乎可以立即偿还贷款。

网络安全专家建议,在区块链上验证智能合约之前要对其进行彻底的审计,但技术公司Sertainty Corporation的首席战略官Amir Sternhell说:“在Genesis区块中的矿工可以随意操纵。”

“他们可以对自己有利地进行操纵。这是最大的缺陷之一。由于我们今天谈论的是中国,中国拥有最多具有处理能力的矿工。就5G以及设备方面而言,他们也有非常强大的一大块基础设施。因此,总的来说,他们有能力比世界上任何其他国家处理得更多。”Sternhell争辩道。

加密货币的致命弱点:黑客是怎样炼成的

NFT价格很容易被操纵

在NFT世界中,通常是创建艺术品,然后在区块链上进行交易,骗局比比皆是。其中一个特别引人注意的是:虚假交易,因为它通过夸大资产价值和玩弄FOMO(害怕错过)来操纵价格,这是加密领域的口头禅之一。

虚假交易是卖方在交易双方的情况下,以描绘资产价值和流动性的误导性画面。在NFT虚假交易的情况下,其目的是通过将其“出售”给原始所有者也控制的新钱包,使一个人的NFT看起来比它实际更有价值。

理论上,这对NFT来说相对容易,因为许多NFT交易平台允许用户只需将他们的钱包连接到平台上就可以进行交易,而不需要表明身份。

"如果我在区块链上看到一个NFT被以10美元或1000美元的价格出售,可能是我把它卖给了自己,我怎么知道有人真的分出了这些钱?我又怎么知道它的价值是什么?我怎么知道市场没有被操纵?"Vaughan警告说。

区块链分析公司Chainalysis表示,去年NFT的受欢迎程度直线上升,至少有价值442亿美元的加密货币被发送到ERC-721和ERC-1155合约,这是与NFT市场和收藏相关的两种以太坊智能合约,比2020年的1.06亿美元有所上升。

隐私与问责

为了确定NFT骗局,执法部门使用了追踪洗钱活动的相同方法。他们试图遵循行为模式,每次都会问这样或那样的NFT的效用是什么的问题。

“我们错过的一个关键词是效用,现在在区块链情报集团工作的执法资深人士比尔卡拉汉说。“我认为,作为执法部门、私营部门、像我们这样的商业行业以及像我们所做的那样的企业,我们总是在追赶,因为坏人抢占了先机。洗钱者抢占了我们的先机,因为他们有想法,他们有钱,他们没有国界的限制。”

在加密领域和web3中有一件事是自相矛盾的,黑客和诈骗的另一面是这些新技术的核心恰好就是授予参与者的匿名性和隐私性。

例如,在一月底有人透露,流行的DeFi项目Wonderland的首席财务官是一名有前科的罪犯。

有很多web3和区块链项目都是匿名的。这始于开发比特币的人中本聪。直到今天,他们的身份仍然未知。

社区中支持假名的最常见论点是,通过从硅谷和华尔街夺回权力和控制权来为用户提供隐私来开发去中心化的互联网和金融服务必须是基本规则。因为,捍卫者说,要求透露或展示一个人的身份是中心化系统的优势所在。这就是允许他们排除大量人口的原因。因此,隐私必须适用于新模式中的所有人。

O'Holleran不同意这一观点。

他说:“我认为与那些确实有非匿名创始人的开放源码web3产品合作有很大的价值,因为有更多的问责制。我确实认为,对于我们来说要达到有数十亿用户连接到web3的地步,我们的责任心越强越好。”

btcfans公众号

微信掃描關注公眾號,及時掌握新動向

來源鏈接
免責聲明:
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
上一篇:Facebook卖出去的稳定币业务要起死回生了吗?现在他们已经筹集了 2 亿美元 下一篇:解决NFT流动性问题:一文了解Floor DAO

相關資訊