财联社|区块链日报8月4日讯(记者 徐赐豪)近期黑客攻击频发,整个加密货币圈都在经历大规模盗币事件。
(资料图片仅供参考)
8月1日,跨链互操作性协议Nomad桥遭黑客攻击,1.9亿美元资金被转移。
8月3日,Solana发生了大规模盗币事件,大批用户在不知情的情况下被清空了钱包。
根据慢雾安全团队对此事的跟踪,包括山寨币(exist)在内约有5.8亿美元加密资产流向了4个攻击者地址。
对于此次事件,目前还没有最终的结论。区块链安全人士分析称,与此前黑客一般利用某个持有大额资产的安全漏洞进行攻击不同,Solana此次最可能是供应链被攻击;若真是如此,那么所有相关用户都将面临资产被盗的风险。
价值5.8亿美元的加密资产被盗
8月3日凌晨,公链Solana生态NFT平台Magic Eden的官方账号在社交媒体上发布警告称,似乎有一个广泛存在的SOL漏洞,正在耗尽整个生态系统的钱包,并提醒用户更新设置保护个人资产。
随后Solana社区用户也发现,他们钱包内的代币在不知情的情况下被黑客转移。
遭受攻击的热钱包包括Phantom、Slope和TrustWallet等。涉及到的币种除了SOL、SPL和其他基于Solana的代币以外,还有USDC、USDT、BTC、ETH等主流币和稳定币。
根据多家安全公司的追踪,失窃的Solana钱包数量从5000个持续增长,截至8月3日下午1点,大约有7767个钱包资产失窃,各种加密资产及NFT被转走。
根据区块链安全公司慢雾安全团队追踪,约有5.8亿美元加密资产流向了4个攻击者地址。
“这种黑客攻击方式很少见,应该是第一次出现。”慢雾方面有关人士向区块链日报记者表示,包括比特币、以太坊主流资产损失在450万美元之内,其他的山寨币(exist)超过5.7亿美元,目前被黑客攻击的具体原因并没有完全查明。
成都链安创始人兼CEO杨霞向区块链日报记者表示,目前尚无定论,但最可能的其中一个原因是供应链安全导致的攻击。
供应链攻击是一种新型的攻击手法,攻击者往往会在上游或中游介入,将其恶意活动及其后效应向下游传播给更多用户。与孤立的安全漏洞相比,供应链攻击一旦得手,损失规模更大、影响更深远。
“这次事件可以看作一个标志性安全事件。”杨霞说到。
杨霞进一步分析称,在此之前安全攻防基本是针对项目本身进行的,一般都是利用某个持有大额资产的项目安全漏洞,对该项目进行攻击;这类攻击往往目标比较单一,只针对该项目,即使攻击获利很多,但是影响范围比较小。
在杨霞看来,这次Solana钱包安全事件如果真的是利用了供应链攻击,那么所有使用了问题钱包的用户都有私钥泄漏的风险,危害被扩散很大。并且在区块链世界中,谁持有私钥谁就能掌握对应的钱包资产,这就导致了即使是Solana整个链的验证者一起协同,也是很难阻止转账交易在链上的发生。
上半年187起安全事件 损失高达19.76亿美元
8月3日,区块链安全公司慢雾发布《2022上半年区块链安全及反洗钱报告》显示,2022年上半年(截至6月30日)共发生187起安全事件,损失高达19.76亿美元。在这些安全事件中,约77%(144起)源于项目自身存在漏洞被攻击者利用,损失金额约18.4亿美元,占安全事件总损失的93%。
BlockSec联合创始人周亚金向区块链日报记者表示,区块链安全涉及到生态的各方,包括用户、钱包、交易所、链、应用。而每一环的安全短板都会造成巨大影响,特别是用户端和钱包风险被长期忽视。另外由于区块链的匿名性,一旦损失很难进行追损和调查。
在杨霞看来,区块链安全要做到全生态安全,合约、链平台、钱包、DAPP各个环节都需要做到比较安全的防护,并且这个防护纵深要广泛且深入。
“很多时候,项目产品本身的安全防护做到位,但遇到供应链攻击这种降维打击可能就缺失一些检测与防护的能力。”杨霞说道。
杨霞指出,对于安全赛道从业者来说,最重要的就是和黑客进行赛跑,尽量抢在攻击发生之前消灭安全漏洞。但是随着防护面的扩大,这一点可能越来越难,这个时候就要进行赛道的细化了。各个安全团队在守护整个生态安全的同时,选择性的专注于某个细分赛道,并将其做的很深入。