黑客 Summer——Acala 遭攻击、Tornado 被制裁,我该怎么办?
今天 8 月 14 日,Acala 遭到了黑客攻击,增发超过 12 亿的生态稳定币 AUSD,导致 AUSD 严重脱锚,价格下跌了 70%,官方宣布紧急投票,暂停 Acala 的运营。另外,近日美国财政部对隐私协议 Tornado Cash 进行了制裁,这是美国政府首次对智能合约应用进行制裁。这次制裁,在圈内引起了大家关于网络隐私的争论,更深层的影响是,它关乎以太坊去中心化金融生态的复原力问题。结合近期 SlowMist 慢雾推出的 2022 上半年区块链安全及反洗钱报告,让我们一起来看看在 2022 年上半年发生的各大安全事件,和分析一下 Tornado Cash 为何会被制裁的原因吧。本篇文章我们将分为五个方面,分别是 Defi 安全事件、NFT 安全事件、跨链桥安全事件、洗钱资金流向分析、攻击手法分析,以及我个人的一些被盗经历来展开。
根据慢雾 SlowMist 统计,截至 6 月 30 日 DeFi 安全事件大约发生了 100 多起,损失超过 16.3 亿美元。我们来看这张图表,把安全事故的数量,按照从高到底的顺序来看, BSC 上发生 47 起,ETH 上发生 29 起,其次是 Fantom、Solana、Polygon 等 Avalanche,所造成损失,以跨链桥最为巨大,达 10.43 亿美金,其次是 ETH 上损失 3.08 亿美元、BSC 达 1.4 亿美金不等。截至 6 月 30 日, NFT 赛道上发生的安全事件约为 48 起,损失达 6281 万 美元。其中 33.4%(16 起) 源于项目自身存在的漏洞被攻击者利用,20.8% (10 起)源于 Rug Pull, 而钓鱼攻击占了大部分,占比为 45.8%(22 起),多数都是由于 Discord/Twitter 等媒体平台被黑后 黑客发布的钓鱼链接。
据我们开始提到的数据,跨链桥上造成的损失最大,它一直是黑客 眼中的“香饽饽”,为什么呢?由于跨链桥的流动资金量大,去中心化程度低,权限几乎都掌握在多签钱包中等这些特性所致。截至 2022 年 6 月 30 日,跨链桥安全事件共 7 起,损失高达 10.43 亿美元,占比 DeFi 上半年总损失的 64%,占到今年上半年总损失的 53%。值得我们注意的是,上半年 损失金额上亿美元的事件里,4 起就有 3 起来自跨链桥。这说明,作为多链生态的重要基础设施,跨链桥一 方面承担着巨量的资金流动,为用户带来了极大的便利,另一方面在安全性和去中心化水平上,更面临许多挑战,这很需要项目方去重点提升安全、风控等能力,保护我们这些投资者的基本安全。我们以被盗资金的 ETH 为例来看看相关资金的流向,根据典型安全事件中 ETH 的资金流向图,可以看出 74.6% 洗钱资金流向 Tornado.Cash,资金量高达 30 万枚 ETH;其中,23.7% 的洗钱资金保留在黑客地址,资金量约为 95,570 ETH;1.5% 洗钱资金流向交易平台,资金量有 6,250 ETH。我们可以看到 Tornado Cash 为被盗资金最大的流向,所以难怪美国财政部对其进行制裁,这也不足为奇了。在 2022 年的这 187 起安全事件中,总结下来,黑客的攻击手法主要分为四类:一是由项目自身设计缺陷和各种合约漏洞引起的攻击;二是包含 Rug Pull、钓鱼攻击等手法的 Scam;三是由于私钥泄露引起的资产损失;四是前端恶意攻击,这四种主要攻击手法占比安全事件总数量的 95%。
对于项目自身存在漏洞而被攻击者利用的安全事件,身为普通用户,我们很难避免。但是对于项目方 Rug Pull 或钓鱼攻击等手法的诈骗方式,我们或许可以找到避免损失的方法。对于我们每个投资者来说,进行币圈的资金操作无非就是受到贪婪和恐惧两种心态的趋势,为了赚快钱而贪婪,为了避免损失或已受到损失而恐惧。我自己在最早期刚入圈时,也是严重的受害人。2020 年第一次使用 Uniswap 就遇到了钓鱼网站,当时我为了体验一个叫做 Nexus Mutual 的 Defi 保险龙头项目,它需要通过 ETH 购买 NXM,当天第一次下载使用 metamask 小狐狸钱包,从交易所里买了几十个 ETH 提到钱包里准备到 Uni 上交互;谁知,当时完全没有任何安全意识的傻白甜,就在微信群里点开一个未知群友发的 Uniswap 的链接,界面让我输入私钥和助记词,自己也乖乖地都填上,结果瞬间凉凉,不仅钱包里的几十个 ETH 被洗劫一空,NXM 也投资计划也打了水漂;除此以外,因为第一次链上交易就这么惨痛的经历,导致自己一朝被蛇咬、十年怕井绳,很长一段时间都没有到 DEX 上去玩。事后反思到,当遇到欺诈事件之前,其实我们很少有人会去有意地评估风险而采取一些风控操作,大家都是沉浸在即将暴富的美好想象之中,可是当欺诈事件发生之后,无不都是恐惧万分、悔不当初啊。为什么欺诈事件会屡屡发生,而人们总是会落入陷阱呢?我想这是欺诈者对人性深刻地理解和运用,因为我们每个人的人性中,贪婪是很难很难去克服的,有时候大大地战胜了恐惧。回想一下,比起自己亏钱,有时候看到其他人赚到钱而自己踏空可能会更气。因此当欺诈者这时发出一些极具诱惑的信息时,为了害怕错过产生 FOMO 情绪,我们很多人就迫不及待地说我要上;而且还有一点容易被大家忽视的地方,即欺诈者发出的信息都是用心仔细琢磨的,而对大多数用户来说我们并不会耗费过多的精力去分辨真伪,因此在贪婪地怂恿下就这样被骗了。人在江湖飘,哪能不挨刀;就算挨了刀,还得江湖飘;那就告诉我自己,吃一堑智一长。
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。
