今天8月14日,Acala遭到了黑客攻击,增发超过12亿的生态稳定币AUSD,导致AUSD严重脱锚,价格下跌了70%,官方宣布紧急投票,暂停Acala的运营。另外,近日美国财政部对隐私协议-Tornado Cash进行了制裁,这是美国政府首次对智能合约应用进行制裁。这次制裁,在圈内引起了大家关于网络隐私的争论,更深层的影响是,它关乎以太坊去中心化金融生态的复原力问题。
结合近期SlowMist慢雾推出的2022上半年区块链安全及反洗钱报告,让我们一起来看看在2022年上半年发生的各大安全事件,和分析一下Tornado Cash为何会被制裁的原因吧。本期视频我们将分为五个方面,分别是Defi安全事件、NFT安全事件、跨链桥安全事件、洗钱资金流向分析、攻击手法分析,以及我个人的一些被盗经历来展开。
1、DEFI安全事件
根据慢雾SlowMist 统计,截至 6 月 30 日 DeFi 安全事件大约发生了 100 多起,损失超过16.3 亿美元。我们来看这张图表,把安全事故的数量,按照从高到低的顺序来看, BSC上发生47起,ETH上发生29起,其次是Fantom、Solana、Polygon等Avalanche,所造成损失,以跨链桥最为巨大,达10.43亿美金,其次是ETH上损失3.08 亿美元、BSC达1.4亿美金不等。
2、NFT安全事件
截至 6 月 30 日, NFT 赛道上发生的安全事件约为 48起,损失达 6281 万 美元。其中 33.4%(16起) 源于项目自身存在的漏洞被攻击者利用,20.8% (10起)源于 Rug Pull, 而钓鱼攻击占了大部分,占比为 45.8%(22 起),多数都是由于 Discord/Twitter 等媒体平台被黑后 黑客发布的钓鱼链接。
3、跨链桥安全事件
据我们开始提到的数据,跨链桥上造成的损失最大,它一直是黑客眼中的“香饽饽”,为什么呢?由于跨链桥的流动资金量大,去中心化程度低,权限几乎都掌握在多签钱包中等这些特性所致。截至 2022年6 月 30 日,跨链桥安全事件共7 起,损失高达 10.43 亿美元,占比 DeFi 上半年总损失的 64%,占到今年上半年总损失的 53%。值得我们注意的是,上半年 损失金额上亿美元的事件里,4 起就有 3 起来自跨链桥。这说明,作为多链生态的重要基础设施,跨链桥一 方面承担着巨量的资金流动,为用户带来了极大的便利,另一方面在安全性和去中心化水平上,更面临许多挑战,这很需要项目方去重点提升安全、风控等能力,保护我们这些投资者的基本安全。
4、洗钱资金流向分析
我们以被盗资金的ETH为例来看看相关资金的流向,根据典型安全事件中ETH 的资金流向图,可以看出74.6% 洗钱资金流向 Tornado.Cash,资金量高达 30万枚 ETH;其中,23.7% 的洗钱资金保留在黑客地址,资金量约为 95,570 ETH;1.5% 洗钱资金流向交易平台,资金量有 6,250 ETH。
我们可以看到Tornado Cash为被盗资金最大的流向,所以难怪美国财政部对其进行制裁,这也不足为奇了。
5、攻击手法分析
在2022年的这187起安全事件中,总结下来,黑客的攻击手法主要分为四类:一是由项目自身设计缺陷和各种合约漏洞引起的攻击;二是包含Rug Pull、钓鱼攻击等手法的 Scam;三是由于私钥泄露引起的资产损失;四是前端恶意攻击,这四种主要攻击手法占比安全事件总数量的 95%。
对于项目自身存在漏洞而被攻击者利用的安全事件,身为普通用户,我们很难避免。但是对于项目方Rug Pull或钓鱼攻击等手法的诈骗方式,我们或许可以找到避免损失的方法。 对于我们每个投资者来说,进行币圈的资金操作无非就是受到贪婪和恐惧两种心态的驱使,为了赚快钱而贪婪,为了避免损失或已受到损失而恐惧。
我自己在最早期刚入圈时,也是严重的受害人。2020年第一次使用Uniswap就遇到了钓鱼网站,当时我为了体验一个叫做Nexus Mutual的Defi保险龙头项目,它需要通过ETH购买NXM,当天第一次下载使用metamask小狐狸钱包,从交易所里买了几十个ETH提到钱包里准备到Uni上交互;谁知,当时完全没有任何安全意识的傻白甜,就在微信群里点开一个未知群友发的Uniswap的链接,界面让我输入私钥和助记词,自己也乖乖地都填上,结果瞬间凉凉,不仅钱包里的几十个ETH被洗劫一空,NXM的投资计划也打了水漂;除此以外,因为第一次链上交易就这么惨痛的经历,导致自己一朝被蛇咬、十年怕井绳,很长一段时间都没有到DEX上去玩。事后反思到,当遇到欺诈事件之前,其实我们很少有人会去有意地评估风险而采取一些风控操作,大家都是沉浸在即将暴富的美好想象之中,可是当欺诈事件发生之后,无不都是恐惧万分、悔不当初啊。
为什么欺诈事件会屡屡发生,而人们总是会落入陷阱呢?我想这是欺诈者对人性深刻地理解和运用,因为我们每个人的人性中,贪婪是很难很难去克服的,有时候大大地战胜了恐惧。回想一下,比起自己亏钱,有时候看到其他人赚到钱而自己踏空可能会更气。因此当欺诈者这时发出一些极具诱惑的信息时,为了害怕错过产生FOMO情绪,我们很多人就迫不及待地说我要上;而且还有一点容易被大家忽视的地方,即欺诈者发出的信息都是用心仔细琢磨的,而对大多数用户来说我们并不会耗费过多的精力去分辨真伪,因此在贪婪地怂恿下就这样被骗了。人在江湖飘,哪能不挨刀;就算挨了刀,还得江湖飘;那就告诉我自己,吃一堑智一长。