2月3日,作为区块链之间最大的桥梁之一,连接以太坊和Solana两大区块链的主要桥梁——虫洞(Wormhole)遭黑客攻击被盗取12万ETH,约3.2亿美元。
记者了解到,最新消息显示,Wormhole团队宣布漏洞已经修复,且协议恢复运行,但是并没有对这些被盗资金做出明确答复。值得注意的是,这是目前DeFi第二大黑客攻击事件。
针对此次事件,人民大学货币所研究员陈佳向《华夏时报》记者表示,虽然在攻击发生后,以太坊等相关项目迅速调动资金和技术支持开展救助行动,短期内跨链交易的技术影响已经降到最低,但考虑到类似wormhole跨链新兴平台众多,并非每个都能得到及时资助,对从业者和投资者信心的影响难以估量。
DeFi史上第二大黑客攻击事件
公开信息显示,Wormhole是一种允许用户跨区块链桥接资产的协议。它锁定的总价值超过10亿美元,并支持六个区块链:Terra、Solana、Ethereum、Binance Smart Chain、Avalanche和Polygon。
2月5日,Wormhole发布针对该事件的报告中指出,此次事件中Wormhole的漏洞具体是Solana端核心Wormhole合约的签名验证代码存在错误,允许攻击者伪造来自“监护人”的消息来铸造Wormhole包装的ETH。目前已通过添加缺少的核查来修复该漏洞。
记者了解到,在漏洞攻击后,Wormhole向黑客发送了一条链上消息,表示愿意向其提供一份白帽协议,及1000万美元的漏洞赏金,以获取漏洞攻击细节。
值得注意的是,本次事件是目前DeFi领域第二大黑客攻击事件,同时也是针对Solana的黑客攻击中造成的最大损失规模。2021年8月10日,跨链互操作协议Poly Network遭受攻击,按事件发生时相关资产的市场价计算,黑客就窃取了价值6.1亿美元的加密货币,使其不仅成为DeFi历史上,更是整个加密货币历史上涉案金额最大的黑客事件。
记者注意到,自DeFi诞生以来,就伴随着无数的风险。尽管现在许多DeFi项目价值一直在爆炸式的翻倍增长,但被黑事件也愈演愈烈。Rekt数据显示,2021年DeFi领域共发生了161次黑客攻击事件,损失金额高达18.6亿美元,同比增幅近1000%。经慢雾统计,DeFi通常存在以下攻击方式:闪电贷攻击;合约漏洞;兼容性或架构问题;私钥泄露或前端攻击以及内部作案、跑路。
慢雾科技团队认为,对用户来说,随着区块链领域的玩法愈发多样化,用户在进行投资前认真了解项目背景,查看该项目是否有开源、是否经过审计,在参与项目时需要提高警惕,注意项目风险。
区块链安全问题日益凸显
事实上,在区块链技术快速发展的同时,区块链安全问题也逐渐凸显,黑客攻击时有发生,利用加密货币进行洗钱、诈骗等案件也逐渐增多。
“区块链安全事件频发一方面表明伴随着区块链与经济、金融领域的不断交织,其应用价值与日俱增,从而遭到不法分子的觊觎;另一方面也表明目前各区块链机构在安全方面的布防实力不足,亟待引进相关领域的高级人才,及时构建起安全防火墙。”易观高级分析师苏筱芮向本报记者表示。
据慢雾科技区块链被黑档案数据不完全统计,2021年区块链生态被公开的区块链安全事件共231起,损失超98亿美元。其中各生态DApp、DeFi等安全事件170起,交易所安全事件15起,公链安全事件8起,钱包安全事件3起,其他类型安全事件35起。
对此,陈佳表示,关于区块链的安全性问题,从业者和投资者包括大众的看法是比较分裂的。从业者在架构设计和交易过程中有所失误是毫无疑问的;投资者和大众的看法则深远的多:包括盗窃和骗术在内的安全问题在金融市场里属于常见的道德悖论,成熟市场往往需要利用机制设计去治标,用道德法治去治本,打磨配套整套风控体系需要时间的沉淀。
陈佳认为,对当前区块链社区来说,尚且还没走到风控体系时间沉淀的阶段,道德悖论的机制设计在币圈的交易层面还是非常粗放;丛林法则比比皆是,这种原生态原则上是某种“投机机会”,但这种“机会”催生的道德风险肯定不是纯技术能解决的。
高级数据分析师、乡村振兴建设委副秘书长袁帅向《华夏时报》记者表示,区块链安全形势愈发严峻,要推动区块链发展首先就应秉持“安全先行”的发展理念,积极进行前瞻性战略布局,实现政府主导下的技术创新与安全应用的协同发展,打造安全可信的产业生态体系,保障区块链安全有序发展。要完善区块链应用安全监管机制,加快推动区块链安全技术研究,加快建立区块链安全标准和测评能力,培育区块链安全复合型人才。
袁帅认为,区块链安全事关公链平台、项目方、投资者等众多主体。对于区块链安全来讲,建议相关企业与专业区块链安全研究组织合作,及时发现、修复系统漏洞,避免大规模资金被盗事件发生;对于普通用户及投资者来讲,应充分了解可能存在的风险,在电脑端、手机端使用腾讯电脑管家可避免掉进网络钓鱼陷阱,避免数字虚拟币钱包被盗事件发生。同时应防止电脑中毒成为“矿工”,谨慎使用游戏外挂、破解软件、视频网站客户端破解工具;对于云端网站、服务器资源的管理者,应部署企业级网络安全防护系统,防止企业服务器被入侵安装挖矿病毒,防止受到勒索病毒侵害。
文章转载自华夏时报