FX168财经网_全球视野外汇黄金加密货币NFT资讯网

DeFi创业者经验谈：如何选择安全审计商该有怎样的“审计观”

退款，或者其他方案）另一方面，每一个安全漏洞的发现 & 补足其实也都事关行业整体的进步，在不涉及项目方关键商业利益的情况下，鼓励所有项目方积极与审计公司一起，公开化地recap每个类似的问题，能更好地让行业共享一套更高的安全标准，其实也是在长期地降低每家项目方审计的成本。项目方决策层应具备hakcer思维，重视社区力量审计是一场旷日持久的资金战争，是项目方竞争的重要壁垒。一方面应该在每一个产品的milestone之间都持续地投入资金，雇佣知名、可靠的外部审计商来覆盖可能的安全漏洞；另一方面也应该重视社区的力量，鼓励诸如Immunefi、PwnedNoMore这样子白帽社区介入项目的安全buidl。笔者曾以约30K美金的赏金，成功请到以为社区中的白帽人员，debug并协助修复部署了一个托管百万美金的合约。少另辟蹊径，多复用成熟合约，也是降本增效的好手段。加密行业的创业门槛已然大幅提高，数百万美金的融资额即使在眼下的市面上，也属于屡见不鲜的存在。从前边的讨论可以看出，要真正支撑一整套可靠、安全、稳定的dApp非常困难，哪怕是Compound、Lido、Uniswap等行业顶流应用也无法保证十足安全。所以，从成本集约的角度触发，每个初创项目在合约、模型的选用上要最大可能嵌套入已有的成熟设施，避免另辟蹊径，常见的DEX、Lending、收益聚合器、流动性质押 & 再质押，乃至衍生品交易、合成资产等品类，其实都有一批成熟、可用的基础设施给新晋项目方复用、嵌套，这在给项目方降低安全成本的同时，也有效地增强了项目本身的安全性，并且能够确保系统的安全随着复用对象的升级而进化。从行业的整体角度来讲，要做到十足的安全，其实需要市场上所有主体的参与和贡献。对于审计商而言，1）防范项目的小心思。部分项目的常见操作是把真正去审计的代码，和面向社区交付上线的代码搞成两套，这样子审计商其实是白白挂了牌子和责任，所以在项目正式部署后，一般建议审计商再去二次查验下实际版本的代码；2）有必要探索和「保险」的结合，对于采购服务到一定量以上的客户，理应在安全事故发生后有赔付机制，保障项目方的权益；3）更广泛地和同行公布审计案例经验。审计商其实和医疗行业类似，整体的进步一方面依靠长线的技术、科研投入，另一方面高度依赖案例量的积攒。从这个角度看，时常被用户调侃的「PR式审计」其实也是推动行业进步的一种动能，至少更多的审计案例被行业共享。对于用户而言，1）冷热钱包分离，专门dApp用专门的钱包地址，常常清理陌生授权，不操作莫名的空投token等，degen的时候永远要安全生产；2）高净值的用户有必要养成常常翻阅各家审计商公布的安全事件报告的习惯，对常见的安全风险做到心中有数。来源：金色财经

金色财经2023-05-25

Hotbit突然关闭中心化加密交易所出路难觅

X案例自加密货币交易所问世以来，由于安全漏洞、监管问题和管理不善等各种原因，倒闭的中心化交易平台不胜枚数，以下是几个规模较大的失败案例： Mt.Gox (2014)：曾经是互联网上最大的比特币交易平台，处理超过 70% 的比特币交易总量，Mt. Gox 因安全漏洞突然关闭，导致损 850,000 BTC 丢失。 Bitfinex (2016)：虽然 Bitfinex 仍在运营，但它在 2016 年遭遇了重大安全漏洞。黑客窃取了 119,756 BTC，当时价值约 7200 万美元。被盗资金尚未完全追回。 QuadrigaCX（2019）：当时加拿大最大的加密货币交易所 QuadrigaCX 在 2019 年突然停止运营并申请破产。该公司宣布丢失了私钥和对持有客户资金的冷钱包的访问权限，造成重大损失。 Cryptopia (2019)：总部位于新西兰的加密货币交易所 Cryptopia 在 2019 年 1 月面临安全漏洞，导致价值数百万美元的加密资金损失。攻击发生后，交易所被迫关闭并申请破产。 FTX（2022）：按交易量计算，FTX 是最大的加密货币交易平台之一，但于 2022 年 11 月 11 日宣布破产，未能满足提款要求。后来被爆出 FTX 将客户资金汇集到 Alameda Research 进行风险交易并造成巨额亏损，该交易所欠超过 100 万债权人超过 90 亿美元。中心化交易所“太难” Hotbit 的关闭不是一个孤立的事件，而是反映了监管不确定环境下加密行业的更大趋势，Coinbase 在美国境外成立国际交易所。今年早些时候，商品期货交易委员会 (CFTC)起诉全球最大的加密货币交易所币安，称其涉嫌违反交易和衍生品规则。据The Information 报道，两位知情人士透露，赵长鹏一直在寻求减持Binance US股份的策略。 FTX 的倒闭也增加了人们对中心化运营的加密托管和交易形式的怀疑，很多专业人士呼吁用户持有自己的加密货币或在去中心化交易所进行交易。去中心化交易所 (DEX) 的出现提供了中心化交易所的替代方案，它们的增长夺取了一大部分CEX的市场蛋糕。从某种意义上说，Hotbit 的故事是很大一部分行业参与者的写照——暴涨后暴跌，野心勃勃遭遇残酷现实。它的关闭提醒人们，即使在去中心化的加密世界中，传统金融的短板——流动性问题、监管审查和运营威胁——仍然占据主导地位，能够适应不断变化的法规、保持强大的安全措施并赢得用户信任的平台才能在新兴市场中站稳脚跟。来源：金色财经

金色财经2023-05-23

SharkTeam：Tornado.Cash提案攻击原理分析

，并没有认真核实提案合约的代码是否存在安全漏洞。二、安全建议针对本次攻击事件，我们在开发过程中应遵循以下注意事项：（1 ）在进行提案设计时充分考虑提案机制的安全性并尽量降低提案被中心化控制的风险，可以考虑通过降低攻击的价值，增加获得投票权的成本，以及增加执行攻击的成本等方式结合实际妥善设计。（2 ）在进行提案的投票前，社区应慎重检查合约代码是否有后门。（3 ）在提案通过前，可联系第三方安全审计公司对合约逻辑代码进行安全审计。来源：金色财经

金色财经2023-05-22

Cregis Research：解读BRC-20的前世今生

比特币网络之上的第二层技术，可能会存在安全漏洞和风险。（三）风险 BRC-20 代币可能会引发名为 time-bandit attacks 的 MEV 策略攻击。这是因为 BRC-20 代币在比特币网络上的交易和应用可能导致矿工有机会利用 MEV（矿工可提取价值）策略攻击，通过操纵交易顺序来谋取利益。这对网络的整体安全性和可靠性产生负面影响。此外，BRC-20 代币还可能引起监管对比特币的打击风险。这是因为 BRC-20 代币的发行和交易可能涉及到一些非法活动，如洗钱、金融欺诈等，从而导致政府和监管机构对整个比特币网络产生担忧并采取措施进行打压。六、BRC-20 投资建议虽然 BRC-20 协议目前处于实验阶段，但 BRC-20 协议为比特币社区提供了一种新的代币实现方式，BRC-20 协议的出现有助于推动比特币生态的创新，吸引更多的开发者和用户加入比特币社区。未来，随着比特币社区对 BRC-20 协议的优化和改进，它将在加密货币领域发挥更大的作用。目前面临的一些挑战。首先，与以太坊的 ERC-20 相比，BRC-20 无法与智能合约进行交互，无法执行自动化操作，如自动转账或分红等。这限制了 BRC-20 在某些场景下的应用潜力。其在去中心化金融（DeFi）和其他应用场景的应用可能受到限制。此外，由于 BRC-20 协议尚处于实验阶段，其可扩展性和兼容性仍需进一步探讨。 BRC-20 作为基于 Ordinal 协议的一个实验，其本质是对 Ordinal 协议的一次应用实验，该实验为我们提供了新的思路。投资者在进行投资时，应具备长期的视角。未来可能会有更多基于 Ordinal 协议的优化和创新出现，投资者应关注这些发展趋势，以做出更明智的投资决策。来源：金色财经

金色财经2023-05-22

金色观察 | 当区块链遇上债券：加密货币如何解决资本市场桎梏

债券同样很容易受到黑客攻击以及面临其他安全漏洞的风险。在这必须要说明的是，与加密货币不同，智能债券并不是无记名资产，相反，其所有权会自动在区块链上进行注册，因此智能债券将无法被欺诈性转移。此外根据监管要求，智能债券的所有权也可以通过代理进行记录，这可以避免发生在恶意攻击中冻结、取消或是更换代币的情况，以此帮助客户保护资产。总结不可否认，金融工具数字化正在引领着资本市场运作的重大创新。尽管如此，由于加密货币在一种新的主权领域中运作，在一个不属于任何政府的货币上运作，因此仍将受到不小的监管挑战，而这一挑战很可能会在短期内阻碍智能债券的采用。不过市场参与者也大可不必过于焦虑，因为伴随着基础设施的不断升级发展，越来越多的组织和市政当局已经开始采用新型技术，相信在不远的将来区块链技术一定会迎来更重大的创新、获得更可观的增长。本文部分内容编译自MSN 来源：金色财经

金色财经2023-05-21

一文了解Web3.0数据泄露事件分类及保护措施

遗漏中心化项目和公司也未能解决的同类型安全漏洞。我们希望仔细研究针对 Web3.0 目标的网络安全事件历史，并评估过去的事件是否对当今的社区成员构成持续风险。要做到这一点，需要细致分析本报告中的安全事件与利用智能合约协议导致的漏洞有何不同。我们研究了 2011 年以来针对 Web3.0 公司的许多事件，大致可以将它们分为两类：协议恶意利用：利用智能合约代码获取经济利益的事件漏洞：攻击者破坏目标组织的内部网络，并使用获得的权限来窃取公司数据或资金的事件就近期和长期风险而言，这两个类别之间有几个重要的区别。协议恶意利用发生在一个确定的时间范围内，从攻击者执行利用开始，到他们耗尽所有可用资金、耗尽 gas 或导致目标项目终止时结束。其中一些事件可能会持续数小时或数天，事件后的谈判会进一步延长这个时间段，也有项目随后立即关闭的情况。然而，关键是这些攻击具备明确的开始节点与结束节点。相比之下，漏洞类算得上是持续型事件（攻击者获得网络访问权并在那里保持「长期蹲守」的状态）。漏洞的定义通常是数据的泄漏，这些数据被用于攻击利用或随后在暗网或在线论坛上出售。网络漏洞也可能导致严重的资金损失。大多数 Web3.0 组织都是金融实体，其资金流动量非常大，这自然而然让他们成为了黑客的目标。数据泄露可能具备巨大的破坏性，且风险可持续多年——尤其是在泄露期间丢失个人身份信息 (PII) 的情况下。考虑到这一点，我们收集了 74 个过去的事件样本，我们将其归类为对社区成员构成持续风险的违规事件（仅包括公司内部网络遭到破坏的事件，不包括有关协议利用的数据）。我们认为有必要区分敏感数据丢失的事件和仅发生资金损失的事件。为了更好地评估这些违规事件的持续风险，我们将重点介绍其数据仍可在暗网或明网的其他区域出售或免费获取的违规事件，并对这些平台的可访问性发表看法。数据泄露与资金丢失为了评估与这些事件相关的持续风险，我们将它们分为以下定义的事件：理论上可检索的数据丢失事件，包括 PII 和内部数据库等。资金或数据丢失且数据无法再检索的事件。第二类无法检索的数据丢失事件主要由仅导致资金或私钥丢失的违规事件构成。在这种情况下，损失的资金通常无法被追回。异常事件包括那些被盗数据从未被放出来、被归还或被用于其他目的的事件。例如，2020 年 6 月日本中心化交易所Coincheck被攻击，200 多名客户的 PII 落入攻击者手中。攻击者破坏了 Coincheck 的网络，然后通过公司内部电子邮件地址发送网络钓鱼电子邮件，要求客户提供 PII。但该起事件中并没有特定的数据库丢失，丢失的数据也只是回复这些邮件的客户的数据。在 2020 年 6 月的另一起事件中，加拿大中心化交易所 Coinsquare 也经历了一次漏洞攻击，泄露和丢失的数据涉及 5000 个电子邮件地址、电话号码和家庭地址。攻击者在 Coinsquare 之间来回「横跳」后表示他们将在 SIM 卡交换攻击中使用这些数据，但不会试图把它们出售，以便「放长线钓大鱼」。这种类型的事件也被归类为第二类无法挽回的事件。在我们确定的 74 起事件中，其中 23 起可被归类为数据可检索事件，大约占 31%。剩下的 51 起事件要么是上文描述的异常事件，要么是那些仅遭受资金损失的事件。图表：2011 年至 2023 年间发生的事件中，可检索的数据与不可检索的数据（来源：CertiK）我们可以看到几点： ① 2019 年后高度可能被检索到或恢复的数据事件显著增加。这与疫情期间各行业黑客攻击和数据泄露事件的增加成正比关系。 ② 在此期间政府援助增长，其中的一些注入了 Web3.0 生态系统，再加上 2021 年的牛市，可能为攻击者提供了更多的勒索软件和数据销售机会。被盗的数据都去了哪里？暗网及 Telegram 丢失的数据通常最终会被出售或转存到暗网（.onion 网站）或 clear net 上。如果数据被推测具有一定的经济价值（PII 和其他用于欺诈的数据），那么它将高频出现在暗网市场甚至是 Telegram 频道中。如果攻击者要求（勒索软件）未被满足，数据即会被丢弃在 paste sites 或黑客论坛中。数据的最终去向决定了它对其原始所有者构成的长期风险。相比于只能在暗网上被购买的数据，以极低的成本或零成本转储到黑客论坛上的数据其泄露的风险会更高。此类网站的持续可访问性也会「助力」受害者数据泄露的长期风险。下文中，我们将更深入地研究这些场所中发现的 Web3.0 数据销售情况。在线论坛多年来，在线黑客论坛层出不穷。考虑到 2019 年后可检索数据事件的增长，在这种情况下只有少数几个论坛值得被当作案例分析。这些论坛包括 Raid 论坛、Breach 论坛和 Dread 论坛。多个违规事件选择将 Raid 论坛作为倾销和出售违规数据的首选论坛之一。Raid 论坛始于 2015 年，多年来一直在 clear net 上运行。然而在 2022 年，Raid 论坛的域名被美国执法部门与欧洲刑警组织合作查封。图片：美国和欧洲执法部门在 Raid 论坛网站上撤下通知 Dread 论坛成立于 2015 年，似乎一直活跃到 2022 年底，不过社交媒体上有许多迹象表明该论坛目前可能也已倒闭。我们尝试访问该论坛的暗网 (.onion) 和 IP2 版本，但这些似乎也已关停。在 Raid 论坛关闭后，Breach 论坛立即上线了。对于那些因 Raid 论坛关闭而「流离失所」的用户来说，Breach 论坛为他们提供了一个合理的落脚处。它和 Raid 论坛具备类似的界面、会员声誉评分系统和极高的活跃度，用户达到 Raid 论坛原始用户群的 60%（约 55 万名用户）。仅仅一年后的 2023 年 3 月，FBI 逮捕了经营 Breach 论坛的 Conor Brian Fitzpatrick，在内部发生了一波关于重新部署网站的闹剧之后，该网站倒闭。 Breach 论坛倒闭后不到一周，又出现了另一个替代者，该论坛据称是由一个自称是前匿名黑客的 Pirata（@_pirate18）运营。但它只有 161 名成员，意味着这次的替代者没能吸收到那些论坛老玩家。在这次的断档期里（3 月的最后几周）中冒出了许多其他论坛。其中一些作为典型违规论坛被取缔，所以可以合理推测剩下的也许是执法部门伪装的。图片：Breach 论坛关闭后的 VX-Underground 论坛列表（资料来源：推特）我们只能确认其中一个论坛上存在一些 Web3.0 数据。据报道，ARES 论坛吸纳了其他被关闭的论坛的一些活动，但不清楚具体数量。该论坛据称与勒索软件团体和其他恶意行为者有关联，还运行着一个公开 Telegram 频道，该频道在其锁定的 VIP 销售频道中宣传过数据的销售。该频道于 3 月 6 日上线，投放了数百个广告（包括两个与中心化交易所相关的数据库的帖子）。图片：ARES 论坛的 Telegram 中心化交换数据频道广告（资料来源：Telegram）从整体上看，黑客和数据转储论坛社区目前功能比较混乱。传统论坛没有明确的替代者，而且国际执法机构也加大了对这些团体的打击力度，因此几乎可以肯定的是，论坛在短期内不会成为任何重大数据（包括 Web3.0）泄露的首选途径。暗网—.onion 网站上的数据泄露长期以来，暗网市场和论坛一直是人们转储或出售数据的场所。这些生态系统也面临着执法部门的打击，尽管这些打击更多的是针对那些促进毒品销售的市场。也就是说，即使在不太知名的市场上，数据泄露的频率似乎也非常高，或者至少是有在被宣传。相比于那些同样存储数据但已全面关闭的在线论坛，这种差异现在显得尤为明显。图片：在暗网市场上出售的分类账客户数据（资料来源：Digital Thrift Shop）回顾一下，在我们确定的数据泄露样本的 74 起泄露事件中，有 23 起是有一定可能性检索到的数据。在这 23 个中，我们能够找到 10 个活跃的数据销售广告（43%）。这类样本在我们之前的图表中以绿色突出显示：图表：已确认的在暗网市场上出售的泄露数据实例以绿色突出显示（资料来源：CertiK）该图表中增加的付费数据销售表明了几件事。首先，我们无法获取 2021 年之后发生的任何违规行为的数据来源。基于 2022 年目标的性质，有一种合理的可能性——数据有可能出现在了一个现已不存在的论坛上。然而这一点很难证明，特别是当这些数据集未出现在任何一个可取代 Raid 和 Breached 的论坛上。其次，这些数据集也明显没有出现在任何一个我们能看到的 2019 年及之前的暗网市场中——可能是因为我们获取这些数据的市场非常早且鲜为人知。我们无法评估这些数据是否实际上仍然可以通过这些供应商获得，但这些广告仍然存在。这些数据泄露会带来长期风险吗？很难去尝试量化长期风险，但至少可以将数据丢失风险与该样本中的非数据相关事件进行比较。注意，我们可以把那些仅导致直接财务损失的违规事件的风险归类为较低风险，因为：损失是即时的，我们可以根据丢失的法定或 Web3.0 货币来衡量其影响这个过程中丢失的数据都是可替的。如果发生泄露，必须更改私钥、密码和特权网络访问点以解决问题。丢失敏感数据（尤其是客户数据）的漏洞的违规事件确实会带来更大的长期风险这些数据大多在暗网或明网出售或免费提供，从而延长了其长期可用性。客户的个人数据点，即电话号码、名字 / 姓氏、地址和交易数据很难或不可能被更改。因此即便有人因信息泄露而改变了自己的个人信息，泄露事件中涉及的其他个人的所有数据仍然存在风险。这种违规事件的影响很难或无法衡量。根据丢失的数据，受害者可能成为多个欺诈的目标，也可能不会成为目标。我们在 2014 年的一次违规事件中发现了可供出售的数据。这个特定的数据点进一步证明了衡量长期风险的困难性。2014 年的黑客攻击了现已倒闭的加密交易所 BTC-E，该交易所于 2017 年被美国执法部门查封——实际上此数据丢失相关的风险远低于其他风险。然而，需要明确的是风险仍是持续的，即这些数据可能与来自较新的违规事件的数据相匹配，从而增加了在此期间参与 Web3.0 的个人长期风险。从这个领域的整体来看，2019 年以后丢失的数据（尤其是那些在暗网市场上仍然容易出售的数据）极有可能构成最高的持续长期风险。从 2022 年起，受到影响的人几乎必然面临着他们的数据可用于欺诈活动的重大风险（即使这些数据无法在物理层面上被找到）。尽管许多在线论坛被关闭，但我们应该假设所有丢失的数据，尤其是最近发生的数据泄露事件，很可能在某个地方仍然可用，并且可以随时重新出现。写在最后现实事实就是安全漏洞不可能 100% 消失。当数据由一个集中的实体存储和处理时，大多数受数据泄露影响的用户的补救手段十分有限。不过，我们可以通过限制中心化服务的使用数量来降低暴露风险，包括中心化交易所等。个人还应尽可能使用双因素身份验证，以帮助防止不需要的交易所钱包活动，或使用 PII 来访问或修改账户详细信息。根据泄露的性质，我们甚至可以考虑尝试更改泄露事件中暴露的一些信息，例如电子邮件地址或电话号码。而在 Web3.0 数据泄露中，如果打算匿名操作，那么你的身份将面临额外的泄露威胁。人们还可以采取其他措施来保护数据和投资。比如通过将资产分布在自托管钱包和硬钱包中来降低投资和财务风险。当然，还可以通过以下方式保护数据：减少与你分享个人数据的中心化 Web3 投资机构或交易所的数量；跨平台不要使用重复密码；在所有的账户上启用双因素身份验证；监控报告数据泄露的网站，这些网站会告诉你你的电子邮件地址是否涉及泄露；使用信用监测服务，以监测企图进行的身份盗窃和银行相关的欺诈。来源：金色财经

金色财经2023-05-18

丢什么比丢钱更可怕？当然是数据 Web3领域数据泄露你的信息挂暗网已出售10天

遗漏中心化项目和公司也未能解决的同类型安全漏洞。我们希望仔细研究针对Web3.0目标的网络安全事件历史，并评估过去的事件是否对当今的社区成员构成持续风险。要做到这一点，需要细致分析本报告中的安全事件与利用智能合约协议导致的漏洞有何不同。我们研究了2011年以来针对Web3.0公司的许多事件，大致可以将它们分为两类：协议恶意利用：利用智能合约代码获取经济利益的事件漏洞：攻击者破坏目标组织的内部网络，并使用获得的权限来窃取公司数据或资金的事件就近期和长期风险而言，这两个类别之间有几个重要的区别。协议恶意利用发生在一个确定的时间范围内，从攻击者执行利用开始，到他们耗尽所有可用资金、耗尽gas或导致目标项目终止时结束。其中一些事件可能会持续数小时或数天，事件后的谈判会进一步延长这个时间段，也有项目随后立即关闭的情况。然而，关键是这些攻击具备明确的开始节点与结束节点。相比之下，漏洞类算得上是持续型事件（攻击者获得网络访问权并在那里保持“长期蹲守”的状态）。漏洞的定义通常是数据的泄漏，这些数据被用于攻击利用或随后在暗网或在线论坛上出售。网络漏洞也可能导致严重的资金损失。大多数Web3.0组织都是金融实体，其资金流动量非常大，这自然而然让他们成为了黑客的目标。数据泄露可能具备巨大的破坏性，且风险可持续多年——尤其是在泄露期间丢失个人身份信息 (PII) 的情况下。考虑到这一点，我们收集了74个过去的事件样本，我们将其归类为对社区成员构成持续风险的违规事件（仅包括公司内部网络遭到破坏的事件，不包括有关协议利用的数据）。我们认为有必要区分敏感数据丢失的事件和仅发生资金损失的事件。为了更好地评估这些违规事件的持续风险，我们将重点介绍其数据仍可在暗网或明网的其他区域出售或免费获取的违规事件，并对这些平台的可访问性发表看法。数据泄露与资金丢失为了评估与这些事件相关的持续风险，我们将它们分为以下定义的事件： ① 理论上可检索的数据丢失事件，包括PII和内部数据库等。 ② 资金或数据丢失且数据无法再检索的事件。第二类无法检索的数据丢失事件主要由仅导致资金或私钥丢失的违规事件构成。在这种情况下，损失的资金通常无法被追回。异常事件包括那些被盗数据从未被放出来、被归还或被用于其他目的的事件。例如，2020年6月日本中心化交易所Coincheck被攻击，200多名客户的PII落入攻击者手中。攻击者破坏了Coincheck的网络，然后通过公司内部电子邮件地址发送网络钓鱼电子邮件，要求客户提供PII。但该起事件中并没有特定的数据库丢失，丢失的数据也只是回复这些邮件的客户的数据。在2020年6月的另一起事件中，加拿大中心化交易所Coinsquare也经历了一次漏洞攻击，泄露和丢失的数据涉及5000个电子邮件地址、电话号码和家庭地址。攻击者在Coinsquare之间来回「横跳」后表示他们将在SIM卡交换攻击中使用这些数据，但不会试图把它们出售，以便「放长线钓大鱼」。这种类型的事件也被归类为第二类无法挽回的事件。在我们确定的74起事件中，其中23起可被归类为数据可检索事件，大约占31%。剩下的51起事件要么是上文描述的异常事件，要么是那些仅遭受资金损失的事件。图表：2011年至2023年间发生的事件中可检索的数据与不可检索的数据（来源：CertiK）我们可以看到几点： ① 2019年后高度可能被检索到或恢复的数据事件显著增加。这与疫情期间各行业黑客攻击和数据泄露事件的增加成正比关系。 ② 在此期间政府援助增长，其中的一些注入了Web3.0生态系统，再加上2021年的牛市，可能为攻击者提供了更多的勒索软件和数据销售机会。被盗的数据都去了哪里？暗网及Telegram 丢失的数据通常最终会被出售或转存到暗网（.onion 网站）或clear net上。如果数据被推测具有一定的经济价值（PII和其他用于欺诈的数据），那么它将高频出现在暗网市场甚至是Telegram频道中。如果攻击者要求（勒索软件）未被满足，数据即会被丢弃在paste sites或黑客论坛中。数据的最终去向决定了它对其原始所有者构成的长期风险。相比于只能在暗网上被购买的数据，以极低的成本或零成本转储到黑客论坛上的数据其泄露的风险会更高。此类网站的持续可访问性也会“助力”受害者数据泄露的长期风险。下文中，我们将更深入地研究这些场所中发现的Web3.0数据销售情况。在线论坛多年来，在线黑客论坛层出不穷。考虑到2019年后可检索数据事件的增长，在这种情况下只有少数几个论坛值得被当作案例分析。这些论坛包括Raid论坛、Breach论坛和Dread论坛。多个违规事件选择将Raid论坛作为倾销和出售违规数据的首选论坛之一。Raid论坛始于2015年，多年来一直在clear net上运行。然而在2022年，Raid论坛的域名被美国执法部门与欧洲刑警组织合作查封。图片：美国和欧洲执法部门在Raid论坛网站上撤下通知 Dread论坛成立于2015年，似乎一直活跃到2022年底，不过社交媒体上有许多迹象表明该论坛目前可能也已倒闭。我们尝试访问该论坛的暗网 (.onion) 和IP2版本，但这些似乎也已关停。在Raid论坛关闭后，Breach论坛立即上线了。对于那些因Raid论坛关闭而「流离失所」的用户来说，Breach论坛为他们提供了一个合理的落脚处。它和Raid论坛具备类似的界面、会员声誉评分系统和极高的活跃度，用户达到Raid论坛原始用户群的60%（约55万名用户）。仅仅一年后的2023年3月，FBI逮捕了经营Breach论坛的Conor Brian Fitzpatrick，在内部发生了一波关于重新部署网站的闹剧之后，该网站倒闭。 Breach论坛倒闭后不到一周，又出现了另一个替代者，该论坛据称是由一个自称是前匿名黑客的Pirata（@_pirate18）运营。但它只有161名成员，意味着这次的替代者没能吸收到那些论坛老玩家。在这次的断档期里（3月的最后几周）中冒出了许多其他论坛。其中一些作为典型违规论坛被取缔，所以可以合理推测剩下的也许是执法部门伪装的。图片：Breach论坛关闭后的VX-Underground论坛列表（资料来源：推特）我们只能确认其中一个论坛上存在一些Web3.0数据。据报道，ARES论坛吸纳了其他被关闭的论坛的一些活动，但不清楚具体数量。该论坛据称与勒索软件团体和其他恶意行为者有关联，还运行着一个公开Telegram频道，该频道在其锁定的VIP销售频道中宣传过数据的销售。该频道于3月6日上线，投放了数百个广告（包括两个与中心化交易所相关的数据库的帖子）。图片：ARES论坛的Telegram中心化交换数据频道广告（资料来源：Telegram）从整体上看，黑客和数据转储论坛社区目前功能比较混乱。传统论坛没有明确的替代者，而且国际执法机构也加大了对这些团体的打击力度，因此几乎可以肯定的是，论坛在短期内不会成为任何重大数据（包括Web3.0）泄露的首选途径。暗网—.onion 网站上的数据泄露长期以来，暗网市场和论坛一直是人们转储或出售数据的场所。这些生态系统也面临着执法部门的打击，尽管这些打击更多的是针对那些促进毒品销售的市场。也就是说，即使在不太知名的市场上，数据泄露的频率似乎也非常高，或者至少是有在被宣传。相比于那些同样存储数据但已全面关闭的在线论坛，这种差异现在显得尤为明显。图片：在暗网市场上出售的分类账客户数据（资料来源：Digital Thrift Shop）回顾一下，在我们确定的数据泄露样本的74起泄露事件中，有23起是有一定可能性检索到的数据。在这23个中，我们能够找到10个活跃的数据销售广告（43%）。这类样本在我们之前的图表中以绿色突出显示：图表：已确认的在暗网市场上出售的泄露数据实例以绿色突出显示（资料来源：CertiK）该图表中增加的付费数据销售表明了几件事。首先，我们无法获取2021年之后发生的任何违规行为的数据来源。基于2022年目标的性质，有一种合理的可能性——数据有可能出现在了一个现已不存在的论坛上。然而这一点很难证明，特别是当这些数据集未出现在任何一个可取代Raid和Breached的论坛上。其次，这些数据集也明显没有出现在任何一个我们能看到的2019年及之前的暗网市场中——可能是因为我们获取这些数据的市场非常早且鲜为人知。我们无法评估这些数据是否实际上仍然可以通过这些供应商获得，但这些广告仍然存在。这些数据泄露会带来长期风险吗？很难去尝试量化长期风险，但至少可以将数据丢失风险与该样本中的非数据相关事件进行比较。注意，我们可以把那些仅导致直接财务损失的违规事件的风险归类为较低风险，因为：损失是即时的，我们可以根据丢失的法定或Web3.0货币来衡量其影响这个过程中丢失的数据都是可替的。如果发生泄露，必须更改私钥、密码和特权网络访问点以解决问题。丢失敏感数据（尤其是客户数据）的漏洞的违规事件确实会带来更大的长期风险这些数据大多在暗网或明网出售或免费提供，从而延长了其长期可用性。客户的个人数据点，即电话号码、名字/姓氏、地址和交易数据很难或不可能被更改。因此即便有人因信息泄露而改变了自己的个人信息，泄露事件中涉及的其他个人的所有数据仍然存在风险。这种违规事件的影响很难或无法衡量。根据丢失的数据，受害者可能成为多个欺诈的目标，也可能不会成为目标。我们在2014年的一次违规事件中发现了可供出售的数据。这个特定的数据点进一步证明了衡量长期风险的困难性。2014年的黑客攻击了现已倒闭的加密交易所BTC-E，该交易所于2017年被美国执法部门查封——实际上此数据丢失相关的风险远低于其他风险。然而，需要明确的是风险仍是持续的，即这些数据可能与来自较新的违规事件的数据相匹配，从而增加了在此期间参与Web3.0的个人长期风险。从这个领域的整体来看，2019年以后丢失的数据（尤其是那些在暗网市场上仍然容易出售的数据）极有可能构成最高的持续长期风险。从2022年起，受到影响的人几乎必然面临着他们的数据可用于欺诈活动的重大风险（即使这些数据无法在物理层面上被找到）。尽管许多在线论坛被关闭，但我们应该假设所有丢失的数据，尤其是最近发生的数据泄露事件，很可能在某个地方仍然可用，并且可以随时重新出现。写在最后现实事实就是安全漏洞不可能100%消失。当数据由一个集中的实体存储和处理时，大多数受数据泄露影响的用户的补救手段十分有限。不过，我们可以通过限制中心化服务的使用数量来降低暴露风险，包括中心化交易所等。个人还应尽可能使用双因素身份验证，以帮助防止不需要的交易所钱包活动，或使用PII来访问或修改账户详细信息。根据泄露的性质，我们甚至可以考虑尝试更改泄露事件中暴露的一些信息，例如电子邮件地址或电话号码。而在Web3.0数据泄露中，如果打算匿名操作，那么你的身份将面临额外的泄露威胁。人们还可以采取其他措施来保护数据和投资。比如通过将资产分布在自托管钱包和硬钱包中来降低投资和财务风险。当然，还可以通过以下方式保护数据： ① 减少与你分享个人数据的中心化Web3投资机构或交易所的数量 ② 跨平台不要使用重复密码 ③ 在所有的账户上启用双因素身份验证 ④ 监控报告数据泄露的网站，这些网站会告诉你你的电子邮件地址是否涉及泄露 ⑤ 使用信用监测服务，以监测企图进行的身份盗窃和银行相关的欺诈来源：金色财经

金色财经2023-05-18

比特币反弹见底了吗？

EVM发布v0.4.2版本，已修复严重安全漏洞； 8. 数据：昨日比特币手续费降至89.8 BTC，已连续一周下降； 9. 数据：以太坊信标链质押总量突破2000万枚ETH，质押率达16.72%； 10. DWF Labs相关地址将15.1万亿枚LADYS存入MEXC、Huobi等交易平台； 11. 数据：Brevan Howard Digital过去3天内将21万枚LDO转至Coinbase； 12. 数据：Lido V2上线至今共774枚stETH申请提款，占stETH总供应量的0.1%； 13. Meme代币LADYS已支持跨链至Arbitrum； 14. 数据：三个巨鲸地址过去一周共增持逾195万枚LDO。来源：金色财经

金色财经2023-05-16

教科书式的黑客攻击解决方案---让MetaBase再度火出圈

级：对所有的权限做了拆分管理，目前，该安全漏洞已修复，并已启动对此次受影响用户的处理进程。随后，MetaBase团队在官方Telegram承认了此次事件的失误在于团队在智能合约安全方面的疏忽，同时承诺将对此攻击事件承担100%责任，并向社区成员征集解决方案。在听取完社区和安全顾问的意见之后，MetaBase很快给出了最终的解决方案。除了前面提到的补偿措施之外，MetaBase在社区中表示，还对事件中积极维护社区信心和坚定持有MBAS的忠实用户进行奖励，用于感谢他们在事件中提供的建议以及让社群避免陷入负面情绪、共识崩塌的情况。总结对于大多数项目而言，遭受黑客攻击往往意味着“灭顶之灾”，项目不是就此宣告结束就是逐渐消亡，而MetaBase此次凭借着教科书式的危机公关，转危为机。在MetaBase即将上线新生态之际，这次事件不仅没让MetaBase名誉受损，反而是让MetaBase狠狠地圈了一波流量和关注，而且社区用户对于项目的好感和忠诚也达到了新的高度，这些因素无疑都将为新生态的成功上线添砖加瓦。来源：金色财经

金色财经2023-05-15

跨链桥在以太坊 PoS 时代还有哪些机会？

复杂，需要保证协议的安全，避免引入新的安全漏洞。合理的收益分配，由于跨链用户比较自由，需要根据用户具体的跨链资金周期合理分配其应得的质押收益。在此方案的基础上，跨链桥还可以提供直接的质押池服务，用户将资产锁入跨链桥合约，即可参与跨链桥提供的PoS网络质押活动来获得收益。区块链行业势如破竹，跨链桥作为链接多链生态的基础设施，不断面临新的挑战，在为用户提供稳定便捷的跨链服务的同时，也在不断寻找新的机遇和突破。如果跨链桥加入网络质押活动，将和区块链网络本身及DeFi用户结合的更加紧密，创造出更多的可能性和互操作性。来源：AaaahWeb3 来源：金色财经

金色财经2023-05-10

24小时热点