NFT交易平臺被盜事件背后的攻與守_PEN

加密圈的盜竊案已經不是新鮮事，甚至是平常事。最近，關于OpenSea交易平臺被盜事件鬧的沸沸揚揚，雖然自查的結果定論為外部攻擊，而非平臺系統性問題，但近300萬美金資產損失已成定局，據DappRadar的數據顯示，在黑客事件后，OpenSea上的用戶活動迅速下降，平臺上的用戶活動至少下降了20%。那么，在一次次被盜事件發生的背后，是否有防范未然的措施可以采取？

安全認知深刻??防范卻后知后覺

被黑客攻擊的重災區非常具有指向性，即充斥著大量資產交易體量的“當紅賽道”，這已經成了黑客們的默契選擇。就在本月初，一位NFT收藏家發推稱自己的所有NFT頭像被盜，價值高達1800萬，希望尋求交易平臺的幫助，針對此安全事件，OpenSea平臺僅能對該藏主的地址和相關NFT進行了加紅標記。而類似這樣的被盜事件還有很多，很多用戶表示，在自己毫無安全預警的情況下黑客就輕松實現了資產轉移，黑客得手仿佛輕而易舉。

加密貨幣ATM公司Bitcoin Depot將于7月3日在納斯達克上市:金色財經報道，美國最大的加密貨幣ATM公司之一Bitcoin Depot宣布完成合并交易，允許該公司上市。金融科技公司GSR II Meteora Acquisition Corporation在6月30日發布的公告中表示，其股東已批準該公司的合并，作為Bitcoin Depot的特殊目的收購公司。該交易于2022年8月首次報道，耗資8.85億美元，預計投資者將從7月3日開始在納斯達克上市Bitcoin Depot。[2023/7/1 22:11:45]

借鑒行業內因盜竊案導致破產的事件教訓，平臺深知安全的重要性。但綜合來看，整體行業的安全系數偏低。合約漏洞、交易漏洞等問題屢見不鮮，盡管平臺搭配盡可能多的安全防范手段，持續進行例行的安全漏洞補丁，但被盜慘案似乎防不勝防，平臺和用戶承受著巨大的資金和信任損失，也只能在調取事件因果后進行攻擊技術分析，意圖通過總結相應的安全防范手段，提高行業的安全防線。不幸的是，有些漏洞錯誤仍舊低級，成功于鉆空子或見招拆招，黑客的攻擊手段也變得更多樣。

Zeeves將于5月推出其新銀行產品和Zilliqa借記卡:4月27日消息，Layer 1 區塊鏈 Ziliqa 宣布 Zeeves neobank 將于 2023 年 5 月推出其新銀行產品和首款 Zilliqa 借記卡。通過注冊 Zeeves 借記卡，用戶將能夠在接受提供商付款的商店中使用歐元或 ZIL 進行支付。 Ziliqa 早期采用者有機會因幫助測試平臺而獲得免費借記卡和三個月的服務的獎勵。

Zeeves 是一種基于 Telegram 的新銀行、錢包和活動工具，由 Zilliqa 區塊鏈提供支持。[2023/4/27 14:31:23]

黑客攻擊手段有哪些？

Web3 數據存儲解決方案 KYVE 主網現已上線:3月18日消息，Web3 數據存儲解決方案 KYVE 主網現已上線，并提出另一個基于 Cosmos SDK 的創新解決方案，以增強開發者體驗，其目標是讓數據成為一個無需信任的公共產品。KYVE 區塊鏈分為兩層：鏈層與協議層。鏈層是 KYVE 的主干，通過 DPoS 保護網絡，治理與維護整體結構。協議層充當去中心化數據池，協議節點可以參與獲取、存儲與驗證數據。3 月 21 日，KYVE 支持通貨膨脹的治理提案將獲得通過，確保 KYVE 主網功能更加齊全與安全，下一步是推出 KYVE 代幣。同時，KYVE 數據管道也已上線，第一個數據池在測試網與主網上啟動需要 6-8 周時間。在此期間，數據管道將繼續從 KYVE 開發網 Korellia 的數據池中提取數據。[2023/3/18 13:12:25]

黑客攻擊不止是區塊鏈產業的特例，它將伴隨全產業長期存在，任何賽道都將處于高度戒備狀態。而作為其中的參與者，我們可以對黑客攻擊手段做一個簡單了解，做到知己知彼。以下簡單介紹幾個經常出現的類型：漏洞攻擊、釣魚攻擊、量子攻擊。

工信部任愛光：“元宇宙熱”回歸理性，正是行業務實發展好時機:近日，在中國信通院主辦的“元宇宙創新探索論壇“上，工業和信息化部科技司副司長任愛光在致辭中指出，歷經一年的發展，業界對元宇宙發展熱情逐步回歸理性，而這正是務實推動行業發展的好時機。

任愛光表示，元宇宙是5G、人工智能、區塊鏈、虛擬現實等新一代信息技術融合創新的集大成應用，能夠深度融合數字空間和物理世界，有望催生出一批新產品、新模式、新業態，是具備高增長潛力的未來產業。工信部一方面加強頂層設計，加快謀劃元宇宙產業發展，通過“揭榜掛帥”、建設先導區、標準建設、技術攻關等方式，推動人工智能、區塊鏈、虛擬現實等元宇宙技術創新，夯實產業發展根基。另一方面，加快凝聚共識，支持世界人工智能大會、世界數字經濟大會、世界VR產業，增設元宇宙議題，匯聚各方力量，加強產業協作。（新京報）[2023/1/18 11:18:05]

漏洞攻擊是黑客們常用的手段，也是系統自身安全性不足引發的安全事件。漏洞又可以分為不同的形式。一種是邏輯漏洞，在去年的閃電貸攻擊獲利就是利用了資產流轉的邏輯漏洞，空手套白狼式套利，令不法分子屢試不爽。一種是安全漏洞，即黑客掃描到區塊鏈協議、智能合約機制、節點設備漏洞等安全缺陷，發起攻擊。

釣魚攻擊，即外部來源的惡意攻擊，本次OpenSea安全事件就是典型釣魚攻擊。通俗解釋來說，就是用戶外部點擊了帶有病或授權的信息，使得自己的信息暴露，又或者未分辨內容真假、受利益誘惑影響，導致事故的發生。就OpenSea解釋說，本次事件是黑客趁著OpenSea合約升級之時，給所有用戶的郵箱發送了一封釣魚郵件，而不少用戶錯把其當作官方郵件而將自己的錢包授權，進而導致錢包被盜。

量子攻擊，伴隨量子計算機的出現，威脅性巨大，包括摩根大通等都在研究相關的抗量子攻擊方案。值得關注的是，區塊鏈是最容易受量子攻擊的地帶，黑客通過破解區塊鏈關鍵構件加密算法和數字簽名，不危言聳聽地說，量子攻擊對任何涉及公鑰的安全都構成風險。伴隨量子硬件的發展，行業應該高度關注量子計算和密碼學的發展，意識到量子攻擊可能帶來的危險，在今天就采取行動。

平臺的外援和用戶的心智

盡管黑客攻擊屢屢發生，給行業帶來了巨大的打擊，但在惡的反面是網絡安全公司的越發壯大。來源于網絡消息，全球信息安全和風險管理最終用戶支出將以9.2％的五年復合年增長率增長，預計在2022年將達到1745億美元，無疑，此類公司已經成為NFT平臺升維網絡安全的重要抓手。

客觀情況來看，目前針對區塊鏈的專業網絡安全公司還在少數，主要還是來源于互聯網賽道的安全服務。最近，網絡安全服務商ERMProtect宣布將提供加密貨幣合規服務，IBM的X-ForceRed推出區塊鏈網絡安全服務,區塊鏈網絡安全公司Sollensys推出了數據安全產品SollensiumTM。與此同時，平臺相關的鏈上安全產品合作也陸續開展，OpenSea平臺曾表示正和第三方錢包服務一起“幫助用戶更好地識別惡意簽名請求，并采取其它措施幫助用戶更有效地阻擊詐騙和釣魚攻擊”。不久前，受某安全公司提醒，OpenSea及時修復安全漏洞，規避了潛在的危險發生。

總之，威脅行業健康的黑客只能是人人喊打的角色，在種種經歷中，不止是平臺，作為用戶更要有一種危機意識。及時設置雙重身份認證，進行產品的升級，使用安全系數更高的錢包設備，都可以盡可能降低盜竊案的發生。

Tags：區塊鏈ENSPENSEA區塊鏈專業大學排名CENS幣OpenOceanSealBlock Token

聚幣