最大的問題是,被黑了的錢包已經在一個DeFi智能合約上抵押了120萬美元的ERC20USDC穩定幣,而且是采取流動性挖礦的模式。
原文來自Linkined
作者:VictorFang,AnChain.AI
譯者|?Katie辜
出品?|?Odaily星球日報
聲明:本文是位于舊金山的AnChain.AI團隊近期解決的“DeFi百萬美元失竊案”真實案例。基于簽署的用戶保密協議,在此不會涉及任何有關用戶的個人信息。
01迷失在量子態的價值數百萬美元貓咪
——薛定諤的貓
“Victor,在嗎?”
舊金山,晚上8點27分,我收到了一條來自我投資者朋友的短信。
我皺了下眉。通常在晚上收到VC的電話,要么是有特別的好事,要么是壞消息。
我的預感告訴我應該是不好的消息:
“我朋友的Metamask被黑了。是投DeFi項目的,里面有數百萬美元。”
我回復道:“讓他們打給我。”
幾分鐘過后,一個以“650”開頭的電話號碼打過來。電話一頭,Catherine用顫抖焦急的聲音解釋了事情經過。她是一位在舊金山的VC投資人,她的Metamask錢包剛剛被黑了。
當晚9點,我召集了一個緊急事件處理會議,Tomo和Ralph參加了會議。
一天前,Catherine掉入了社交工程詐騙陷阱,導致Metamask以太坊錢包被盜,私匙也因此泄露。
錢包被一洗而空,4個ETH被轉到黑客的錢包。
最大的問題是,被黑了的錢包已經在一個DeFi智能合約上抵押了120萬美元的ERC20USDC穩定幣,而且是采取流動性挖礦的模式。
被質押的DeFi資產還在,但那120萬美元隨時都可能不翼而飛。
這些被抵押的資產就像薛定諤的貓:正如哥本哈根量子學實驗那樣,迷失在量子態,被鎖在密封的冰冷硬盒箱中。結果只有當打開箱子那一刻才知道,抵押的資產是否還在。
我們尚不清楚黑客是否知道被抵押的DeFi資產的存在,或者他一直就在暗中觀察錢包情況:
歐洲系統性風險委員會對加密貨幣和DeFi發出警告:金色財經報道,歐洲系統性風險委員會(ESRB)發布報告表示,盡管加密貨幣經歷了動蕩的一年,但它對傳統金融系統的影響微乎其微。即便如此,該委員會仍告誡要進行進一步監督。報告稱,鑒于加密市場令人印象深刻的增長軌跡和不可預測的未來,潛在的系統性風險不容忽視。
ESRB表示,雖然歐洲立法者最終在4月份通過加密資產市場(MiCA)監管法規,但還需要更多的工作。報告建議政策制定者實施多項改革,以平息現有的監管擔憂,其中包括對具有加密風險敞口的金融機構的定期報告要求。報告寫道,例如,如果隨著時間的推移與傳統金融體系的相互聯系增加,系統性風險可能會出現。[2023/5/26 10:40:38]
假設1:黑客早就知道。他們可能在等有更高的DeFi收益再動手?
假設2:黑客不知情。但是如果我們與以太坊保持互動,遲早黑客會發現這些被抵押的資產。
我們可以試探一下,答案就會出現。
但這個方法也存在問題,很可能最后結果就是好奇害死貓。
大多數用戶找到AnChain.AI是因為他們的加密貨幣被盜,想通過區塊鏈安全服務來盡量挽救損失。但通常這種情況已經來不及了,盡管我們做最后的補救,只能拿回一部分錢而已。
但DeFi的盜竊給我們帶來了新的機會。如果這盤棋我們下得好,120萬美元失而復得是有可能發生的。
我在回復郵件里寫道:“你錢包里的錢可能隨時都會被盜,你需要請求緊急事件處理專家的幫助。以下是我們提供的建議,無論你最終是否選擇我們公司的服務。”
斷開網絡,關掉電腦。
使用全新的電腦上網。
不要分享私匙給任何人,包括安全公司。
不要把你的錢包與任何DeFi產品連接。
當我寫下最后一條建議時,“黑暗森林”一詞閃過我的腦海。
早晨7點,我醒來就看到了一封署名的郵件,是凌晨4點過后發送過來的。這一晚對于Catherine來說肯定特別漫長。在核實資產歸屬于她后,緊急事件響應團隊開始著手處理被盜錢包事件。
正如劉慈欣的科幻小說《三體》里描述的那樣,“黑暗森林法則”認為如果一種文明非常害怕其它的文明,最終它們會不敢互相揭示對方的問題所在,因為它們都擔心會馬上被當做潛在的威脅而遭到毀滅。
DeFi項目Sommelier在A輪融資中籌集2300萬美元:金色財經報道,幫助實現DeFi交易自動化的加密項目Sommelier Finance在A輪融資中籌集了2300萬美元。該輪融資由Polychain Capital領投,現有投資者Alameda Ventures和新投資者Zola Ventures、Byzantine Ventures、Tendermint Ventures、Secure Ventures、D1 Ventures和Ferngrove Ventures參投。Sommelier由Cosmos協議和Tendermint的前首席開發人員Zaki Manian于2020年創立。該區塊鏈協議可幫助自動化流動性提供商(LP)的資本分配,以最大限度地提高收益。有了新的資金,Sommelier計劃升級其協議并推出“Cellars”,以幫助管理跨DeFi協議的流動性。[2021/10/21 20:44:43]
以太坊就像一個黑暗森林。AnChain.AI團隊可以感受到我們即將探索的黑暗森林中令人生畏的綠眼睛在直直地盯著我們,仿佛任何人都可能成為它的下一個獵物。雖然沒有人提出這個要求,但我們都心知肚明。能否拯救這只百萬美元的薛定諤的貓才是問題的關鍵。
02分析黑暗森林的惡魔:黑客特征
世界上最有名的緊急事故反應團隊當屬FireEyeMandiant,他們遵從網絡安全至上的原則,并由CEOKevinMandia和員工寫了原則性手冊。
我從FireEyeMandiant離職后,創辦了AnChain.AI,我帶來了最好的網絡安全實踐經驗和共同創造了AnChian.AI的區塊鏈緊急事件響應項目團隊。
與網絡或云端安全相比,區塊鏈安全在去中心化盛行的西方展露出它獨特的挑戰性。
緊急事件響應主要面對兩個問題:調查和處理。
其中,調查目的是要找出答案:“黑客是誰?”黑客特征是為了推斷出黑客的TTP-包括盜竊手法、技術和步驟。
黑客使用的是什么工具?
電腦監識:除了社交工程的網絡釣魚網站手段,通過惡意軟件和非法途徑,利用Catherine電腦的Chrome瀏覽器Metamask錢包插件也可以入侵電腦。
當前以太坊上DeFi協議總鎖倉量約合129.7億美元:據歐科云鏈OKLink數據顯示,截至今日11時30分,以太坊上DeFi協議總鎖倉量約合129.7億美元。其中鎖倉量排名前五的分別是Uniswap V2 29.9億美元(-3.51%),Maker 20.9億美元(-2.17%),WBTC 14.9億美元(+2.79%),Compound 10.7億美元(-2.75%)以及Aave 9.73億美元(-11.95%)。
此外受Harvest黑客攻擊事件影響,Curve的鎖倉量在近24小時環比下降25.59%,當前鎖倉量為8.16億美元,排名第六位。[2020/10/27]
區塊鏈監識:通過設置與區塊鏈交易和流動性相關的軟件來調查黑客。首席信息官調查工具將黑客的鏈上活動軌跡可視化。我們并未發現智能合約上的任何變化,除了代幣的交易。
我打開了AnChain.AI的首席信息調查官調查工具,開始研究受害者和黑客的地址。看樣子目前已經有6個人掉入了黑客的網絡釣魚詐騙陷阱里。同樣的手法發生在2020年推特黑客調查,那個被盜案件中被盜的資金已經轉入了其它錢包中。
感謝上帝,幸好我們客戶的DeFi抵押資產還在。
黑客地址是哪里?
這不像網絡服務器能夠追蹤到IP地址和用戶代理字符串,以太坊區塊鏈分類賬只能匿名記錄錢包地址和智能合約的狀態。運行速度快的Python腳本計算相關錢包統計數據,然后展示黑客活躍時的機率密度函數。顯示結果表明黑客可能是在東亞地區。
概率分布圖幫助我們找出在最佳的黃金時間。如果過早或過晚啟動事故應急處理,黑客可能已經知道緊急事件響應團隊的存在。如果黑客發現了我們,那我們的計劃就泡湯了。為了不引起罪犯的注意,我們的最佳時機是美東時間早上10點到晚上8點。
根據我們所描繪的黑森林惡魔,這是一個位于東亞、擅長入侵電腦的極客。但是很有可能這個人并不懂DeFi和智能合約。
太壹科技CMO孟春東: 公鏈開始構建自己的DeFi生態,也會發展出自己的小生態。:近日,太壹科技CMO孟春東表示,目前看波卡上已經有十多個DeFi項目,整體生態項目大約200多個,已經初步完成生態的基礎構建。此外,其他的各種公鏈也會發展自己的DeFi,并在此基礎上實現跨鏈資產流通。太壹科技技術團隊近期就被波卡上很多公鏈項目邀請參與Defi項目的共同開發,完全展示了太壹科技扎實的技術功底和敢想敢拼敢贏的精神。
最終來說,隨著資產跨鏈的發展,以太坊的DeFi生態會繼續增強,其他公鏈也有機會隨之獲得一定的市場規模。由于整體DeFi的市場規模還很小,這些公鏈有機會一起將DeFi發展做大,未來更有可能的局面是形成以以太坊為中心的多鏈共存的DeFi生態。[2020/9/26]
03制定應對計劃
《孫子兵法》中說過“知己知彼,百戰不殆”,這為我們的應對計劃奠定了基礎。
我們的補救方案就是將120?萬美元的穩定幣轉到Catherine的新的硬件錢包。
我們最大的希望寄托在DeFi的智能合約,特別是緊急應對小組制定的方案:
計劃A:能將里面的資產提取到一個不同的錢包,而且繞開被盜者的錢包嗎?
Tomo收到了DeFi智能合約的代碼:
然而提幣沒有接受方,只能將資產提取到原來的錢包里。值得一提的是,Uniswap考慮到了這種情況,并設置了相關的應對程序。
計劃B:我們能否凍結資產?這樣黑客就不能把資產轉移。
在DeFi治理中,凍結是一個很關鍵的的功能。
但正如圖示,對于穩定幣而言,交易里并沒有鎖定這個功能。
計劃C:大多數設計良好的DeFi有“暫停”的管理按鈕,是為了應對緊急情況。
然而,設置“暫停”只能暫停某種代幣合約的交易,并不適用于個人錢包,不適合這個盜竊案。
波卡 DeFi 平臺 Acala 已支持波卡測試網代幣體驗跨鏈相關操作:波卡DeFi平臺Acala的MandalaPC1(候選平行鏈1)正式出現在波卡Rococo平行鏈測試網分支中。目前用戶可體驗將ROC(DOT測試幣)從Rococo中繼鏈轉入AcalaMandalaPC1,通過Homa流動性釋放協議換成LDOT,并能將LDOT參與超額抵押借出aUSD或通過內置DeX換成其他資產等DeFi應用。另外,由于Acala網絡的自定義手續費機制(Flexifee),用戶已可用ROC作為網絡手續費,完成平行鏈與中繼鏈之間的相關操作。[2020/8/24]
很明顯,這個DeFi產品沒有考慮過這種緊急情況,真令人失望。
同時,我也聯系到了這個DeFi產品團隊的電報群、郵件、推特、領英和他們的投資者。或許是孤注一擲,但他們確實在市場上有好的名聲。
然而并沒有想象中那樣得到回復。
因為糟糕的客戶服務是DeFi產品共同的問題。
我們回復Catherine:“很不走運,我們剛剛總結出三個直接從DeFi錢包挽救你的損失的方案,最終只有計劃Z合適。但這個計劃有風險,你準備好了嗎?”
作為日漫《龍珠Z》的狂熱粉絲,我認為這個計劃Z就跟游戲中的絕招一樣是必殺技,我們試試就知道了。
04計劃Z:精密修復手術
我的同事Anderson醫生是研究院的一位開刀醫生,他從不在他有手術的前一天喝咖啡。因為*****會影響到他的手指。他曾經揮動他的手,大笑著跟我說他才需要外科手術的精確。
緊急事件處理也需要“精密修復”,過度的緊張會導致計劃失敗。
計劃Z是我們最后的希望,雖然充滿風險,但可以簡單分為下面三步:
將ETH作為手續費轉到被盜者的錢包;
將質押的資產從DeFi礦池提取到被盜者錢包;
全部轉到安全的地方。
我向Catherine講解了整個計劃步驟,很快意識到這個計劃比理論上寫的更加魯莽。聽起來就像一個恐怖計劃:“如果黑客比你早一步行動呢?”
“計劃Z?關鍵就是速度,我們的自動防御機制將增大我們的勝算,先聽我解釋。”
我從分析中總結出了一個博弈論策略,列舉了所有方案可能性。當我面對復雜又不確定的事情時,我喜歡用這樣的方法分析。
黑客可能還沒有意識到我們的計劃或者正悄悄地將資產轉到其它的錢包,或早就自動設定好。
即使黑客使用自動設置,我們的工程師也向我保證有80%的勝算。博弈論顯示我們有93%的可能性打贏這場戰,這個幾率很高。但是面對這么大一筆數目的錢,7%?的失敗率也很令人感到緊張。
前面講計劃Z拼的就是速度。具體來說,我們的目標就是最大程度減少贖回和交易間的時間差。這分兩個關鍵步驟;
1.贖回速度。對礦工的最佳手續費就是關鍵。2020年,由于DeFi市場的大爆發,以太坊的手續費跟著水漲船高而遭受罵名。在6月的時候平均Gas費甚至達到過700個以太幣!
2.在33秒的驗證時間內,200以太幣對我們來說已經是以太坊交易池排名第一的手續費。贖回DeFi產品時超過12.8美元的手續費都讓我心疼,但比起120萬美元就顯得很微不足道了。每一秒都很關鍵。
3.進攻工具:在web3上的Python腳本為了對抗性交易而在以太坊交易池里進行非法預先交易,所以我們的ERC20穩定幣交易可以在礦池里最先進行,并轉到我們設定的安全地方。關于非法預先交易的相關操作請看下文。
進攻工具已經這準備好了,我們將文件命名為:
>>FrontrunDarkForest.py
我們對Rinkeby測試網進行測試后,計劃Z就準備完善了。
05“拯救薛定諤的貓”
下午2點,百萬美元的“薛定諤的貓”拯救計劃在兩次測試后正式開始。
Catherine深呼吸后,打開了DeFi贖回網站,登入了metamask錢包的插件,將被盜的錢包連接到DeFi。
很快,Catherine開始歇斯里地地尖叫,眼淚奪眶而出。
“余額為零!?這是什么情況!?”
DeFi網頁顯示錢包在抵押礦池中的余額為零!大家沉默了一會,但是剛剛顯示有抵押資產。經過理性分析,可能黑客早就檢查過錢包的資產。但我們在一開始時并沒有看到智能合約,黑客根本沒有辦法盜走這些錢啊。
我看了一眼Catherine的DeFi網頁,在右上角本來不是應該顯示連接的以太坊地址嗎?
“你能夠再試試連接Metamask錢包嗎?”
Catherine屏住呼吸,關上瀏覽器,重新打開了DeFi網頁,重新連接了Metamask。
顯示120萬的USDC還在礦池中。
大家松了一口氣,所有人嘲笑這荒謬的一切。但是我們沒有時間討論這個鎖定值高達2億美元的DeFi產品UI的不合理性了。
Tomo發送了Python腳本?FrontrunDarkForest.py,將ETH交易費轉到被盜者錢包,然后顯示我們的工具已經準備好了。
Catherine點擊“提取”,確認200以太幣手續費,交易在以太坊網絡顯示。
時間仿佛靜止了,只聽到我們的心跳聲。
當所有籌碼都擺在我們面前,信心在這時會突然消失。
遍布SparkPool、Nanopool和F2Pool礦池的全球成千上萬的CPU礦工都在拼命地想從這次交易中分一杯羹。
30?秒過后,智能合約的提取交易成功,200Gwei的保險費起了作用。
很快,腳本?FrontrunDarkForest.py?開始運行,彈出了這樣的信息:
預先交易成功。USDC提取到安全位置。
3秒后,以太坊瀏覽器確認了這筆交易。USDC到達設定的安全錢包。
從技術上講,到下午2:15,緊急事件反應處理任務已經完成。從黑森林中救出120?萬美元的薛定諤的貓只用了33秒。世界仍然和平,“亞洲的惡魔”顯然仍在美夢中。
我們揮手告別,然后走出我的辦公大樓。這是舊金山另一個陽光燦爛的一天,桂花的舒緩的芬芳使我平靜,只有當初秋的微風拂過我時,我才意識到我的襯衫沾滿了汗。
特斯拉平靜地駛在101號高速公路上,我開始播放最喜歡的歌曲,大衛·鮑伊的《Starman》,就像電影《火星人》中一樣。充滿異國風情的Dorian調式瞬間改變了宇宙氣氛,然后唱起:
星星超人在空中靜候著,
他告訴我們不要搞砸了,
因為他知道一切都會是值得的。
我回想起Catherine在硬件錢包地址上看到的價值120萬美元的加密貨幣時的燦爛笑容,她問道:“黑客看到這一點會感到什么?”
黑客很快就會看到以閃電般的速度發生的這筆異常的以太坊交易。他可能會覺得“星星超人”已將薛定諤的貓從他那片黑暗森林中救出,交給了真正的主人。
06學到的經驗
在《緊急情況響應圣經》的第1部分中,FireEyeMandiant和AnChain.AI建議要“為不可避免的事件做準備”。你不會像Catherine那樣幸運,這只是因為碰巧認識了我們的投資者。防范于未然,請確保你的聯系人列表中至少有一個緊急事件響應團隊的人。
當心社會工程學詐騙。Catherine正是被一個誘騙并竊取了她的私鑰的釣魚網站導致黑客入侵。如圖1所示,受害者并不是只有她一個人。不要以為你總是比黑客聰明。再次提醒,在任何情況下你都不應該泄露你的私鑰或密碼,那12或24個單詞,還記得嗎?
我對匿名的DeFi團隊有三個問題:當億萬美元資產注入的的流動資金池中時,我們將與誰聯系以獲得可靠的客戶支持?我們向誰建議更好的用戶界面和用戶體驗?誰能像聯邦存款保險公司這樣為投資者的危急資產提供保險?我不了解DeFi未來的銀行業務如何,除非這三點能給我令人信服的答案,你怎么看?
致謝:
我要感謝Paradigm的DanielRobinson和豐元資本的SueXu的寶貴反饋。
引用:
?JasonT.Luttgens,MatthewPepe,KevinMandia,“IncidentResponse&ComputerForensics,3rdEdition”,ISBN:9780071798686,McGraw-HillEducation,2014
DanRobinson,https://medium.com/@danrobinson/ethereum-is-a-dark-forest-ecc5f0505dff
SamSun,https://samczsun.com/escaping-the-dark-forest/
原文鏈接:
https://www.linkedin.com/pulse/rescuing-schrodingers-cat-defi-darkforest-victor-fang-ph-d-/
Tags:DEFEFIDEFITHEDEFI100Farm TokenDefiDollar DAODeFireXEtherland
隨著2020年歲末的到來,比特幣將走過第12個年頭。經過12年的漲跌起伏、爭議分叉,比特幣進入了主流視野,更多的山寨幣種也涌現出來。其中,不得不提的就是BCH——比特幣的分叉幣.
1900/1/1 0:00:00?編譯??▏Damo?索隆Hello,各位老哥們好!又到了索隆給大家聊行業的時間。在說市場上交易機器人之前,先給一些老哥科普交易機器人的作用和價值。如果你很懂,可以直接PASS這段.
1900/1/1 0:00:00據TheBlock11月2日報道,位于荷蘭阿姆斯特丹的加密衍生品交易所Opium在一輪融資中籌集了近325萬美元.
1900/1/1 0:00:0011月4日,比特幣價格突破1.5萬美元之際,一個“沉睡”多年的比特幣錢包地址中有69,369枚比特幣被轉移,價值約10.8億美元.
1900/1/1 0:00:00讀懂價格預言機的一切,學會如何安全地使用它們。撰文:SamSun,知名白帽,加密風投機構Paradigm研究合伙人編譯:PerryWangParadigm授權鏈聞翻譯并發表該文章中文版本.
1900/1/1 0:00:00根據巴比特對以太坊2.0Launchpad進度查詢結果顯示,北京時間11月24日10點左右,以太坊2.0存款合約地址余額達到了啟動創世區塊的最低要求,即524288枚ETH.
1900/1/1 0:00:00