保障链上安全是一切链上应用发展的前提,也是“链上天眼”诞生的初衷,亦是业内专业人士共同努力的目标。
NFT和DeFi是近年区块链领域最值得关注的两大热点,但在新技术蓬勃发展的同时,与之同步爆发的安全隐患也成了其鲜为人知的一面。
根据欧科云链链上大师统计数据,仅2022年一季度发生的十大安全事件就一共损失了11.5亿美元资产,其中仅Ronin这一起安全事件就损失了6.24亿美元,成为目前金额最大的黑客攻击事件。
4月6日,Ronin母公司宣布Sky Mavis筹集了 1.5 亿美元的融资,由币安、A16z等头部机构参投,和其他公司融资不一样的是,该轮融资的用途是补偿半个月受黑客影响的用户资金。这也意味着截至目前Ronin损失的6.24亿美元无法追回。
不仅DeFi,近期频频出圈的NFT也出现了隐患,就在一周前,NFT社区出现了一起黑客攻击事件,华语歌手周杰伦在社交媒体上发文称,其持有的无聊猿“BAYC #3738 ”NFT 已被盗。这件事也迅速登上热搜,成为NFT出圈的一部分,人们一方面惊讶该系列NFT价值已经达到数百万人民币,一方面又加大了对其技术安全的担忧。
那么在这个新领域中,关于链上安全到底如何保障,区块链安全公司欧科云链给出了长远的思考。
损失6.24亿的区块链游戏
自2021年8月跨链协议O3损失6.11亿美元资产后,时隔半年区块链领域再次出现一起夸张的黑客攻击事件。
3月29日,东南亚最火热的区块链游戏Axie Infinity母公司Sky Mavis开发的以太坊侧链Ronin遭到黑客攻击,损失约6.16亿美元,超去年8月DeFi协议Poly Network案件被黑的6.11亿美元,成为DeFi历史上最大盗窃案。
据Ronin官方表示,其实该漏洞发生于3月23日,却因29日一名用户反馈提取5000ETH失败才被发现。此次攻击,预计将导致损失173600枚ETH(约5.9亿美元)和价值2550万美元USDC。
如果是现实世界中有公司损失6亿美元资产,将会掀起巨大冲击,但由于是在链上世界发生,很多人其实并不了解到底发生了什么,黑客如何盗走了如此多资产?
首先,Axie Infinity是一款基于元宇宙概念下的NFT游戏,以玩家可以在游戏中赚取加密货币(P2E)的模式爆火,一度成为排名第一的GameFi游戏。
由于Axie Infinity 的团队Sky Mavis想要一个可靠、快速且廉价的网络,从而为游戏的发展提供保障,于是,Ronin 便是为支持游戏 Axie Infinity 而构建的以太坊侧链,使得用户能够自由地将资产转移到其他链上。所有Axie玩家需要将加密资产跨链到Ronin侧链上才能参与Axie游戏。
根据欧科云链链上天眼分析,一名黑客早就盯上了这个全球最火的区块链游戏,并在在 3 月 23 日就已获利,并将获利的 2550 万枚 USDC 转出,接着兑换为 ETH,而在北京时间3月28 日的凌晨,黑客才开始转移资金。据官方称是在用户报告无法从跨链桥中提取 5000ETH 后才发现这次攻击。
那么黑客是如何完成攻击过程的呢?
欧科云链链上天眼分析,此次攻击者是通过Ronin的RPC节点找到后门,设法控制了Sky Mavis的四个Ronin验证节点和一个由Axie DAO运行的第三方节点,从而实现资产盗窃。因Ronin链由9个验证节点组成,9个验证者签名中的5个同意,方可存取款。
随后攻击者从侧链Ronin盗取资产后,将资产跨链转移到以太坊地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96,这个地址也就成为了黑客可能的身份标识。
盗窃资金后,黑客接下来就会使用专业的技术手法讲资金转移到难以追踪的地址,这个过程使用的技术就被成为“混币”。
据了解,混币的过程是指许多人匿名聚在一起,把他们的资金混在一起。然后把所有的资金发送到这些人的地址,把他们各自发送的资金记录下来。
所以黑客经常使用不要求提供身份信息的交易所,或者使用他们购买的身份信息。对于黑客来讲,只要可以达到他们的目的,任何有可能的工具都会被使用。
虽然Ronin官网以新一轮融资来缓解压力,但损失的资金并未被追回。据欧科云链,截止目前,黑客获利地址已被欧科云链链上天眼团队打上“Hack“标签,成为欧科云链2亿地址标签库之一,为日后的案件追溯提供底层基础。由于链上地址的透明性,黑客地址往往不会轻易转帐,所以不排除最后返还的可能性。
周杰伦损失的“无聊猿”NFT
无独有偶,除了DeFi,NFT圈也发生了安全事件。