黑客正在保留被盗的加密货币:长期解决方案是什么?
从长远来看,该部门必须齐心协力,以重大方式加强其网络安全游戏,而不是寻求一些临时解决方案。
尽管持续不断的Binance-FTX传奇似乎主宰了加密电波,但近几个月来,另一种增长趋势——一个令人不安的趋势——已经引起了许多数字货币爱好者的注意。黑客正在返还部分资金以发现协议中的漏洞。
在这种情况下,就在最近,对价值1450万美元的TeamFinance攻击负责的犯罪分子表示,他们将被允许保留被盗资金的10%作为赏金。
此外,以MangoMarkets为例,这是一个基于Solana的去中心化金融(DeFi)网络,最近被利用至少1.1亿美元,该网络表示其支持者社区正在努力达成共识,这将使黑客因揭露漏洞而获得4700万美元的奖励。
某黑客正以被遗弃的Meme代币为攻击目标获利:5月12日消息,Aurox首席执行官Giorgi Khazarade发现一名黑客一直在从废弃的Meme代币池中抽取剩余的流动性,在这些攻击中几乎没有受害者。攻击者使用DeFi协议Balancer的闪电贷借入大量资金。然后,他们重新定向这些资金以增加所选代币池的数量。一旦资金池的容量增加,攻击者就会从资金池中抽干剩余的流动性,并归还从闪电贷中借来的代币。Khazarade指出,在CATOSHI漏洞利用中(链上数据显示为29天前),黑客通过闪贷借了大约1.84亿美元的wETH,并使用这笔贷款中的大约100万美元购买了CATS。根据该代币经济学,每当有人交易CATOSHI代币时,代币持有者将获得3%的再分配奖励。在购买了超过16.6万枚CATS之后,攻击者将代币桥接到BNB链上,随后以大约10 BNB的价格出售了代币,总利润为3000至4000美元,剩下的资金被用来偿还他们的闪贷。[2023/5/12 14:59:19]
随着这一趋势继续受到广泛关注,记者联系了多位行业观察员,以确定这种做法是否有利于数字资产市场的持续增长,主要是从长期来看。
nyokiclub的discord账号遭受攻击,黑客正在扩散虚假mintNFT网站链接:4月1日消息,BlockSec告警系统于4月1日下午2点30分发现nyokiclub的discord账号遭受攻击,黑客正在扩散虚假mint NFT网站链接,请不要点击任何链接。[2022/4/1 14:31:31]
这是一个很好的做法,现在
SynFutures联合创始人兼CEORachelLin告诉记者,一方面,这种鼓励“黑帽”变“白帽”的习惯鼓励了行业提高其最佳实践的不同标准,但它仍然是流行的协议被分叉或只是复制和粘贴的情况并不少见,从而使它们充满了许多隐藏的错误。她说:
“我们可以说这是健康的,在理想世界中,只有白帽黑客。但是,我们看到的黑客正在返还一些资金的转变,这是向前迈出的重要一步,特别是在像这样的敏感时期,许多项目和交易所相互关联并且可以影响整个生态系统。”
动态 | Upbit黑客正将被盗资产转移到去中心化交易所进行变现:Upbit一小部分被盗的以太坊已经被发送到了去中心化交易所Tokenlon。作为测试,黑客可能会将ETH转换为与EOS挂钩的令牌VEOS。有用户评论称,黑客正试图利用缺乏监督的去中心化交易所来“清算资金”。若黑客试图采用该策略进一步分散资金并最终变现,随后可以看到ETH大量被转换为EOS挂钩的代币,并转移到其他去中心化交易所。(BeIncrypto)[2019/12/14]
与此类似,去中心化货币市场FringeFinance的首席技术官布莱恩·帕斯菲尔德(BrianPasfield)告诉记者,将黑客窃取的一小部分资金用于发现漏洞的想法是不健康的,而且几乎是不可持续的。事实仍然是,最终,被黑项目别无选择,只能使用这种方法。他加了:
“这比诉诸执法部门的方法来逮捕肇事者并追回资金更好,后者即使成功也需要很长时间。”
加密合规公司AMLBot的联合创始人SlavaDemchuk从技术上讲,他说,由于一切都在链上,黑客的所有行为都是可追溯的,以至于犯罪分子利用加密货币的机会几乎为0%。非法获取的数字资产。他评论说:
动态 | 黑客正在将5月从币安盗取的比特币转换成法币:据CoinDesk消息,Coinfirm的一项新分析显示,币安5月被盗的比特币已流向了多个不同的钱包。Coinfirm通过分析交易活动发现,黑客正在将他们从交易所获得的加密资产转换成法币,并已经开始在各大交易所清算比特币。 Coinfirm的Grant Blaisdell表示:“对黑客使用的一个主链进行分析后,得知他们正在Bitfinex、Bitmex等九所交易所清算至少1.8087枚BTC(约合21000美元)。”[2019/7/16]
“当黑客同意返还部分被盗资金时,该项目通常不仅不会起诉黑客,甚至允许他们合法使用剩余资金。”
最后,SOOHO.IO的审计技术主管JasperLee表示,从长远来看,这种白帽行为对区块链行业来说可能是健康的,因为它提供了识别漏洞的机会。在去中心化金融(DeFi)协议变得太大之前就已经存在。
动态 | 全球黑客正从网络勒索计划转向数字货币挖矿:据塔斯社报道,全球各地的黑客正从网络勒索计划转向数字货币挖矿。卡巴斯基实验室报告说:“在面对恶意软件的用户结构中,包括密码技术人员在内的木马程序受害者比例下降,同时,矿工在整体威胁中所占的比例也在增长。反病专家Eugeniy Lopatin说:“这种趋势的原因很明显,对网络犯罪分子来说,敲诈勒索程序是赚钱的一种高风险方式,因为这些程序的攻击同时也吸引了媒体和当局的关注。但加密货币的挖矿收入对他们来说更容易操控,是一个稳定的收入来源。”根据该报告,全球互联网用户数量因其加密货币被恶意程序攻击而增加44%。[2018/6/28]
他还告诉记者,在非区块链领域,即使黑客在给定的代码中发现了一些漏洞,他们也很难尝试公开这些信息,因为这可能会导致严重的法律问题:
“在传统的黑客行为中,黑客很少会退回他们所获得的资金,因为这样做很可能会暴露他们的身份。”
不是每个人都同意
分布式网络安全网络NaorisProtocol的首席执行官DavidCarvalho明确表示,让黑客以这种方式保存资金会破坏去中心化金融系统的整体精神,并助长增强不信任的行为。他评论说:
“它不能继续被视为在任何层面上都可以容忍的事情。安全公平的金融体系的基本原则不会改变。解决黑客问题的唯一方法是使问题成为解决方案的一部分的前提是致命的缺陷。它可能会在短时间内修复一个小裂缝,但裂缝将在脆弱修复的重压下继续增长,并导致市场不稳定。”
ShareRing的联合创始人兼董事长TimBos重申了类似的观点,ShareRing是一个基于区块链的生态系统,提供数字身份解决方案,他认为这是一种糟糕的做法。他说:
“这类似于付钱给劫持人质的罪犯。这一切只是让黑客意识到他们可以犯下巨大的罪行,得到回报,然后没有任何后果。”
Carvalho指出,仅仅因为网络犯罪分子足够好,可以归还一些被盗资金并不能成为一种好的做法,因为这些事件仍然会导致人们和去中心化金融平台损失大量资金。
相关:PolyNetworkHacker返还除50万美元白帽赏金之外的所有资金
他总结道:
“我们不能将去中心化金融与邪恶的安全修复联系起来。为了被企业和个人大规模采用,我们需要Web2和Web3生态系统中的安全系统是可信的和防黑客的。让一群表面上在网络安全领域发号施令的黑客是疯狂的,至少可以说,这对促进该行业没有任何帮助。”
它是否为该行业开创了一个糟糕的先例?
Lin指出,即使在Facebook、Apple、Amazon、Netflix和Google等传统Web2公司中,黑客也会被激励去发现任何现有的漏洞和零日漏洞,以换取不同的激励措施。然而,这主要伴随着严格的要求,让白帽黑客发现漏洞被认为对新生的生态系统是健康的。她补充说:
“重大漏洞利用或发现通常会使整个行业和内部安全团队处于警戒状态。但这是一个湿滑的斜坡。我认为我们需要定义什么是“白帽”黑客。例如,你能把一个走投无路并且不情愿地只返还10%资金的黑客视为白帽黑客吗?”
李认为,这些巨额薪水可以极大地推动白帽子进行更多此类策略。尽管如此,他指出,与其看到协议的资金100%被黑客入侵或永远消失,对于协议的用户来说,收回一些拨款资金总是很好的。
另一个值得注意的乐观意见是,Demchuk指出,DeFi市场完全由社区驱动,因此,此类行为可能会被视为积极,因为黑客自己大多被要求为他们利用的项目工作,使他们的大部分操作成为现实渗透测试。
什么是最佳解决方案?
Web3生态系统的一部分及其相关的网络安全解决方案仍在过时的Web2基础设施上运行。因此,它们是高度集中的。在Carvalho看来,这是大多数Web3平台都不想谈论的房间里的大象。
他认为,如果不使用去中心化解决方案解决这些紧迫的挑战,智能合约执行和发布的标准将不会从根本上改变或增强,并补充说:
“这些类型的违规行为将继续发生,因为没有对黑客活动进行问责或刑事定罪。我相信‘只付钱给黑客’的方法会增加DeFi和其他中心化/去中心化平台的风险,因为根本的弱点没有得到解决。”
相关:当今加拿大的加密货币行业在哪里,它的发展方向是什么?
Bos指出,这里的核心挑战不是黑客攻击或奖励黑客的虚假赏金,而是明显缺乏审计、质量安全流程和风险审查,主要来自那些拥有数百万美元加密货币的项目资产。他总结道:
“老牌银行几乎不可能被黑客入侵,因为他们在安全审查、风险审计等方面投入了大量资金。我们需要在加密行业看到同样水平的技术监督。”
因此,当我们进入一个主要由去中心化技术驱动的未来时,可以说这些黑客只是展示了加密行业通常需要在其安全实践中投入多少工作。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。