4月17日,加密衍生品交易公司 Eureka Trading 创始人 Kuan Sun 在 Twitter 宣布,去年6月因私钥泄露,被黑客盗取1500万美金,目前仍未确定黑客身份,现悬赏至少20%的被盗资金(即至少300万美金),征集线索。
据悉,本次被盗地址:0x5B76247E1fa700107D3eaF5ad4dE09D0Aca611bC。黑客地址:0xa1ac23be458e14ac0a0003dc1343d2ac575ea3b6。据相关平台监测,被盗的1500万美元资产通过 Uniswap、Curve、SushiSwap 兑换成 1935 枚 ETH、120 枚 WBTC、630 万枚 DAI,并通过 Tornado Cash 进行转移。
该消息一经发布,即引发广泛讨论和关注。目前来看,Kuan Sun 仅掌握了黑客地址。众所周知,由于区块链技术的特殊性,链上开户无需身份信息,钱包地址都是匿名持有,所以很难识别到持有者的真实身份。若仅靠一个黑客钱包地址是很难追踪到其地址并追回被盗资金的。
我们关注到黑客虽有利用 Uniswap、Curve、SushiSwap 兑换资产,但 Uniswap、Curve、SushiSwap 皆是去中心化交易所。鉴于去中心化交易所无KYC(实名认证)机制,用户无需提交个人信息即可开户交易。通过观察,我们发现该黑客作案手段极为专业,从盗币到使用 Tornado Cash 洗钱一气呵成。Tornado Cash 是知名的混币器之一,而混币器旨在打破源地址和目标地址之间的链上链接来提高交易隐私,将多个来源的资金在一个“资金池”(混币合约)内混合,再流向不同的方向,使原本清晰可见的交易过程,变得难以查阅,常被黑客用于非法洗钱。根据美财政部披露,自2019年成立以来,Tornado Cash已帮助洗钱超70亿美元。
以虚拟货币洗钱常用的两种方式为例进行相关分析。
第一种方式,通过将非法资金流入链上钱包、硬件钱包,起到“保险箱”功能的形式,即我们目前在关注的Kuan Sun遇到的情况。该笔非法资金也许会在钱包沉睡很长时间,待大家关注度转移后再进行资金转移。
第二种方式,通过将资金流入中心化交易所账户,通过交易所进行交易变现。目前,大部分中心化交易所已经执行KYC(实名认证)机制。锁定被盗资金流入中心化交易所,可报警并向交易所申请“调证回函”。回函将提供用户信息、充提记录、法币交易等关键信息,为锁定黑客真实身份,追回被盗资金带来可能。
私钥泄露是区块链安全事件的常见原因。史上最大的加密货币盗窃案——Mt. Gox被盗事件,就是源于私钥泄露,在2011年至2014年期间,有超过 85 万枚比特币被盗。该被盗事件导致Mt. Gox,这一当时最大的交易所直接破产。
除私钥泄露,Rug Pull、钓鱼攻击、加密骗局等安全事件也层出不穷,《2023年Q1全球Web3区块链安全态势报告》显示,2023年Q1主要攻击事件数量达到61起,总损失金额约为2.95亿美元。各种安全事故频发、用户资产屡屡受损。钱包是否存在危险授权?项目是否有Rug Pull风险?目标地址是否有异常交易?个人链上安全产品已迫在眉睫。
幸而,目前市场已经出现DraGo等安全产品,可为用户提供授权监测、地址监测、项目监测、代币监测等功能,帮助用户管理投资交易风险,保障用户财产安全。
区块链是充满活力的行业,DeFi、NFT等风口层出不穷。不过创新亦意味着拓荒,探索背后、风险暗藏,可以预见,未来还将出现更多安全风险,个人链上安全产品将成为未来区块链经济活动的基础设施,个人链上安全市场前景广阔。
来源:金色财经