半年被盗 20 亿美金，黑客与监管都盯上了 Web3( 二 )

当天下午，一位海外研究人员发现， Solana链上的Slope钱包私有化部署了第三方应用监控服务Sentry ，会收集用户的私钥或助记词等信息，然后上传到中心化的服务器。
Sentry是一个应用监测平台，可以实时监控应用在运行状态时出现的异常或错误日志信息。如果Sentry发现了系统bug ，会通过邮件等方式通知应用方的技术人员。
在加密世界， Sentry服务被广泛应用， Slope钱包就是其一。但使用Sentry时需要注意一个问题，如果出现了配置错误， Sentry可能会收集到额外的数据，如私钥或助记词等私密信息。
安全专家们推测，在Solana盗币事件中，用户创建钱包时， Slope将助记词和私钥等敏感数据错误发送给了Sentry 。这给黑客提供了可乘之机，黑客窃取了存储在Sentry中心化服务器上的私钥。
经过调查后， Slope发布声明称，虽然上述安全漏洞确实存在，但被攻击的Slope地址的数量只是这次被盗钱包地址总数的一小部分。目前也暂无证据表明Sentry官方遭到了入侵和攻击，因为Slope钱包使用的Sentry服务部署在私有服务器。
此外，具体数据来看，服务器上的私钥和助记词派生出来的地址中，与受害者地址有交集的，只有5个以太坊地址和1388个Solana地址。也就是说， Slope此次被黑的超过2700个钱包中只有一半存在Sentry漏洞，这无法解释其余用户钱包是如何被黑的。
就已经掌握的调查结果来看，已知的攻击者地址有4个，被盗资产在Solana链上尚未出现进一步转移，但在ETH链上，一些资金已经被转移到疑似OTC个人钱包地址，剩余部分被兑换为ETH后，转移到了TornadoCash 。
Web3「危机四伏」在这次Solana被袭同期，跨链桥NomadBridge也受到攻击。值得注意的是，参与攻击NomadBridge的黑客有上百位，甚至包含了「白帽子」，损失近2亿美元。
慢雾科技首席信息安全官（CISO）张连锋告诉极客公园，目前对Web3的攻击类型主要有两种：
一是链上攻击，例如假充值、重入攻击、重放攻击、重排攻击等。这类攻击往往更加隐秘，需要通过专业的代码安全审计、完备的链上分析监测预警等方法来识别。二是链下攻击，如高级长期威胁（APT）、网络钓鱼、供应链攻击等。这类都是传统Web2常见的安全问题，但是目前却对Web3生态安全产生了很大影响。今年4月，周杰伦丢失价值超300万人民币的无聊猿编号3738的NFT ，就是因为无意中点击了钓鱼链接。

文章图片
周杰伦被盗的无聊猿NFT 。｜图片源自网络
Web3自带金融属性，金钱的诱惑下，更容易被黑客盯上。随着Web3玩家的体量不断扩大，加密货币犯罪也呈现快速上涨趋势。
根据慢雾区块链被黑事件档案库（SlowMistHacked）统计， 2022年上半年， Web3领域的资产损失接近20亿美元，已经超过2021年全年因黑客攻击漏洞造成的总损失。
2022年因此被称作「Web3兴起以来损失最惨重的一年」。其中，以去中心化程度低、流动资金量大的跨链桥受损最为严重。
截至6月30日，今年共发生7起跨链桥安全事件，损失超过10亿美元，占上半年总资产损失的半数以上。在上半年损失金额达到上亿美元的4起事件中，有3起波及跨链桥。
比较有代表性的是区块链游戏AxieInfinity的侧链RoninNetwork被袭，造成6.24亿美元的损失，以及Solana的跨链桥项目Wormhole被攻击，损失3.26亿美元。
除了跨链桥，区块链钱包也是安全事件发生的「重灾区」。