交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
加密货币协议安全危机:6月黑客攻击事件回顾与反思
6月2日,以太坊Layer-2网络Linea上的Velocore协议遭遇黑客攻击,导致价值680万美元的ETH被盗。这次攻击利用了费用溢出漏洞,迫使Linea暂停运营一小时以减轻损失,并促使项目方进行了全面的善后分析。
加密货币行业安全形势严峻
尽管Velocore攻击事件是6月首个重大链上漏洞,但绝非最后一个。根据DefiLlama的记录,6月共发生了6起协议攻击事件,总损失超过1.4亿美元。7月的损失更是高达2.77亿美元。而5月的情况更为糟糕,攻击者利用闪电贷攻击、私钥泄露等手段窃取了3.73亿美元。
加密行业已经习惯了黑客攻击,仅DeFi协议就损失了60亿美元。这或许在加密领域是常态,但在主流社会中却绝非正常现象。只要这一问题得不到有效控制,Web3大规模应用的愿景就只能是空中楼阁。
安全审计的局限性
尽管每起攻击事件的具体细节各不相同,但主要链上事件中存在一个共同点:大多数协议都经过了审计,且通常由多家第三方机构进行。例如,Velocore曾接受过Zokyo、Scalebit和Hacken的审计,并在攻击发生时处于监控状态。
然而,安全审计和监控解决方案虽然有其价值,但可能会让用户和项目对安全性产生不切实际的期望。如果多次审计和监控都无法阻止精明的黑客入侵,那么显然需要重新思考安全策略。
DeFi项目需要主动防御
黑客总会不断尝试攻击,但这并不意味着DeFi项目对此无能为力。项目方需要配备更好的预防工具,并制定策略以减轻攻击发生时的损失。DeFi项目可以从黑客身上学到很多,特别是在跳出常规思维、采用非常规解决问题方法方面。
首先,项目方需要了解攻击者的策略。安全审计的一个问题是往往过于内向,专注于加强内部代码,而不是评估对手的能力。例如,私钥泄露占所有攻击向量的20%;5月,Alex Labs就因此损失了2900万美元。
改进安全监控与响应机制
尽管众多网络安全公司都在推广加密监控工具,但这些工具大多仅限于向协议运营商发出可疑活动警报。一旦协议遭到攻击,团队只会收到被攻击的坏消息,而没有尝试减轻损失、识别攻击者或制定反击策略。当Velocore遭到攻击时,监控公司立即通知了项目方,但直到Linea暂停链上操作,攻击才得以停止。
DeFi项目也不应仅仅依赖第三方来解决所有安全挑战。相反,他们应该主动教育团队成员了解常见的网络钓鱼方法和可疑活动迹象。同时,技术人员应该了解最新的攻击向量,包括访问控制漏洞和证明验证器错误。
构建更强大的安全生态系统
项目方不应因为最新攻击发生在竞争对手协议上而暗自庆幸,而应该仔细研究并将这些分析结果应用到自己的安全体系中。保持谦逊,研究黑客。
协议还可以采取更实际的措施来确保自己不是下一个受害者。就像人类无法控制天气,只能做好准备一样,黑客攻击也是如此。团队需要为威胁预防制定更好的解决方案,并加强对智能合约的控制。安全解决方案应该理解,在链上回滚恶意交易比警告正在发生的攻击更有效。预防是一种在交易在链上完成之前阻止攻击的解决方案——而这正是我们在这个生态系统中需要的预防措施。
尽管从安全角度来看,Linea表面上做了一切正确的事情,但当Velocore没有响应警报时,Linea只有一个选择:暂停操作。需要更好的工具来阻止黑客攻击,防止其升级为数百万美元的漏洞利用。
这一点很清楚:当前加密协议安全的方法并不奏效,需要进行彻底的重新思考。市场需要更多的安全解决方案,这些解决方案能够在保持业务连续性的同时阻止恶意活动,因为现在是时候让协议具备更好的主动能力、改进威胁预防能力以及愿意向对手学习了。
正如孙子所言:"知己知彼,百战不殆。"
