Web3 世界就是一个黑暗森林,我们既是猎人也是猎物,每一步都要谨慎,只有这样才能活得更久、走得更远。
作者:岳小鱼
封面:Photo by Markus Spiske on Unsplash
引言:
Web3 行业发展太快了,每天都有新事物出现。因此,很多日常思考值得被记录下来。
这些思考会实时更新在推特账号中,并定期汇总发布在微信公众号。
欢迎关注我的推特账号:岳小鱼(ID:@yuexiaoyu111)。
1、先用大白话解释下 Bybit 怎么被盗的:
Bybit 用的是 Safe 多签钱包,签名设置是 3/3,也就是需要三个人签名才能完成交易,每个签名者则用的是硬件冷钱包。
Safe 这种老牌的多签智能合约已经经过了多年时间验证,自身没有问题的,而且再叠加签名者用的是硬件冷钱包,私钥物理隔离,私钥不联网,
多签钱包+冷钱包可以说是目前最安全的钱包手段了。
但为什么还会被盗呢?
黑客采用的是社会工程学攻击。
技术上没有办法直接攻破,那就直接攻击 "人"。
黑客先入侵了三位签名者的电脑,然后在他们做日常操作(比如转账签名)时,偷偷把签名内容给换了。
签名者以为自己在网页上签的是正常交易,但实际上黑客把内容替换成了 "恶意签名",比如把 Safe 合约升级成一个他们早就准备好的恶意合约。
三个签名者不知不觉签了名,结果黑客用这个恶意合约把钱全提走了。
2、社会工程学攻击到底是什么?
社会工程学攻击是一种攻击成本非常高、攻击手段非常复杂,但是也非常有效果的一种攻击方式。
这一次攻击事件中,交易所本身已经用上了安全系数最高的所有手段,多签智能合约,加上硬钱包设备,再加上线下严密的公司组织,但是最终还是无法防范这种社会工程学攻击。
黑客直接定位了多签的几个签名人,入侵签名者的电脑是个更容易的突破口。
怎么入侵工作人员的电脑呢?
具体手段包括发钓鱼邮件、植入恶意软件,或者利用签名者个人的安全习惯漏洞(比如用弱密码、没开双重验证)。
一旦电脑被黑,黑客就能掌控工作人员的设备,篡改任意信息。
社会工程学攻击具备很强的隐蔽性,签名者可能以为自己完成了日常工作,系统日志里记录的也是 "合约升级" 这种合法操作,而不是明显的 "资金转移"。
等到钱被提走,Bybit 才反应过来,但已经晚了。
当然,社会工程学攻击并非无法防范,需要一套严密的手段,而且要长期防护。
最好的手段就是强力管控企业内部人员的相关设备以及人员本身的行为异动,比如专用设备隔离使用 、设备白名单和监控、定期检查和更新等等。
3、Bybit 被盗后续会怎么样呢?
第一,看 Bybit 有没有能力扛住近期的用户提币挤兑,如果 Bybit 扛不住,就是又一个 FTX,甚至直接将我们行业都拖入新一轮的熊市;
第二,看 Bybit 有没有能力对被盗资金进行赔付,如果没有能力赔付,直接宣告破产,同样可能会将我们行业拖入熊市。
那 Bybit 当前资金状况怎么样呢?
Bybit 是全球第二大加密货币交易所,日均交易量能达到 360 亿美元,用户数超 6000 万,。这么大的体量,赚钱能力肯定不差。
业内普遍估计,像 Bybit 这种头部交易所,主要靠手续费、杠杆交易利息、理财产品分成等方式赚钱,年净利润大概在 15 到 50 亿美元之间浮动。
再看看 Bybit 的资产规模。被盗前,它的总储备资产据说超 160 亿美元。
这么一比,15 亿的缺口占总资产的不到 10%,不算致命伤。
而且 Bybit 的 CEO Ben Zhou 公开说过,客户资产是 1:1 背书的,也就是说用户资金有保障,被盗之后产生的资金缺口主要吃的是公司自己的利润和储备。
总之,可以分为三种情况:
最好情况:挤兑稳住,Bybit 用贷款和自有资产补齐剩下的窟窿,半年内恢复元气。市场信心回暖,行业继续牛市节奏。
中间情况:挤兑持续一段时间但不失控,Bybit 得勒紧裤腰带过日子,利润少分几年,慢慢填坑。行业受点波及,<이더리움(ETH)>和山寨币回调,但不至于熊市。
최악의 경우: 예금 인출 통제 실패, 바이비트(Bybit) 파산, 15억 달러 손실로 신뢰 위기 폭발, 업계 전반 침체, 조기 베어마켓 도래.
4. 일반 사용자에게 주는 교훈은 무엇인가?
많은 사람들이 "초보 사용자는 개인 키를 직접 관리하지 말고, 거래소에 자금을 보관하는 것이 더 안전하다"고 말합니다.
끊임없이 발생하는 거래소 해킹 사건은 이러한 주장을 강력하게 반박합니다.
거래소의 기술력이나 안전성을 맹신하지 말아야 합니다. 실제로 거래소의 잠재적 위험이 매우 크다.
이러한 중앙화 플랫폼의 가장 큰 위험은 모든 사용자 자산이 집중되어 있어 공격의 주요 타깃이 된다는 것입니다.
완벽한 안전한 시스템은 없습니다. 모든 시스템은 공격받을 수 있지만, 공격에는 비용이 들기 때문에 공격의 수익성이 중요합니다.
공격의 수익성이 충분하다면 공격 수단과 비용도 증가할 것입니다.
거래소는 명확한 주요 타깃이 되며, 거래소의 지갑 주소와 자금 흐름이 공개되어 있어 더 많은 자원을 투입하면 결국 공격당할 것입니다.
우리가 믿을 수 있는 것은 "사람"이나 "플랫폼"이 아니라 기술뿐입니다.
따라서 일반 사용자는 가능한 탈중앙화 지갑을 사용하고 개인 키를 직접 관리하거나, 더 나아가 키리스 지갑을 사용해야 합니다.
Web3 세계는 암흑의 숲과 같습니다. 우리는 동시에 사냥꾼이자 사냥감이며, 매 순간 신중해야 더 오래 살아남고 더 멀리 갈 수 있습니다.
면책 조항: 본 플랫폼은 블록체인 정보 플랫폼으로, 게시된 기사는 저자 및 초청 연사의 개인 의견을 나타내며 Web3Caff의 입장과 무관합니다. 기사의 정보는 참고용으로만 사용되며, 어떠한 투자 조언이나 제안도 포함되지 않습니다. 관련 법규를 준수하시기 바랍니다.
