Web3 世界就是一個黑暗森林,我們既是獵人也是獵物,每一步都要謹慎,只有這樣才能活得更久、走得更遠。
作者:嶽小魚
封面:Photo by Markus Spiske on Unsplash
引言:
Web3 行業發展太快了,每天都有新事物出現。因此,很多日常思考值得被記錄下來。
這些思考會實時更新在推特賬號中,並定期彙總發佈在微信公眾號。
歡迎關注我的推特賬號:嶽小魚(ID:@yuexiaoyu111)。
1、先用大白話解釋下 Bybit 怎麼被盜的:
Bybit 用的是 Safe 多籤錢包,簽名設置是 3/3,也就是需要三個人簽名才能完成交易,每個簽名者則用的是硬件冷錢包。
Safe 這種老牌的多籤智能合約已經經過了多年時間驗證,自身沒有問題的,而且再疊加簽名者用的是硬件冷錢包,私鑰物理隔離,私鑰不聯網,
多籤錢包+冷錢包可以說是目前最安全的錢包手段了。
但為什麼還會被盜呢?
黑客採用的是社會工程學攻擊。
技術上沒有辦法直接攻破,那就直接攻擊 “人”。
黑客先入侵了三位簽名者的電腦,然後在他們做日常操作(比如轉賬簽名)時,偷偷把簽名內容給換了。
簽名者以為自己在網頁上籤的是正常交易,但實際上黑客把內容替換成了 “惡意簽名”,比如把 Safe 合約升級成一個他們早就準備好的惡意合約。
三個簽名者不知不覺簽了名,結果黑客用這個惡意合約把錢全提走了。
2、社會工程學攻擊到底是什麼?
社會工程學攻擊是一種攻擊成本非常高、攻擊手段非常複雜,但是也非常有效果的一種攻擊方式。
這一次攻擊事件中,交易所本身已經用上了安全係數最高的所有手段,多籤智能合約,加上硬錢包設備,再加上線下嚴密的公司組織,但是最終還是無法防範這種社會工程學攻擊。
黑客直接定位了多籤的幾個簽名人,入侵簽名者的電腦是個更容易的突破口。
怎麼入侵工作人員的電腦呢?
具體手段包括髮釣魚郵件、植入惡意軟件,或者利用簽名者個人的安全習慣漏洞(比如用弱密碼、沒開雙重驗證)。
一旦電腦被黑,黑客就能掌控工作人員的設備,篡改任意信息。
社會工程學攻擊具備很強的隱蔽性,簽名者可能以為自己完成了日常工作,系統日誌裡記錄的也是 “合約升級” 這種合法操作,而不是明顯的 “資金轉移”。
等到錢被提走,Bybit 才反應過來,但已經晚了。
當然,社會工程學攻擊並非無法防範,需要一套嚴密的手段,而且要長期防護。
最好的手段就是強力管控企業內部人員的相關設備以及人員本身的行為異動,比如專用設備隔離使用 、設備白名單和監控、定期檢查和更新等等。
3、Bybit 被盜後續會怎麼樣呢?
第一,看 Bybit 有沒有能力扛住近期的用戶提幣擠兌,如果 Bybit 扛不住,就是又一個 FTX,甚至直接將我們行業都拖入新一輪的熊市;
第二,看 Bybit 有沒有能力對被盜資金進行賠付,如果沒有能力賠付,直接宣告破產,同樣可能會將我們行業拖入熊市。
那 Bybit 當前資金狀況怎麼樣呢?
Bybit 是全球第二大加密貨幣交易所,日均交易量能達到 360 億美元,用戶數超 6000 萬,。這麼大的體量,賺錢能力肯定不差。
業內普遍估計,像 Bybit 這種頭部交易所,主要靠手續費、槓桿交易利息、理財產品分成等方式賺錢,年淨利潤大概在 15 到 50 億美元之間浮動。
再看看 Bybit 的資產規模。被盜前,它的總儲備資產據說超 160 億美元。
這麼一比,15 億的缺口占總資產的不到 10%,不算致命傷。
而且 Bybit 的 CEO Ben Zhou 公開說過,客戶資產是 1:1 背書的,也就是說用戶資金有保障,被盜之後產生的資金缺口主要吃的是公司自己的利潤和儲備。
總之,可以分為三種情況:
最好情況:擠兌穩住,Bybit 用貸款和自有資產補齊剩下的窟窿,半年內恢復元氣。市場信心回暖,行業繼續牛市節奏。
中間情況:擠兌持續一段時間但不失控,Bybit 得勒緊褲腰帶過日子,利潤少分幾年,慢慢填坑。行業受點波及,ETH 和山寨幣回調,但不至於熊市。
最壞情況:擠兌失控,Bybit 撐不住破產,15 億窟窿引爆信任危機,行業跟著涼半截,熊市提前到來。
4、對我們普通用戶的啟示是什麼?
很多人說:“小白用戶就不要自己掌握私鑰,不安全,不如把資金放在交易所更安全。”
持續不斷的交易所被盜,就是對上面這種言論的有力駁斥。
不要迷信交易所的技術實力,也不要迷信交易所的安全性,其實交易所的潛在風險非常大。
為什麼說交易所的潛在風險更大呢?
這種中心化平臺最大的風險在於所有的用戶資產集中存放,其實就成為了一個集中被攻擊的大目標。
世界上沒有絕對安全的系統。所有的系統都可能會被攻破,但是攻擊都是有成本的,所以就看你目標收益有多大了。
當攻擊的收益足夠大,那麼攻擊的手段和成本也會被放大。
交易所就是一個顯著的大目標,交易所的錢包地址基本都是公開的,資金流也是公開的,那麼只要投入更多資源來進行攻擊,終究會有被攻破的一天。
那麼,我們唯一能相信的是技術,而不是 “人” 或 “平臺”。
所以,這裡還是要呼籲一下,我們普通用戶還是要儘可能使用去中心化錢包,自己掌握私鑰,或者更進一步,直接用無私鑰錢包。
Web3世界就是一個黑暗森林,我們既是獵人也是獵物,每一步都要謹慎,只有這樣才能活得更久、走得更遠。
免責聲明:作為區塊鏈信息平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。文章內的信息僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
歡迎加入 Web3Caff 官方社群:X(Twitter)賬號丨微信讀者群丨微信公眾號丨Telegram訂閱群丨Telegram交流群
