2022年Q1仅黑客攻击致超10亿美元损失 欧科云链解读用技术如何保障链上资产安全

保障链上安全是一切链上应用发展的前提，也是“链上天眼”诞生的初衷，亦是业内专业人士共同努力的目标。

NFT和DeFi是近年区块链领域最值得关注的两大热点，但在新技术蓬勃发展的同时，与之同步爆发的安全隐患也成了其鲜为人知的一面。

根据欧科云链链上大师统计数据，仅2022年一季度发生的十大安全事件就一共损失了11.5亿美元资产，其中仅Ronin这一起安全事件就损失了6.24亿美元，成为目前金额最大的黑客攻击事件。

4月6日，Ronin母公司宣布Sky Mavis筹集了 1.5 亿美元的融资，由币安、A16z等头部机构参投，和其他公司融资不一样的是，该轮融资的用途是补偿半个月受黑客影响的用户资金。这也意味着截至目前Ronin损失的6.24亿美元无法追回。

不仅DeFi，近期频频出圈的NFT也出现了隐患，就在一周前，NFT社区出现了一起黑客攻击事件，华语歌手周杰伦在社交媒体上发文称，其持有的无聊猿“BAYC #3738 ”NFT 已被盗。这件事也迅速登上热搜，成为NFT出圈的一部分，人们一方面惊讶该系列NFT价值已经达到数百万人民币，一方面又加大了对其技术安全的担忧。

那么在这个新领域中，关于链上安全到底如何保障，区块链安全公司欧科云链给出了长远的思考。

损失6.24亿的区块链游戏

自2021年8月跨链协议O3损失6.11亿美元资产后，时隔半年区块链领域再次出现一起夸张的黑客攻击事件。

3月29日，东南亚最火热的区块链游戏Axie Infinity母公司Sky Mavis开发的以太坊侧链Ronin遭到黑客攻击，损失约6.16亿美元，超去年8月DeFi协议Poly Network案件被黑的6.11亿美元，成为DeFi历史上最大盗窃案。

据Ronin官方表示，其实该漏洞发生于3月23日，却因29日一名用户反馈提取5000ETH失败才被发现。此次攻击，预计将导致损失173600枚ETH(约5.9亿美元)和价值2550万美元USDC。

如果是现实世界中有公司损失6亿美元资产，将会掀起巨大冲击，但由于是在链上世界发生，很多人其实并不了解到底发生了什么，黑客如何盗走了如此多资产？

首先，Axie Infinity是一款基于元宇宙概念下的NFT游戏，以玩家可以在游戏中赚取加密货币(P2E)的模式爆火，一度成为排名第一的GameFi游戏。

由于Axie Infinity 的团队Sky Mavis想要一个可靠、快速且廉价的网络，从而为游戏的发展提供保障，于是，Ronin 便是为支持游戏 Axie Infinity 而构建的以太坊侧链，使得用户能够自由地将资产转移到其他链上。所有Axie玩家需要将加密资产跨链到Ronin侧链上才能参与Axie游戏。

根据欧科云链链上天眼分析，一名黑客早就盯上了这个全球最火的区块链游戏，并在在 3 月 23 日就已获利，并将获利的 2550 万枚 USDC 转出，接着兑换为 ETH，而在北京时间3月28 日的凌晨，黑客才开始转移资金。据官方称是在用户报告无法从跨链桥中提取 5000ETH 后才发现这次攻击。

那么黑客是如何完成攻击过程的呢？

欧科云链链上天眼分析，此次攻击者是通过Ronin的RPC节点找到后门，设法控制了Sky Mavis的四个Ronin验证节点和一个由Axie DAO运行的第三方节点，从而实现资产盗窃。因Ronin链由9个验证节点组成，9个验证者签名中的5个同意，方可存取款。

随后攻击者从侧链Ronin盗取资产后，将资产跨链转移到以太坊地址：0x098B716B8Aaf21512996dC57EB0615e2383E2f96，这个地址也就成为了黑客可能的身份标识。

盗窃资金后，黑客接下来就会使用专业的技术手法讲资金转移到难以追踪的地址，这个过程使用的技术就被成为“混币”。

据了解，混币的过程是指许多人匿名聚在一起，把他们的资金混在一起。然后把所有的资金发送到这些人的地址，把他们各自发送的资金记录下来。

所以黑客经常使用不要求提供身份信息的交易所，或者使用他们购买的身份信息。对于黑客来讲，只要可以达到他们的目的，任何有可能的工具都会被使用。

虽然Ronin官网以新一轮融资来缓解压力，但损失的资金并未被追回。据欧科云链，截止目前，黑客获利地址已被欧科云链链上天眼团队打上“Hack“标签，成为欧科云链2亿地址标签库之一，为日后的案件追溯提供底层基础。由于链上地址的透明性，黑客地址往往不会轻易转帐，所以不排除最后返还的可能性。

周杰伦损失的“无聊猿”NFT

无独有偶，除了DeFi，NFT圈也发生了安全事件。

4月1日愚人节当天，华语歌手周杰伦在社交媒体上发文称“哥被偷了”，据悉，其持有的无聊猿“BAYC #3738 ”NFT 已被盗。周杰伦称刚接到电话被告知其友人赠与他的无聊猿NFT被钓鱼网站攻击而失窃，并强调这不是“愚人节玩笑”。

随后该事件在社区中引起广泛关注。据欧科云链提供数据，除1枚“无聊猿”之外，周杰伦持有的其他两个项目“MAYC”和“Doodles”也相继被盗，数量共3枚 ，这两个NFT也是排名最为靠前的火热NFT之一。

截至目前，周杰伦一共损失了四枚价值不菲的NFT头像。

随后，根据欧科云链链上数据追踪，这四枚NFT已经被攻击者售卖，获利约54万美元。据 Etherscan 数据显示，黑客已将周杰伦被盗的四枚 NFT 出售，获利 166.69枚 ETH，其中仅一枚“无聊猿”就售出111ETH，约合39万美元。

据悉，就在3月底，就有黑客趁着 NFT交易平台OpenSea 合约升级之时，给所有用户的邮箱发送了一条钓鱼邮件，而不少用户错把其当作官方邮件而将自己的钱包授权，进而导致钱包被盗。

据统计，这钓鱼邮件至少导致 3 个 BAYC、37 个 Azuki、25 个 NFT Worlds 等 NFT 被盗，按照地板价计算，黑客收入便已高达 416 万美元。

而在4月1日，“无聊猿”的官方Discord遭遇短暂黑客攻击，黑客利用机器人账号在频道内发布虚假链接，周杰伦的失窃NFT或在该次攻击中损失。

不难看出，只要是有大量资金沉淀的领域，黑客的身影就会随时出现。

如何保障链上安全？

要想保障链上资产的安全，就得先了解技术攻击的本质。

以Ronin事件为例，欧科云链分析称其原因是由于跨链桥去中心化程度不高导致的，DeFi不断遭受攻击不断的原因主要还有对智能合约审计工作的重视度不高，成为黑客寻找漏洞成功率最高的方向之一。从安全角度来说，当一个系统足够复杂又承载了大量资金时，一定会有黑客盯上，尝试攻击获利。

又恰恰因为Ronin控制的私钥钱包配置在服务器上，并且可被第三方服务访问，所以才导致服务器存在被盗私钥可能性。

随着DeFi在多个公链生态逐渐繁荣，普遍存在合规性、流动性风险，项目同质化程度较高，部分项目的产品结构和经济模型设计也有待提升。

那么如何从技术角度防范此类事件的发生？

欧科云链相关负责人称：“针对加密资产的匿名性，链上天眼通过构建地址标签系统为案件侦查提供支持。地址标签系统包括多达近2亿的链上地址标签，囊括区块链主流网络、主要数字资产和上千种代币，以及国内外的暗网、钱包等诸多类别的实体标签。这些数据支持“以点带面”的破案，从一个线索源地址出发，通过地址画像和交易特征识别，配合数据碰撞和比对，自动化的绘制平台资金链路拓扑结构，有效追查资金藏匿点。”

“总而言之，保障链上安全是一切链上应用发展的前提，也是“链上天眼”诞生的初衷，亦是业内专业人士共同努力的目标。”欧科云链相关负责人补充道。