CertiK 商務長 Jason Jiang 近日作客 Cointelegraph《The Agenda》播客,就 Bybit 事件深入探討Web3.0 安全。當 14 億美元資產一夕蒸發,震驚的不只是產業,更是每一位關注數位財富安全的用戶。這不僅是加密史上最大竊案,也揭露了在產業高速發展中潛藏的風險。
CertiK 身為區塊鏈安全領域的領導者,從未停止過這類威脅的剖析。在 Bybit 事件發生後, CertiK 迅速展開技術分析,指出「盲簽」問題的存在。在對話中,Jason 解釋了盲簽產生的原因,並建議用戶至少三次核對交易地址。
當 THORChain 驗證節點拒絕回滾交易,Jason 直言“我們如同身處西部荒野”,但也強調,唯有擁抱監管,Web3.0 行業才能邁向成熟。面對價值億萬的駭客攻擊,區區 4,000 美元的漏洞賞金顯得微不足道,業界亟需正視安全投入的不足。畢竟,Web3.0 世界的黃金時代,不該是駭客的狂歡節。
以下為報道全文,點此收聽播客:
Bybit 14 億美元被竊後,CertiK 高層解讀如何提升加密資產安全性
今年 2 月,Bybit 遭遇的駭客攻擊在業界引發震盪。據報道,北韓駭客組織 Lazarus 集團從這家中心化交易所竊取了價值 14 億美元的以太坊相關代幣,使其成為有史以來損失最慘重的加密貨幣竊盜案。
這次駭客攻擊的餘波引發許多疑惑:問題出在哪裡?自己的資金是否安全?應該採取哪些措施來防止此類事件再次發生?
根據區塊鏈安全公司 CertiK 的數據,這起大規模竊盜案約佔 2 月全部損失的 92% 。由於該事件的發生,導致 2 月加密貨幣總損失額較 1 月激增近 1500% 。
在 Cointelegraph 第 57 期《The Agenda》播客中,主持人 Jonathan DeYoung 和 Ray Salmond 與 CertiK 首席商務官 Jason Jiang 展開對話,詳解 Bybit 黑客攻擊的發生過程、此次漏洞利用造成的後果,以及用戶和交易所可採取哪些措施保障加密貨幣安全。
Bybit 被竊事件後,加密錢包還安全嗎?
簡而言之,Jason 認為,Lazarus 集團之所以能夠成功實施針對 Bybit 的大規模駭客攻擊,是因為 Safe 官方的前端腳本程式碼遭到污染,被替換成惡意程式碼——這三位簽署者管理著 Bybit 正在使用的多重簽章 SafeWallet。隨後該組織透過被污染的前端程式碼導致簽署者簽署了其認為是合法的惡意交易。
這是否意味著 SafeWallet 已不可信任? Jason 表示情況並非如此簡單。 “當 Safe 開發者的電腦被駭時,可能有更多資訊從那台電腦洩露。但我認為對於個人用戶而言,發生這種情況的可能性相當低。”
他表示一般用戶可以透過幾種方式大幅提升加密貨幣的安全性,包括將資產儲存在冷錢包中,以及警惕社群媒體上潛在的釣魚攻擊。
當被問及 Ledger 或 Trezor 硬體錢包是否可能以類似方式被利用時,Jason 再次表示這對普通用戶來說風險不大,只需要做好盡職調查並謹慎交易。
「這次事件發生的原因之一在於簽名者在未看到完整地址的情況下盲目簽署了交易指令,」他補充道,「一定要確保你發送的地址是你真正想要發送的地址,特別是涉及大額交易時,更應反复確認,再三核對」。
“我認為此次事件過後,整個行業會嘗試進行自我糾正與改進,推動簽名過程的透明化和易識別。當然,還有許多其他值得吸取的經驗,但這無疑是其中之一。”
如何預防下一個數十億美元規模的交易所駭客攻擊?
Jason 指出,缺乏全面的監管和安全保障措施,可能是導致這次駭客事件持續發酵的因素之一。先前,跨鏈橋協議 THORChain 的一些驗證節點拒絕回滾或阻止 Lazarus 集團利用該協議將盜取的資金轉換為比特幣,這進一步引發了業界對去中心化邊界的討論。
“歡迎來到西部荒野,” Jason 說道,“這就是我們當前所處的現實。”
“在我們看來,如果加密貨幣想要蓬勃發展,就需要擁抱監管,”他認為,“為了更易於大眾接受,需要主動靠近監管,並找到提升行業安全性的方法。”
Jason 對 Bybit 執行長 Ben Zhou 在事件發生後的應對措施表示讚賞,但他也指出,Bybit 在駭客事件發生前推出的漏洞賞金計畫獎金只有 4000 美元。他表示,儘管大部分網路安全從業者並非單純受金錢驅動,但提高漏洞賞金的金額仍有助於交易所維持更高的安全性。
當被問到交易所和協議如何激勵並留住頂尖人才以保障其係統安全時,Jason 指出,安全工程師不是總是獲得應有的認可。
“很多人認為一級人才都流向了開發崗位,因為這個職位能讓他們獲得最多回報,”他說道,“但這也關乎我們是否給予安全工程師足夠的重視。他們承擔著重大責任。”
“適當減輕他們的壓力,並給予更多的認可與激勵。無論是金錢獎勵還是榮譽表彰,在我們力所能及的範圍內給予合理回報。”
