纽约时报:半年被盗20亿美元,加密世界面临“信任危机”
来源:纽约时报
编译:比推Bitpush News Mary Liu
2022年已有超过 20 亿美元的加密货币被黑客窃取,逐渐动摇了人们对被称为 DeFi 的去中心化金融领域的信心。
Ben Weintraub 从大学辍学后不久就开始从事加密货币领域的工作,某天醒来后发现了一些坏消息。
过去几个月里,Weintraub 和他在芝加哥大学的两个同学一直在开发一个名为 Beanstalk 的软件平台,该平台提供一种稳定币,即固定价值为 1 美元的加密货币。令他们惊讶的是,Beanstalk 一夜之间引起了轰动,吸引了加密货币投机者,他们将其视为对 DeFi 实验领域的激动人心的贡献。
然后它崩溃了。今年 4 月,一名黑客利用 Beanstalk 设计中的一个缺陷从用户那里窃取了超过 1.8 亿美元,这是今年针对 DeFi 项目的一系列盗窃案之一。
黑客入侵的那天早上,24 岁的 Weintraub 正在新泽西州过逾越节(Passover),他匆忙走进父母的卧室。
“醒醒”,他说,“Beanstalk 完了”。
多年来,黑客一直在威胁加密行业,从在线钱包中窃取比特币,并攻击投资者买卖数字货币的交易所。但像 Beanstalk 这样的 DeFi 初创项目的迅速爆红带来了一种新型的威胁。
这些监管松散的项目允许人们在没有银行或经纪人的情况下借贷和进行其他交易,依赖于由代码管理的系统。使用 DeFi 软件,投资者可以在不透露身份甚至不需要信用检查的情况下获得贷款。
随着去年市场的飙升,新兴行业被誉为金融的未来,它是华尔街的民主替代品,可以让散户交易者赚取更多的钱。加密用户将大约 1000 亿美元的虚拟货币委托给了数百个 DeFi 项目。
但有些软件是建立在错误代码之上的。根据加密跟踪公司 Chainalysis 的数据,今年上半年已有 22 亿美元的加密货币从 DeFi 项目中被盗,使整个行业步入黑客损失最严重的一年。
许多盗窃案源于为 DeFi 提供动力的计算机程序(称为“智能合约”)的缺陷。这些程序通常是仓促开发的。而且由于智能合约使用开源代码,提供了一个可公开查看的软件库,黑客能够策划对数字基础设施本身的攻击,而不是简单地渗透某人的账户,这是抢劫个人和清空整个银行金库的区别。
Chainalysis 调查副总裁 Erin Plante 表示:“DeFi 为黑客引入了一个全新的平台,使他们能够访问平台。” “这给加密市场带来了很大压力,并限制了可能的创新。”
在加密行业的严峻时期,这些违规行为动摇了人们对 DeFi 的信心。
今年春天一场“史诗”般的崩盘抹去了近 1 万亿美元,并迫使几家知名公司破产。 8 月,黑客利用编码问题从一家名为 Nomad 的公司盗取了 1.9 亿美元。上周,加密公司 Wintermute 表示其 DeFi 部门遭到黑客攻击,导致损失 1.6 亿美元。
跟踪被盗加密货币的移动非常简单。交易记录在称为区块链的公共分类账上,任何人都可以对其进行分析以找到踪迹,但要重新获得损失的资金要困难得多。
黑客攻击不得不使许多 DeFi 初创公司探索预防措施,招募审计人员检查他们的代码是否存在漏洞。即使其他类型的加密公司在经济低迷时期削减成本,安全和审计公司的业务也出现了大幅增长。
“今年对攻击者来说是个好年头”,进行代码审计的 ConsenSys Diligence 创始人 Goncalo Sa 说, “这绝对在人们的脑海中根深蒂固,安全是他们应该认真对待的事情”。
从加密货币诞生之日起,公司就一直在努力解决安全问题。 2014 年,第一家主要的比特币交易所 Mt. Gox 在一次破坏性攻击中遭到破坏,最终导致该公司破产并损失了数十亿美元的数字货币。
当时,这个行业规模相对较小且不复杂。现在,黑客可以攻击更广泛的生态系统,包括基于加密的视频游戏、去中心化借贷项目和新奇代币的实验经济。去年,一名黑客从 DeFi 平台 Poly Network 窃取了 6 亿美元;在与项目负责人协商后,黑客最终归还了这笔钱。
今年的黑客攻击造成的损失要大得多。 3 月,一个由朝鲜政府赞助的团体从 Ronin Network 窃取了 6.2 亿美元的数字货币,Ronin Network 是一个为视频游戏 Axie Infinity 提供支持的 DeFi 平台。大约在同一时间,一名黑客利用DeFi 项目 Wormhole 中的软件漏洞卷走 3.2 亿美元。
前 F.B.I. 特工、网络安全公司 NAXO 代理人Chris Tarbell 说:“许多人正在涌入具有已知漏洞的平台,在目标丰富的环境中,犯罪分子会投机取巧。”
Wormhole 黑客利用了一种新的加密技术元素中的漏洞,称为跨链桥,它允许投资者在建立在不同区块链上的数字货币之间来回切换。一些 DeFi 平台促进了这些转换,以帮助人们利用交易机会;例如,拥有大量以太坊的交易者可能希望在另一种区块链上使用应用程序,而不必出售以太坊来购买另一种代币。
流经这些跨链桥的大量加密货币使它们成为有价值的目标。据 Chainalysis 称,今年共有 10 起黑客攻击涉及跨链项目,导致 13 亿美元的损失。
加密安全公司 Halborn 创始人 Steve Walbroehl 说,这项技术“非常复杂,复杂性是安全的敌人”。
Beanstalk 并不是作为跨链桥而建的,但它的代码中还有其他漏洞。
该项目的内部运作几乎可笑地晦涩难懂。一份概述其机制的白皮书由 61 页图片、表格和数学方程式(以及亚历山大·汉密尔顿信件中的引述)组成。
“从 1 个种下的 Bean 长出的 Pods 数量取决于播种时的温度—Beanstalk 原生利率 ”,该平台指南中的一篇文章被称为“农民年鉴”。
从本质上讲,Beanstalk 允许人们将数千万美元的虚拟货币存入软件系统,从而产生利息并帮助维持称为 Bean 的稳定币的价值。
该项目并非传统的初创公司。像许多加密货币创始人一样,Weintraub 和他的合作者——25 岁的Brendan Sanderson 和 24 岁的Michael Montoya——对他们的身份保密,自称为 Publius,这是对《联邦党人文集》作者的敬意。
当该软件于 2021 年 8 月发布时,存入加密货币的用户在去中心化自治组织(DAO)中投票同意对软件进行更改。
Beanstalk 的集体治理最终导致了它的毁灭。 4 月,一名黑客从另一个 DeFi 项目 Aave 借了 10 亿美元的加密货币。这笔交易是所谓的闪电贷——一个闪电般的过程,在这个过程中,加密用户在不提供任何抵押品的情况下借入资金,进行交易,然后立即偿还贷款,保留从一系列近乎同时的交易中产生的所有利润。
Weintraub 和他的合作伙伴设计的代码没有阻止某人使用闪电贷款接管平台的机制。因此,黑客利用这 10 亿美元获得了 Beanstalk DAO 的巨额股份,完全控制了软件的治理。然后,黑客将每个人的资金——总计近 2 亿美元——转移出 Beanstalk 系统。
恐慌随之而来。 “我今天损失了 100 万美元,都是 Bean 代币”,一位 Beanstalk 用户在 YouTube 上宣称。
一些用户怀疑 Weintraub 和其他创始人是这次攻击的幕后黑手——这是一个典型的“Rug Pull”,即一群开发人员带着投资者的资金跑路。
Weintraub 说:“这感觉就像死了一样。”
最终,他和其他创始人决定继续这个项目。他们向联邦调查局报告了盗窃案。并与 Beanstalk 爱好者通电话以寻找前进的道路。
在聊天论坛 Discord 四月份的帖子中,他们还首次透露了自己的身份。这是一个冒险的举动:尽管该项目不是传统业务,但它们可能容易受到用户诉讼或监管审查的影响。
在过去的几个月里,Beanstalk DAO 一直在努力重启该项目,招募区块链分析公司来帮助追踪丢失的加密货币。该组织还聘请了安全公司 Halborn,该公司正在审查代码以消除任何漏洞。 Beanstalk 上个月正式重新开放。
这种卷土重来的努力在加密领域中越来越普遍。
“我们一直对社区如此透明,这是一个实验”,Weintraub 说, “我们都在一起解决这个问题并不断进步”。
被盗资金仍然下落不明。
了解更多资讯欢迎加入:
比推 Discord 社群 :https://discord.com/invite/QSvv7MZ2tz
比推 TG 交流群:https://t.me/BitPushCommunity
比推 TG 订阅: https://t.me/bitpush
Twitter:https://twitter.com/BitpushNewsCN
本文来自比推,文章链接:https://www.bitpush.news/articles/3166672转载需注明出处
比推快讯
更多 >>- 富达现货比特币ETF首次录得资金流出
- 华盛证券成为首批虚拟资产现货ETF承销商
- Lava Network发布LAVA代币经济学,6.6%代币将用于API提供者奖励
- Apple工程师辞职构建以太坊Blobspace的衍生品产品
- BNB Chain宣布在BSC区块链中纳入原生流动性质押功能
- Base协议负责人:Base网络上USDC数量仅次于以太坊
- FBI 警告美国人不要使用未经注册的加密货币传输服务
- SEC 向 Consensys 发出关于 MetaMask 的 Wells 通知,称其作为无牌经纪商运营
- Pantera Capital计划为其新的加密基金筹集10亿美元
- Consensys 对 SEC 提起诉讼,以捍卫以太坊生态系统
- Axelar宣布将通过Filecoin虚拟机提供链上去中心化存储
- 金融科技巨头Stripe时隔六年后再次接受加密支付,目前支持 USDC 稳定币
- Paxos Treasury新增铸造1亿枚PYUSD
- 链上文化创意平台Spotlight完成200万美元Pre-Seed轮融资,Folius Ventures领投
- Starknet面向永续合约和期权协议开启DeFi Spring第三阶段
- 美众议院金融服务委员会高级议员:稳定币法案可能很快会出台
- Arkham:贝莱德在其 2 个 ETF 钱包中收到了超过 2万美元的符文代币空投
- 去中心化物理基础设施网络Natix完成460万美元战略融资,拟空投 10 亿枚 NATIX 代币
- Coinbase国际交易所将上线AEVO、ENA、ETHFI永续合约
- BTC突破64000美元,日内跌幅收窄至1.07%
- 9只现货比特币ETF今日净减持1,104枚BTC,净流出约7010万美元
- W代币现可通过Wormhole NTT在Solana、以太坊及L2网络上无缝转移
- Immutable 推出价值 5000 万美元的加密游戏奖励计划
- Wordcoin计划与PayPal和OpenAI进行合作
- 富兰克林顿普顿为其链上美国政府货币基金推出点对点转账服务
- USDC Treasury销毁超5622万枚USDC
- 以太坊 L2 区块链开发商 Movement Labs 完成 3800 万美元 A 轮融资
- A16z crypto 首席技术官:Meme币“赌场”破坏了加密货币的长期愿景
- 自 4 月 8 日以来疑似孙宇晨地址已购买 176,117 枚 ETH,约合 5.597 亿美元
- DCG聘请Aimie Killeen担任其新的首席法务官
- Benchmark:如果采用新的会计规则,MicroStrategy 盈利或增加 30 亿美元并成为标普 500 强公司
- 美SEC推迟就现货比特币 ETF 期权上市和交易做出决定,并征求公众意见
- 灰度于12分钟前向Coinbase Prime地址转入800枚BTC
- a16z Crypto提出代币发行的五条规则,包括勿以筹款为目的在美国公开出售代币
- 区块链B2B支付公司Paystand收购Teampay
- 美股区块链板块普跌
- CARV完成1000万美元A轮融资
- 交易员将美联储首次降息时间推迟至12月
- CME美联储观察:美联储5月维持利率不变的概率升至99.7%
- 美国退休顾问金融公司GRP已在7只比特币ETF中持有投资敞口
- 美国Q1 GDP低于预期 核心PCE物价指数大幅反弹
- 美元指数DXY短线下挫超20点,30年期国债收益率升至4.81%
- 国际象棋策略游戏Anichess完成180万美元融资
- 在美国财长耶伦背后展示“Buy Bitcoin”的笔记本以超100万美元价格售出
- 贝莱德IBIT现持有约27.44万枚BTC
- Moso完成200万美元种子轮融资
比推专栏
更多 >>观点
项目
比推热门文章
- 富达现货比特币ETF首次录得资金流出
- 华盛证券成为首批虚拟资产现货ETF承销商
- Lava Network发布LAVA代币经济学,6.6%代币将用于API提供者奖励
- Apple工程师辞职构建以太坊Blobspace的衍生品产品
- 三分钟速览 Coinbase 新上线的 Web3 游戏基础设施层 Karrat
- 深度解读:USDT+TON+Telegram将变异出什么新物种?
- Bankless:Runes不是矿工收入问题的解决方案
- VC 经验之谈: 准备代币 TGE 时需要考虑的 10 件事
- Solend 创始人复盘 ezETH 脱锚:如何应对 LST 风险?
- 早期钱包不断苏醒,180 万枚「丢失」的比特币有多少真的消失了?