哈,大家好,我是聪明绝顶,头发却愈发坚挺的歪老婆。最近啊,受市场大环境影响,加密市场呢,那是一片凄惨冷清,想必大家也感受到了熊市的威力。可是即便如此,对于有那么一种职业的人来说呢,不管市场牛熊,都不影响他赚的盆满钵满,没错,那就是黑客熊市了,市场安静了,那么正好就轮到黑客们出来整幺蛾子了,毕竟在资本游戏里,不是哥就是贝哥,而黑客们呢,正是在食物链上游收割项目方和投资者的那一批。说实话,这么一想,歪老婆恨不得是把腿拍断,你说年轻的时候怎么就没有想过好好去学学代码,直接从项目方那抢钱,岂不是早就财富自由了?哪怕代价,是牺牲我这一头飘逸的秀发,我也是愿意利益,那么就在最近呢,又有一批黑客暴富了,首先是在sola拉链上的mango market,就在前几天10月12日被盗了约1亿美元,直接荣升sola拉生态历史上最大。大的安全事故之一,是的,没错,索拉尔链呢,它又又又又出问题了,和大多数的德赛攻击事件类似,这次事故呢,也是通过闪电带进行攻击的。那么什么是闪电贷呢?歪老伯呢?在这里给大家简单的科普一下,闪电贷就是一种不需要用户抵押资金的贷款,但是闪电贷有一个条件,那就是必须在发放资金的同一交易中偿还贷款人,也就是说啊,贷款必须秒还,他们主要被用于套利,比如说啊,如果你能利用贷款赚到更多的钱,你在极短时间内呢,把钱还回去,贷款所赚的所有利润都全部属于你。在本次的案例中呢,黑客是这样操作的,他先准备了两个账号A和B,每个账号有500万的D,也就是稳定,通过账号A的500万us作为抵押,黑客在订单上造了4.83亿份go永合,紧接着呢,在用账户B的500万us以每份0.03美元的价格购买了这4.83亿份永合约。然后他就可以靠着操纵市场价格获利了,也就是说呢,自己当了一把装甲,他先是将mago的价格,从0.03美元推高至0.9亿美元,拉了五到十倍,4.83亿个mago的价值呢,瞬间到了4.23亿美元,接着呢,他才把账号币的高价mago作为抵押品,在mango中借出了1.16亿美元的贷款,直接把mango池子里的流动性,包括us sdc m so sob TC TD等所有资产的全部抽空,导致平台上的用户呢,无法提取任何资产,私不抵债。而黑客自己呢,就这样直接获利了1亿美元,这还没完,有技术不可怕,可怕的是呢,这个黑客还懂得列上治理。黑客在mango治理平台上呢,发起了恋上提案,再度发起了治理攻击,他在mango的恋上治理平台呢,提出对于被盗走了1亿美元,要求由财库来偿还用户损失,接着他用盗取的大量治理代币操控投票,让支持率近乎100%结案直接通过让自己偷盗所得的资产变得合理。合法了起来,最终的投票结果是呢,允许黑客保留4700万美元,同时呢,将剩余的6700万美元返还给该项目,而退回的资金呢,将用于一为交易所注资,弥补由攻击带来的坏账,白拿钱不说,曼go社区用户还得感激他法律呢,拿他还一点办法都没有,这实在是太嚣张了,难怪有阴谋论者会怀疑这是项目方自己做的秀。如果说mango可能是为了炒作自己的名声搞了这么一波,那B安总没有理由这样完了吧?就在10月7日凌晨,B安的智能合约平台币安恋BN币券就遭到了黑客攻击,短短两小时,200万枚币N币呢被洗劫一空,受损金额呢,估计为1亿美元,约合人民币7.1亿元。事发之后呢,其实B然的反应很快,立即停链,对外发了一条由于活动异常,目前正在维护中,暂时暂停所有通过BNB的存取交易,直到有进一步的更新这样一条公告,可能啊,这就是宽以待己以待人吧,当初so拉出试停CZ是怎么嘲讽的来着这?这一次呢,黑客是对于桥链的漏洞下手了,导致了BN的发,黑客从BC中提取了7000多万美元,不过也正是因为BNB链的反应迅速,冻结了大约700万美元,才没有导致这个损失进一步扩大。那为啥这么多钱没了,这BNB的价格还是稳稳的呢?其实呢,一方面是因为链停掉了,把蒸发的币删除了,另一方面流出去的资金,已经被锁定了,无法交易,所以呢,实际上属于是无效攻击,对市场的影响非常有限,所以朋友们大部分人对于区块链的认知呢,是无法停止,无法篡改,完全去中心化的,实际上呢,还真不完全是,那你说这么多钱黑客哥哥拿了会不会花不完?外老伯呢,可是愿意帮黑哥哥哥分担一部分这个花钱烦恼,不过当然我也就是这么嘴炮一下,真要我去呢,我还拉不下这个脸。可是有句古话,脸皮厚呢,吃的也够,还真有人就这么干了,也是在不久前,TP钱包用于闪电的swa的合约被攻击了,损失达到2300万美元,其中呢,还包含了大部分用户资产。这次攻击RO的又是啥呢?平时在使用UNI swap等去中心化交易所的时候呢,进行代币交换时,需要先对RO授权你的代币,在默认情况下,这个授权是无限授权,可以允许RO转走你授权的所有代币。在这次攻击中呢,黑客就是根据RO特存在漏洞构造恶意的数据,发给RO后呢,可以让RO将授权给他的其他用户的资产全部转移出来。技术的细节呢,咱就不多说了,这事儿,最有意思的还是黑客地址在BS看上的留言,下面摘录一些,大家一起雅俗共赏。第一种呢,霸道总裁行,我穷打钱。第二种呢,是卖惨型求求了,我是真的亏麻了打钱吧。第三种呢,是双鱼小作而行,动之以理,晓之以情,我是真的很惨,你是真的牛逼西医好吧,第四种迷弟行,你好牛,我爱了,第五种呢,就是认大哥型,意思是呢,我都认你做大哥了,赶紧速度打钱过来,这简直就是一个WEB3大新。人性试验场留言内容可以说是千奇百怪,当然啊,嘲讽这些留言者是网络乞丐,似乎也有点站着说话不腰疼了,跋竟这刀还没挨到自己身上,肯定是不知道疼的。除了直接赚钱走的,还有黑客呢,卡bug给自己开工资的,像刀wa,由于挖矿奖励大于交换过程中收取的费用,以及呢,缺乏验证,允许用户将邀请者的地址设置为自己,在一次攻击中,损失了58万us dt,因为邀请者的地址呢,可以是任何地址,而这个地址本身没有设置检查,所以呢,黑客的逻辑很简单,将邀请者设为自己,并得到了额外的奖励,而且作为邀请者得到了奖励呢,占总奖励的20%。即使不允许黑客将邀请人设置为自己,攻击者呢,仍然可以从交易中获利,这个项目方也太粗心了吗?这不是白送钱嘛,这黑客呢,说白了也就是个吃独食的专业羊毛的,OK,其实啊,讲了这么多呢,大家也不难发现,The饭是黑客攻击试验的高发领域,根据China发布的报告呢,2021年。黑客就从投资者那里呢,窃取了共计32亿美元的加密货币,2020年呢,也有15起针对德派平台的黑客攻击事件,被盗金额高达1.2亿美元,其中呢,却仅有4560万美元被追回。而在今年的三月份,知名区块链游戏X aanity,其以太坊侧链RO network就遭到了黑客攻击,造成了约6.25亿美元的损失,堪称有史以来最大的一次德黑客攻击。虽然2020年以来德项目获得了高速的发展,但同时呢,也因其安全问题造就了黑客牛市,投资者和项目方呢,更是拥有了上百种花式亏钱方法,比如说机制缺陷、代码逻辑漏洞、第三方代码库服务漏洞、私钥泄露或者是钓鱼攻击、内部风控不足、项目方主观作恶,卷款跑路市场参与者导致的安全影响,比如说前面跟大家讲的闪电带等等,在羡慕掌握了高科技手段的黑客哥哥们的同时呢,不要忘了检查自己的钱包。取消那些乱七八到的授权,并且不将所有的资产放进同一个篮子里,这才是我们普通人能够做到的最大的防范工作。今天讲的内容可能有些复杂,喜欢这种风格的呢,请扣一,喜欢轻松幽默易懂风的呢,请扣二外老婆在线等你们的反馈励志做最宠粉的WEB3支持博主我是歪老婆web3.0领路人关注我,我将和朋友们一同站在最前线,探索光怪陆离的资本故事,我们下期视频再见。
本文转载自油管频道:歪伯三,只做免费分享使用,本文观点不代表小龙同学博客立场。
微信扫一扫 
支付宝扫一扫 
