Web3.0区块链项目：黑客威胁成为安全性的核心挑战

大家好，我是老王。

近期，我深感区块链领域与黑客之间的微妙关系。似乎每当区块链项目崭露头角，黑客的阴影便如影随形。项目尚未成功，固然无甚可忧；然而一旦项目启动并有所进展，我们往往会听到“黑客攻击”成为失败的借口。

以2022年十月为例，全球知名的加密货币交易所币安发布公告，称黑客窃取了约5.7亿美元的代币。这一事件不仅给币安带来了重大损失，也对整个数字资产行业的信任度造成了严重打击。币安智能链区块链网络在同一时间也遭受了黑客攻击，价值超过1亿美元的加密资产被盗。这些事件都凸显了区块链项目在安全性方面的脆弱性。

然而，这些所谓的“黑客攻击”是否都是真实的？有时，我们不禁要质疑其中的真相。比如一些交易所，它们是否真的遭遇了黑客攻击，还是这只是它们为了某种目的而制造的借口？

比如火币交易所曾经故意制造网络故障，导致比特币持有者无法进行交易。这样的行为无疑是为了自身的利益，利用市场的不稳定性来谋取私利。这样的例子让我们对区块链项目的真实性和透明度产生了严重的质疑。

在我看来，现在的区块链项目确实存在很多问题。我们不能一概而论地说它们都是好东西，因为在这个领域里，真正的诚信和透明度往往难以保证。

区块链的安全性一直是业界关注的焦点问题。

根据慢雾区块链安全监测报告，仅在2024年3月这一个月内，就记录了高达33起安全事件，累计损失达到了惊人的1.39亿美元，折合人民币接近10亿元。这些安全事件的诱因多种多样，包括但不限于智能合约中的漏洞、内部人员的恶意行为、闪电贷攻击、私钥不慎泄露以及账户被盗等。

就在不久前，也就是2024年3月27日凌晨5点，Blast生态旗下的Munchables项目在X平台上公开表示，其系统遭受了严重的攻击。

据派盾安全团队的分析，Munchables的锁定合约疑似存在重大缺陷，导致近1.74万枚ETH（价值高达6230万美元，折合人民币近五亿元）被非法窃取。目前，黑客已经将这笔巨额资金分散转移至多个地址，使得追回工作变得异常困难。

链上侦探ZachXBT经过深入调查后发现，此次攻击实际上是由Munchables协议的开发者一手策划的，这名黑客来自朝鲜。这一发现再次印证了区块链安全领域的严峻形势，即使是项目内部的核心人员也可能成为潜在的安全威胁。

慢雾科技的创始人余弦在社交媒体上对此事件进行了深入剖析，他指出：“这已经是慢雾所见的至少第二起DeFi类项目遭受类似攻击的案例。这些核心开发者往往潜伏已久，获得了项目团队的充分信任，一旦时机成熟，便会毫不留情地发动攻击，受害者不在少数。”

另据链上分析师SomaXBT透露，Munchables项目为了节省审计费用，选择了一家名为EntersoftTeam的不知名安全团队来进行智能合约的审计。这家团队虽然在其社交媒体账号上自诩为“屡获殊荣的应用程序安全公司，拥有经过认证的白帽黑客”，但在平台上的关注者却仅有百余名，其专业性和可靠性令人质疑。

更为令人震惊的是，Munchables项目雇佣的四个不同开发人员可能都是同一人，即那名朝鲜黑客。他通过伪装成多个身份，成功混入了项目团队，最终实施了这次精心策划的攻击。

该案中的朝鲜黑客的GitHub账号虽然已被曝光，但由于黑客可能拥有多个账号，这一信息对于追回损失来说并无太大帮助。

在加密领域，提及臭名昭著的黑客势力，朝鲜黑客无疑占据了一席之地。特别值得注意的是，名为Lazarus的黑客组织，其背后有着朝鲜官方的支持，自2009年以来已活跃十多年。该组织以全球性的目标为打击对象，其行动涉及对金融机构、媒体及政府机构的广泛攻击。Lazarus Group直接受控于朝鲜情报侦察总局下的121局。

Lazarus黑客组织因攻击银行和加密货币交易所而广为人知，通过窃取资金和数据以谋求经济利益。该组织对程序员给予了高度重视，并积极招揽有计算机天赋的人才加入其官方“黑客”队伍。

其中，平壤自动化大学成为Lazarus Group黑客的重要人才库。近年来，该组织的工作重心已逐渐从政治攻击转向经济攻击，特别针对加密货币领域进行了一系列精心策划的攻击。

他们的活动手段包括针对安全研究人员的攻击、在开源加密货币平台中嵌入恶意代码、执行大规模加密货币抢劫，以及利用虚假工作面试来传播恶意软件。这些黑客组织通过非法手段获得的资金，通常会经过一系列复杂的洗钱流程，如将加密货币转换为法定货币，以逃避反洗钱监管。

韩国、美国和日本等国家一直对朝鲜黑客组织的活动保持高度关注。据统计，朝鲜黑客组织在过去几年已成功窃取价值高达30亿美元的加密货币，这些资金被用于支持朝鲜的核武器和弹道导弹项目。

针对朝鲜在网络空间的风险，美国、韩国和日本的安全顾问在首尔进行了会晤，商讨了应对策略，并宣布了新的三边合作倡议，重点打击朝鲜的网络犯罪和加密货币洗钱活动。此次会议正值朝鲜半岛局势紧张之际，朝鲜不断加快核武器和导弹项目的扩张，并公开表示将采取先发制人的核战略。

Lazarus黑客组织的攻击手段多样且威胁性极高，从针对金融机构的SWIFT网络攻击到加密货币抢劫，都展现了其高超的技术实力。然而，面对这些攻击，目前有效的防范措施却相对有限。

自2018年以来，朝鲜黑客已窃取了大约20亿美元的虚拟货币。仅在2023年，他们便盗取了约2亿美元的加密货币，占当年被盗资金的20%。这些黑客对虚拟货币生态系统构成了持续的威胁，且其网络攻击方法正不断演变和复杂化。

朝鲜黑客组织的活动规模远超其他恶意行为者，他们甚至对去中心化金融生态系统也进行了攻击。他们利用网络钓鱼、供应链攻击和其他黑客手段，在网络空间发动了一场又一场的攻势。

与那些专注于利用协议技术漏洞的技术型黑客不同，朝鲜黑客更倾向于将矛头指向协议背后的开发团队，他们善于滥用信任，伺机进行盗窃。

这些朝鲜黑客擅长伪造光鲜亮丽的教育背景和履历，如冒充业内知名的漏洞研究专家或客户、雇主，以此来骗取目标团队的信任。

他们会积极寻找支持远程工作的项目，一旦接触到开发团队，便伺机发动0day攻击。据谷歌安全团队在2021年的发现，Lazarus黑客组织长期潜伏在Twitter、LinkedIn、Telegram等社交媒体上，利用虚假身份伪装成业内专家，获取信任后对漏洞研究人员进行0day攻击。

安全公司Mandiant inc.的研究人员也报告称，他们在2022年发现一名疑似朝鲜求职者的资料与其他求职者存在高度相似性。这些黑客已经熟练掌握了复制Linkedin和Indeed等网站上的职位信息，并借此应聘美国加密货币公司的技巧。

除了伪装成开发者潜伏在团队中，朝鲜黑客还会以客户或雇主的身份接近团队开发者。

例如，在2022年Axie Infinity游戏侧链Ronin被盗六亿美金的事件中，朝鲜黑客组织Lazarus Group就采取了这种手法。他们伪造了一家公司，通过LinkedIn以高薪招聘的名义联系了Axie Infinity开发商Sky Mavis的一位高级工程师。面对诱人的工作机会，该工程师经历了多轮“面试”，并在其中一次“面试”中收到了一个看似包含工作详情的PDF文件。然而，这个文件实际上是黑客入侵Ronin系统的工具。工程师在公司计算机上下载并打开了文件，启动了一个感染链，使得黑客能够侵入Ronin系统并控制了多个验证器。

这种攻击被称为APT攻击。它通常涉及攻击者首先伪装身份，通过真人认证欺骗审核员成为真实客户，然后进行真实存款。在客户身份的掩护下，当官方人员与客户（攻击者）沟通时，Mac或Windows定制木马就会针对这些官方人员发动攻击。一旦获得许可，黑客会在内网中进行横向移动，潜伏很长时间，最终窃取资金。

根据2023年截至6月份的公开信息，朝鲜黑客Lazarus Group尚未被归咎于任何重大加密货币盗窃案。从链上活动的监测来看，该黑客组织主要致力于清洗2022年盗窃的加密货币资金，特别是涉及Harmony跨链桥在2022年6月23日遭受的约1亿美元资金损失。

然而，事实揭示出，Lazarus Group并非只在忙于资金清洗，他们还暗地里策划并实施了与APT相关的攻击活动。这些攻击行为导致了自6月3日起加密货币行业的“黑暗101日”现象，期间共有5个平台遭受攻击，被盗金额超过3亿美元，其中多数为中心化服务平台成为受害者。

在互联网上，区块链领域的一个常见安全威胁来自钓鱼网站盗号，它们通常通过以下几种方式出现：

钓鱼网站获取流量的主要手段可以概括为以下几类：

1. 黑客攻击

· 黑客可能针对官方项目的Discord和Twitter账号发起攻击，窃取其控制权以发布钓鱼链接。

· 官方项目的前端或使用的库也可能成为黑客的攻击目标，一旦被攻陷，就可能被用于发布恶意内容。

2. 自然流量

· 利用空投NFT或Token作为诱饵，吸引用户点击带有恶意代码的链接。

· Discord中失效的链接可能被恶意占用，引导用户访问假冒网站。

· Twitter上的垃圾提醒和评论可能隐藏了钓鱼链接。

3. 付费流量

· 黑客可能购买Google搜索广告或Twitter广告，以合法的方式展示带有恶意内容的广告，从而诱骗用户。

虽然黑客攻击的影响范围广泛，但由于社区成员的警觉性和迅速反应，这类攻击往往能在10-50分钟内得到控制。然而，空投、自然流量、付费广告以及Discord链接失效被占用等方式则更难以被察觉，因为它们看起来更加自然和隐蔽。

此外，还有一种更加针对性的钓鱼手段，即通过私信直接对个人用户进行钓鱼攻击。

软件开发、商业模式，关注私信老王。