文/蔡孟凌
根據區塊鏈數據分析公司 Chainalysis 每年針對加密貨幣的非法交易量進行分析統計(圖1),該公司並在 2022 年 10 月 13 日於官方推特指出,今年10月是加密貨幣駭客有史以來最多的一個月,在 11 次不同的駭客攻擊中,有 7.18 億美元從分散式的金融平台上被盜走。按照這樣的速度,2022 年將成為歷史上最大的駭客攻擊年。今年為止,至少已經有 125 次駭客攻擊,被盜金額超過 30 億美元(2021 年是 32 億美元)。根據 Web3 漏洞賞金平台 Immunefi 的數據顯示,2022 年第三季損失了 4.2 億美元,駭客攻擊是主要的原因,占比高達 93%,其中又以 DeFi 為主要攻擊的目標。同時 Immunefi 也指出,2022 年迄今總共追回的被盜資金,僅占 2022 年迄今損失總額的 4%。
[ 參與 CIO Taiwan 年度盛事 2023 CIO 大調查,就從填寫問卷開始!(survey.cio.com.tw) ]
這些加密駭客跟傳統的駭客有什麼不同呢?從本月幾個攻擊事件或許可見端倪。今年 10 月 12 日當天就有五個加密平台遭到駭客攻擊,其中公鏈 Solana 借貸項目 Mango 損失最多。駭客透過預言機拉高抵押品價格,再大量借出代幣,導致超過 1.1 億美元的損失。Mango 官方透過推特呼籲駭客償還款項,並提供償還的白帽獎金。隨後駭客主動跟項目方聯繫,協議後駭客已經歸還 6,700 萬美元的加密貨幣資產。
同時在 10 月 7 日幣安跨鏈橋也遭駭客攻擊,駭客找到 BSC Token Hub 的程式漏洞,憑空在 BSC 鏈上創造出 200 萬顆 BNB(當時市價約 5.7 億美元),雖然幣安緊急將 BSC 鏈停機,所有用戶的鏈上資產也因此被暫時凍結,最後仍損失約一億美元。
Mango 的攻擊者在推特表示:「我們的行動都是合法的公開市場行動,使用設計好的協議,即使開發團隊未料到以這種方式設置參數的後果。」再者,以 BSC 跨鏈橋的事件來看,這名駭客在第一次的資產轉移上不同於其他急著想變現的加密貨幣駭客,而是選擇先抵押借貸再跨鏈轉移,以避免打草驚蛇。到了第二次的攻擊時,才直接拿去變現換成 USDT,事件才因此爆發。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
從兩起事件中除了看出加密貨幣的攻擊種類眾多,除了協議漏洞、跨鏈橋攻擊外,還有 NFT 竊盜和 DeFi 錢包攻擊。同時,也再次證明區塊鏈的不可能三角的問題。例如當鏈上的項目比該公鏈有價值,那麼其公鏈之安全性就有可能受到挑戰。在去中心化的世界中,公鏈必須要兼顧各方利益(例如如何激勵礦工去維護交易)、計算底層作業所需的時間、各演算法的瑕疵等諸多考量,那麼運行在這些公鏈上的項目和持有加密資產的我們,是否更有走在鋼索上又同時穿過一層迷霧的不安且不確定感呢?
繼許多國際企業(如亞馬遜、麥當勞、Gucci)爭相接受加密貨幣支付後,Google 也即將導入加密貨幣支付雲端服務費的功能。此舉影響到的不僅是一般民眾,許多企業可能也會開始思考持有加密資產的可行性,以便從事跨國生意或交易。那麼加密貨幣的保存和傳送的安全性就是首要的考量,進一步可能會考慮直接參與這場加密商機(如發行項目或發放代幣),那麼又是另一層的資安考量。
[ 閱讀所有蔡孟凌專欄文章 ]
然而,區塊鏈的資安涉及不只加密貨幣,包含任何可以透過區塊鏈技術導入企業的應用,例如資產追蹤、保險理賠、身分管理、文件紀錄、金流支付、IoT 物聯網、貿易融資等,其涉及的風險包含智能合約漏洞、開放原始碼的漏洞、區塊鏈底層架構攻擊、私鑰竊取、端點防護。
回歸比特幣誕生的初心,中本聰希望可以透過分散式帳本系統應用在金融交易中,但時至今日已經演變為從建立起底層資產架構,並衍生出一整套加密資產生態系,然而更重要的是這個生態系的安全系統。不同於傳統資訊安全的範疇,區塊鏈的資安問題橫跨各種領域,因此企業對於跨域人才需求孔急,再加上疫情後全球產業鏈重組,該如何強化企業人力資本,將會是數位轉型的關鍵因素之一。
(本文授權非營利轉載,請註明出處:CIO Taiwan)