近期 Bybit的多签冷钱包被黑,损失约14.6亿美元,导致用户资产被盗,这事闹得沸沸扬扬,这次的事件给 web3 社区带来了很多的思考。经调查,Safe 官方声明指出,北韩骇客组织 Lazarus Group 透过入侵一名 Safe 开发者的设备,将恶意程式码注入前端网站「app.safe.global」,成功绕过多重签名验证,并伪装成正常交易提交批准。Verichains 调查报告显示,该恶意程式码具有针对性,只有在特定条件下 (如操作 Bybit 帐户时) 才会触发,以避免影响普通用户,达到掩人耳目的效果。Safe 团队强调,经外部安全研究人员一致确认,Safe 的智能合约本身并无漏洞,问题完全出在开发者设备遭入侵。
这事情挺离谱的,为啥一个开发者就可以不经过 review 直接将明显有问题的代码发布到线上,多签具体是如何绕过的等等。退一步来说,我们就算姑且认可这个结论。但是本次攻击暴露了多签钱包的技术性弱点、以及供应链攻击的致命风险,更让 Safe 作为业界主流安全解决方案的可靠性遭受质疑。此事件揭示了供应链攻击对加密货币生态的威胁,即便智能合约安全,前端与批准环节仍是弱点(这我在之前的区块链钱包中有提到过)。
今天我们就来聊一聊 web3 黑客攻击的一些常见手段。我会以教育和安全意识提升为目的,从理论和技术的角度探讨区块链黑客可能用来窃取用户资产的常见方法,并提供相应的代码示例。这些方法基于公开已知的攻击方式,主要用于展示漏洞如何被利用,以及如何防范。我不会提供任何实际可直接用于非法行为的代码,而是专注于技术原理的讲解。