浅谈近期加密安全事件:黑客之害远低于人性之恶
撰文:Haotian
看到总有人拿黑客说事,认为黑客把币圈当提款机,抽丝剥茧般拖后了 Crypto 市场发展的后腿,这句话不能说错,但黑客之恶远低于人性丑陋对币圈的毒害。站在安全从业者角度,说说我的看法。
1)黑客攻击的门槛一直在被抬高,18 年以来,频发的各类合约增发攻击、溢出攻击、重放攻击、回滚攻击、随机数攻击等等正在逐渐「消失」,因为区块链白帽力量已经成长成一支势不可挡的铁军,在他们的持续 Contribution 下,行业的整体代码质量提升了,安全意识也培养了不少,黑客的攻击门槛也被拉高了。现在的 Crypto 市场黑客要想攻击得逞,得做更缜密的漏洞研究发现,更全面的攻击扫描,或者往更上游的服务器供应端找突破口,攻击成功的「投入」在慢慢加大。如果一个项目没披露任何被攻击细节,只是一句轻描淡写的黑客攻击,你或许得怀疑下这里的「黑客」属性了。
2)过去一年内看到太多的私钥被爆破,合约权限被控制,Oracle 价格攻击,多签被攻破,治理代币攻击、预留后门、Rugpull 等等,说实在的,有很多安全事件乍一看挺魔幻的,怎么 xx 项目会出现 xx 小问题,怎么冷钱包都能被攻击,的心理这样发问真的是处于对区块链「技术」的尊重,因为实在不愿因把这些奇奇怪怪的魔幻安全事件归类为人性 BUG。不过,当这些善于以黑客障眼法的软跑路行为成为一种趋势,会是加密圈最大的悲哀。毕竟,技术 BUG 易除,人性 BUG 难平。
3)不完全统计网络钓鱼、资金盘诈骗等早已超越黑客攻击成为 Crypto 行业的最大毒害,纯黑客攻击,多少会有聪明贼和蠢贼之分,遇到一些遗留破绽多的,隔空喊话一下或许还能得到退还,毕竟通过木马植入等黑客攻击非法获利其实能得到一部分司法庇护的。但钓鱼、资金盘这种大部分人都只能当成「认知税」,真得是毫无办法。因为那些批量设陷阱搞诈骗的和那些研究漏洞事实攻击的黑客本质上是两批人。黑客或许是觉得好玩,正好攻击得手了,那些做专业利用人性漏洞做诈骗的就大为不同了。
4)Mixin 事件比以往黑客攻击事件更让我忧心,因为它的用户画像。它的大部分群体受众来自大师公开课,来自 OG 信仰者,来自签到领比特币的尝鲜者,来自兢兢业业打工博一份未来的定投者,他们都是一些 newly onboard 的新鲜血液啊,很可能成为未来牛市的中坚力量。如今这一锤棒打,也许彻底无奈地回厂打螺丝,重新骑起了小电驴,满怀愤忿离开了这个让他们抱有一丝幻想的领域,顺带把「币圈都是骗局」的刻板印象再一次指数级的放大。唉,入加密圈的「课程费」太贵了。
5)喊了多年的 Mass Adoption 了,无论是 ERC-4337 账户抽象,还是 MPC 多签方案,又或者是用 Intent-centric 这些,大家原本都有一个共同的信念:降低用户参与门槛。什么私钥分片,邮箱注册,社交恢复,程序自动代执行,嗯,听起来很酷的,怎么那么像骗子啊?虽然很极端,但是反映了一个客观事实,如果某人用大部分都能听懂的话来让大部分人放心,那最不放心的可能就是某人了。Mixin 之后,我不能说绝对,大多数做 Mass Adoption 的项目可能都会被牵连,科普博主又得加把劲为 Crypto 信仰充电了,这可恶的人性之恶啊。
这么多年了,Crypto 技术成长了,安全防备力量加固了,监管环境也越来越复杂了,人性之恶也愈演愈烈了,但乐观点说也是 Crypto 世界越来越壮大的表现,说到底还是那句话:世上只有一种英雄主义,就是在认清生活真相之后依然热爱生活。