一文了解Web3.0数据泄露

Victorian
173 阅读7分钟

一、背景

黑客攻击、漏洞利用、勒索软件以及所有网络安全威胁的规模和严重程度都在不断增加。Web3.0 生态系统的独特之处在于它为恶意行为者提供了其他技术所没有的各种攻击媒介,包括智能合约中的漏洞和新型的网络钓鱼技术。

然而,Web3.0 安全事件的故事与其他行业的情况密切相关。非 Web3.0 领域会遗漏中心化项目和公司也未能解决的同类型安全漏洞。

2011 年以来针对 Web3.0 公司的许多事件,大致可以将它们分为两类:

  • 协议恶意利用: 利用智能合约代码获取经济利益的事件
  • 漏洞: 攻击者破坏目标组织的内部网络,并使用获得的权限来窃取公司数据或资金的事件

就近期和长期风险而言,这两个类别之间有几个重要的区别。

协议恶意利用发生在一个确定的时间范围内,从攻击者执行利用开始,到他们耗尽所有可用资金、耗尽 gas 或导致目标项目终止时结束。其中一些事件可能会持续数小时或数天,事件后的谈判会进一步延长这个时间段,也有项目随后立即关闭的情况。然而,关键是这些攻击具备明确的开始节点与结束节点。

相比之下,漏洞类算得上是持续型事件(攻击者获得网络访问权并在那里保持「长期蹲守」的状态)。漏洞的定义通常是数据的泄漏,这些数据被用于攻击利用或随后在暗网或在线论坛上出售。

网络漏洞也可能导致严重的资金损失。大多数 Web3.0 组织资金流动量非常大,这自然而然让他们成为了黑客的目标。

数据泄露可能具备巨大的破坏性,且风险可持续多年——尤其是在泄露期间丢失个人身份信息的情况下。

二、数据泄露

为了评估与这些事件相关的持续风险,我们将它们分为以下定义的事件:

  • 理论上可检索的数据丢失事件,包括 PII 和内部数据库等。
  • 资金或数据丢失且数据无法再检索的事件。

第二类无法检索的数据丢失事件主要由仅导致资金或私钥丢失的违规事件构成。在这种情况下,损失的资金通常无法被追回。

异常事件包括那些被盗数据从未被放出来、被归还或被用于其他目的的事件。例如,2020 年 6 月日本中心化交易所Coincheck被攻击,200 多名客户的 PII 落入攻击者手中。攻击者破坏了 Coincheck 的网络,然后通过公司内部电子邮件地址发送网络钓鱼电子邮件,要求客户提供 PII。但该起事件中并没有特定的数据库丢失,丢失的数据也只是回复这些邮件的客户的数据。

在 2020 年 6 月的另一起事件中,加拿大中心化交易所 Coinsquare 也经历了一次漏洞攻击,泄露和丢失的数据涉及 5000 个电子邮件地址、电话号码和家庭地址。

攻击者在 Coinsquare 之间来回「横跳」后表示他们将在 SIM 卡交换攻击中使用这些数据,但不会试图把它们出售,以便「放长线钓大鱼」。这种类型的事件也被归类为第二类无法挽回的事件。

在我们确定的 74 起事件中,其中 23 起可被归类为数据可检索事件,大约占 31%。剩下的 51 起事件要么是上文描述的异常事件,要么是那些仅遭受资金损失的事件。

为何我总收到“交易所清退”短信?一文了解Web3.0数据泄露事件分类及保护措施

图表:2011 年至 2023 年间发生的事件中,可检索的数据与不可检索的数据(来源:CertiK)

我们可以看到几点:

① 2019 年后高度可能被检索到或恢复的数据事件显著增加。这与疫情期间各行业黑客攻击和数据泄露事件的增加成正比关系。

② 在此期间政府援助增长,其中的一些注入了 Web3.0 生态系统,再加上 2021 年的牛市,可能为攻击者提供了更多的勒索软件和数据销售机会。

三、数据流向

1.暗网及 Telegram

丢失的数据通常最终会被出售或转存到暗网或 clear net 上。如果数据被推测具有一定的经济价值(PII 和其他用于欺诈的数据),那么它将高频出现在暗网市场甚至是 Telegram 频道中。如果攻击者要求(勒索软件)未被满足,数据即会被丢弃在 paste sites 或黑客论坛中。

数据的最终去向决定了它对其原始所有者构成的长期风险。

相比于只能在暗网上被购买的数据,以极低的成本或零成本转储到黑客论坛上的数据其泄露的风险会更高。

此类网站的持续可访问性也会「助力」受害者数据泄露的长期风险。

2.在线论坛

多年来,在线黑客论坛层出不穷。考虑到 2019 年后可检索数据事件的增长,在这种情况下只有少数几个论坛值得被当作案例分析。这些论坛包括 Raid 论坛、Breach 论坛和 Dread 论坛。

多个违规事件选择将 Raid 论坛作为倾销和出售违规数据的首选论坛之一。Raid 论坛始于 2015 年,多年来一直在 clear net 上运行。然而在 2022 年,Raid 论坛的域名被美国执法部门与欧洲刑警组织合作查封。

Dread 论坛成立于 2015 年,似乎一直活跃到 2022 年底,不过社交媒体上有许多迹象表明该论坛目前可能也已倒闭。我们尝试访问该论坛的暗网 (.onion) 和 IP2 版本,但这些似乎也已关停。

在 Raid 论坛关闭后,Breach 论坛立即上线了。

对于那些因 Raid 论坛关闭而「流离失所」的用户来说,Breach 论坛为他们提供了一个合理的落脚处。

它和 Raid 论坛具备类似的界面、会员声誉评分系统和极高的活跃度,用户达到 Raid 论坛原始用户群的 60%(约 55 万名用户)。仅仅一年后的 2023 年 3 月,FBI 逮捕了经营 Breach 论坛的 Conor Brian Fitzpatrick,在内部发生了一波关于重新部署网站的闹剧之后,该网站倒闭。

Breach 论坛倒闭后不到一周,又出现了另一个替代者,该论坛据称是由一个自称是前匿名黑客的 Pirata运营。但它只有 161 名成员,意味着这次的替代者没能吸收到那些论坛老玩家。

在这次的断档期里(3 月的最后几周)中冒出了许多其他论坛。其中一些作为典型违规论坛被取缔,所以可以合理推测剩下的也许是执法部门伪装的。

我们只能确认其中一个论坛上存在一些 Web3.0 数据。

据报道,ARES 论坛吸纳了其他被关闭的论坛的一些活动,但不清楚具体数量。该论坛据称与勒索软件团体和其他恶意行为者有关联,还运行着一个公开 Telegram 频道,该频道在其锁定的 VIP 销售频道中宣传过数据的销售。该频道于 3 月 6 日上线,投放了数百个广告(包括两个与中心化交易所相关的数据库的帖子)。

从整体上看,黑客和数据转储论坛社区目前功能比较混乱。传统论坛没有明确的替代者,而且国际执法机构也加大了对这些团体的打击力度,因此几乎可以肯定的是,论坛在短期内不会成为任何重大数据(包括 Web3.0)泄露的首选途径。

avatar
文章
阅读
粉丝