要闻 宏观 金融 证券 产业 公益财经 地产 能源 健康 汽车 评论 人道慈善

https://uploads.chinatimes.net.cn/article/202309/202309271719525rPpna2BB1.png

2亿美元不翼而飞,项目方却仅赔付50%!Mixin被盗事件被疑自导自演,链上安全如何保障?

赵奕 胡金华 2023-9-27 17:50:36

本报记者 赵奕 胡金华 上海报道

9月25日,安全机构慢雾发布安全提醒称,Mixin Network云服务商数据库受到攻击,涉案金额约2亿美元。随后,Mixin官方承认因黑客攻击导致主网部分资产遗失,且已联系谷歌、慢雾协助调查。

9月27日,Mixin在其网络入侵者链上留言称,“平台的大部分资产都是用户的,希望你们能退还给我们。您可以保留其中的2000万美元资产,作为该BUG的奖励。”

2亿美元不翼而飞,也让Mixin被盗事件成为今年以来,加密领域最大规模的黑客攻击事件。而该事件之所以备受关注,除了涉案金额巨大之外,曾经的币圈“顶流”李笑来曾经公开为该项目站台,而锤子科技CEO罗永浩也曾是它的关联股东。

币圈OG李笑来曾亲自站台

在攻击事件发生后,Mixin Network宣布暂停充值和提现服务,并表示,经过所有节点讨论并达成共识,一旦漏洞得到确认并修复,这些服务将重新开放。在此期间,转账不受影响。据PeckShield发布的数据显示,本次攻击事件中涉及的主流资产包括9448万美元的ETH,2355万美元的DAI和2330万美元BTC。

据悉,本次被盗的资金主要来自B.watch。根据DefiLlama数据,截至9月25日,Mixin在公链TVL中排名第八,超过Baase和Solana,TVL约为3.5亿美元,其中B.watch贡献了超过2.6亿美元,占总金额的75.2%。B.watch是由李笑来推出的一站式投研社区,曾设置了持有超过50万美元的加密资产门槛,并支持BOX的定期投资。

Mixin创始人冯晓东在公开直播中表示,此次受损资产以比特币核心资产为主,BOX和XIN等资产并未出现严重被盗情况,具体的攻击情况尚不能透露。官方表示将最多赔付50%的损失,剩余部分以债券代币形式赔付,未来官方会用利润进行回购,Mixin每年的利润约为1000万美元至2000万美元之间。同时,官方还新上线系统将用于用户资产迁移,但所能转移的资产暂时仅为用户余额的一半,其余以债券代币的形式显示。

值得一提的是,Mixin交易商ExinOne曾将价值超500万美元的客户理财资产投入到了FCoin进行理财,FCoin暴雷后,该平台也曾给出了发行债券延期兑付等解决方案。

“从技术上看,曾经由李笑来和罗永浩站台的加密货币项目Mixin Network云服务商数据库受到攻击几乎是必然发生的事情。”独立国际策略研究员陈佳向《华夏时报》记者表示,一个自称去中心化的公链应用,却把全部数据放在谷歌这个中心化的云服务商上,是很明显的“博傻”行为。

“也许Mixin会觉得委屈,但一个如此存在严重数据架构设计缺陷的项目居然能获得如此多的融资,一方面资金源头就说不清道不明;另一方面,项目平台也很难洗清监守自盗的嫌疑。”陈佳如是说。

WechatIMG31349.png

公开资料显示,Mixin是于2017年底推出的公链项目,立足于全币种支付。根据Mixin的官网显示,其ICP备案主体为费格曼(北京)科技有限公司,根据天眼查信息显示,该公司成立于2014年,公司法人为冯晓东,现股东为冯晓东(占股94%)、李笑来(占股5%)、铁岭(占股1%)。此前,罗永浩也曾持有该公司股份。而费格曼的全资子公司为无花果大冒险(北京)科技有限公司,该公司李笑来也为股东。该公司公开信息显示是一家致力于移动互联网领域提供无缝的领先视频服务的公司。

2019年12月,Mixin曾推出“签到就送比特币”活动,按照活动规则,一年签到可以获得0.0679个比特币,以当时的价格来算,若用户坚持十年,便可以获得价值30万元的比特币,这也为其吸引了大量活跃用户。然而,签到活动不久后官方开始不断修改规则,包括邀请新用户、答题甚至充钱等才可参与,这也引起了大量投资者的不满。

链上安全无小事

无独有偶,9月25日,加密货币平台HTX也遭受攻击,损失约800万美元。被黑消息传出后,HTX全球顾问委员会委员孙宇晨在晚间也迅速对此回应称,HTX已全额承担此次攻击造成的损失,并成功解决了所有相关问题。所有用户资产均是安全的,平台运行完全正常。

据了解,为了鼓励黑客归还被盗资金,HTX已通过链上讯息向黑客传讯,愿意提供被盗金额的5%作为白帽奖励,并将聘请其作为HTX的安全白帽顾问。不过也警告称,如果7天内被盗资金没有被返还,则会将信息转交给执法部门以采取进一步行动并起诉黑客。

孙宇晨还补充称,与HTX用户持有的30亿美元资产相比,800万美元是一个很小的数字,仅相当于HTX平台两周的收入。暗示哪怕资产无法追回,也会全额赔付给投资者。

除Mixin和HTX外,近期加密交易平台CoinEx也遭受了黑客攻击,损失金额约5400万美元。9月14日,加密货币交易平台CoinEx发布黑客攻击事件更新称,目前初步确定,事件原因是热钱包私钥泄露,调查处理工作正在有序进行,CoinEx冷钱包中的资产并未受到此事件的影响。CoinEx表示,正努力重建钱包系统,将在确保资产安全后逐步恢复存款和取款服务。此外,CoinEx称将全额赔付因黑客事件受影响各方损失。

对比HTX平台和CoinEx平台100%的赔付与Mixin平台50%赔付的不同方案,Mixin投资者的不满情绪溢于言表,有投资者表示,“项目方不着急找黑客,直接赔付50%,怎么看都是监守自盗。”

尽管Mixin被盗事件是否为项目方自导自演尚无定论,但近期频发的链上安全事件不得不引起业内的重视。对此,UWEB校长、香港区块链协会荣誉主席于佳宁向《华夏时报》记者表示,加密资产项目频繁发生被盗等安全事件,是由于加密资产和相关项目通常基于开放源代码开发,这使得黑客能更容易找到系统的潜在漏洞。且加密行业的匿名性和去中心化特性,为黑客提供了便利,他们可以更轻易地掩藏身份,逃避法律制裁。加上目前全球对加密资产的监管尚未形成统一标准,这无疑为非法行为开辟了更多可能性。

于佳宁表示,虽然区块链技术本身具有一定的安全性,但在现实运用中,许多安全性问题源自区块链和加密生态系统中的各种参与者,包括交易所、钱包服务提供商、智能合约开发者以及其他相关服务等,而非区块链技术本身。在很多情况下,黑客攻击成功的原因并非区块链技术的弱点,而是这些参与者的安全漏洞。

“链上安全事件对项目和用户都有着严重影响。”财经评论员张雪峰向《华夏时报》记者表示,对项目而言,黑客攻击可能导致资产遗失、系统瘫痪、信誉受损等问题,给项目发展带来重大阻碍。对用户而言,黑客攻击可能导致资产损失、个人信息泄露等问题,对用户的财产和隐私产生严重威胁。而为了避免攻击,项目方应该加强网络安全性,建立多层次的防御机制,同时定期检查和更新安全措施。用户方面,应该保持谨慎,设置复杂的密码,使用双重认证等安全措施来保护自己的资产和个人信息。

责任编辑:徐芸茜 主编:公培佳