老師,我的錢包被盜了!

7月上旬,我的夥伴帶來了一個不幸的消息:她的 Web3 錢包被不明人士盜用。幸運的是,她遵循比例配置原則,在各中心化交易所與去中心化錢包都只配置一定比例,因此損失的金額對她來說不算多。

得知消息後,我們立即檢查了自己的錢包授權協議,並將資產轉移到 MPC 錢包(無私鑰錢包)。本篇我們使用 Debank 來看看,駭客是如何挪用苦主的資產(該錢包已不再使用)。

為什麼有了Metasleuth 還要用 DeBank?

過去,我們學習過如何使用 Metasleuth 觀察駭客行蹤。而 Debank 可以當作錢包瀏覽器,看到各資產的類別(包括幣與 NFT)、轉帳記錄,並且提供社交功能。使用者還可以在 Debank 貼文,甚至還能獲取徽章,有點像匿名的幣圈交友網站。

延伸閱讀:《幣圈轉帳瞬間就被騙?1分鐘用Metasleuth追鏈上金流》

事情是怎麼發生的?如何使用 DeBank 來追蹤駭客軌跡?

當我們透過 DeFi 協議質押加密貨幣資產時,協議會發行一個代幣型態的「借據」。持有這個代幣,就能向該協議取回加密貨幣資產。以 USDe 為例,USDe 是穩定幣,質押後的 sUSDe 本質上就是這個借據。

由於攻擊事件發生在半夜,且攻擊目標是 Web3 錢包,以現階段的技術,如果被盜當下沒有迅速反應,後續不太可能追回資產,駭客很可能透過混幣器把資產洗走。

收到消息後,我立即通呼籲其他同學檢查 Web3 錢包中未使用的授權協議。根據我的推測,可能的被盜原因有兩個。

可能 1:私鑰 / 註記詞洩露

加密貨幣錢包最大的風險在於私鑰或註記詞的洩露,且發生此類風險的機率較高。

許多幣友不建議將私鑰或註記詞存儲在網絡上,因此有些人會選擇手寫紀錄,後來卻找不到,導致洩露或遺失的可能性增加。另外,將私鑰或註記詞存入電腦或手機,也有被駭的風險。

可能 2:連結到不安全的 DApp

Web3 錢包中的許多收益項目需要透過 DApp 授權特定協議才能使用,例如 Ethena、Pendle、Beefy 等等。有可能我們不小心授權了不安全的協議,而該協議存在安全漏洞,導致駭客趁虛而入

。區塊鏈領域專業門檻高且技術日新月異,即使是大型 DeFi 協議如 Lido 過去也曾存在安全漏洞,幣安創辦人 CZ 也曾誤判 UniSwap 的安全性。因此,分散資產在不同平台上是最安全的選擇。

如何使用 DeBank 來追蹤駭客軌跡?

DeBank 是一個揭露加密貨幣錢包資產的資料庫,只需輸入錢包地址,就能查看錢包中的所有資訊。

在輸入錢包地址後,DeBank 預設頁面為「Portfolio」,我們可以在這裡看到該錢包的剩餘資產。下圖顯示的是被攻擊過且多數資產已搬走的狀態。

接著,點擊「Transactions」頁面,可以查看該錢包的所有交易記錄。右側的篩選器可以顯示特定區塊鏈上的金流記錄。

我們下拉到事件發生的 7 月 12 日半夜,能看到一個尾端為 4a14 的錢包竊取夥伴資產的記錄。

DeBank 顯示第一筆竊取發生在 7 月 12 日的 00:11:14,偷走了價值 412 美元的 TUSD,距離第三筆價值 4,947 美元的 PT-USDe 最大竊取記錄相隔了 1 分鐘 33 秒。這段記錄揭露了兩件事:

  1. 駭客對 DeFi 操作相當熟悉,手速很快。
  2. 我們有 93 秒的反應時間。

為何第一筆竊取不是偷最大的 USDe,而是偷價值較低的 TUSD?這有可能是駭客的一個低級錯誤,也可能是測試使用,總之這給了我們 93 秒來挽救資產。假設運氣好,我們在收到資產異動通知時跟駭客比手速,或許還有一絲機會。

後續用 Metasleuth 追蹤駭客使用的 4a14 錢包,顯示這是一起有計畫、有系統的竊取事件,受害者不只我的夥伴,還有許多其他人。這裡就不贅述了。比較重要的是如何進一步保護我們的資產,例如使用 MPC 錢包。

什麼是 MPC 錢包?

除了遵循比例配置外,我們還可以改用 MPC 錢包(無私鑰錢包)來儲放加密資產。MPC 錢包常被翻譯為「無私鑰錢包」,實際上並不是完全沒有私鑰,而是將私鑰打散,分散到不同的地方儲存。

MPC 的全名是 Multi-Party Computation,意為「多方計算」,其核心概念是使用多方計算方式運作與保管資產的加密貨幣錢包。

MPC 錢包將私鑰分成三塊,分別存放在「交易所」、「個人行動裝置」和「雲端空間」,必須三者中的任意兩者登入才能使用。這種分散私鑰的安全機制有以下優點:

  1. 解決儲存私鑰或註記詞的困擾,避免遺失風險。
  2. 除非駭客掌握三者中的任意兩者的登入資訊,否則難以駭進我們的 MPC 錢包。

MPC 錢包能降低「單點風險」,即一個地方出紕漏,也不會造成整個資產暴露於風險中的狀況。

延伸閱讀:《OKX/幣安的Web3錢包安全嗎?私鑰、助記詞、雲端備份全分析》

總結

被駭這件事確實令人沮喪,但我們也藉此機會學習了使用 DeBank 資料庫,以及加深了對 MPC 錢包的理解。鑑於技術限制和層出不窮的詐騙與駭客,我們只能透過資產配置來減少未來不可預測的風險。

延伸閱讀:《系統性風險也能管理?看有錢人怎麼買台積電》

不滿意投資績效?

歡迎訂閱電子報!

每周調整投資觀點,盡早財務自由!

We don’t spam! Read our privacy policy for more info.

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *