一文了解Web3.0數(shù)據(jù)泄露事件分類(lèi)及保護(hù)措施

時(shí)間：2023-05-18|瀏覽：229

當(dāng)今社會(huì)，我們無(wú)論工作還是生活，網(wǎng)絡(luò)早已離不開(kāi)人們的生活?？梢圆粠?a title='注冊(cè)數(shù)字錢(qián)包' target='_blank' class='f_b'>錢(qián)包，但是一定要帶手機(jī)出門(mén)，付款方式?jīng)]有了實(shí)體卡片，就連街邊乞討也開(kāi)始用網(wǎng)絡(luò)進(jìn)行二維碼轉(zhuǎn)賬收款。

不難想到，個(gè)人、企業(yè)、組織及其客戶目前面臨的大部分威脅，其實(shí)都來(lái)源于網(wǎng)絡(luò)漏洞和攻擊。而如今人們關(guān)注的數(shù)據(jù)隱私，個(gè)人隱私，也變得極為重要。而每年因漏洞導(dǎo)致的敏感數(shù)據(jù)丟失等案例也數(shù)不勝數(shù)。

在 Web3.0 歷史上發(fā)生過(guò)無(wú)數(shù)次重大安全事件，從中心化交易所私鑰丟失到投資者個(gè)人數(shù)據(jù)的失竊。而這些數(shù)據(jù)可能會(huì)在線上黑客論壇和暗網(wǎng)市場(chǎng)中存在多年，也就意味著數(shù)據(jù)泄露會(huì)讓那些受影響的用戶長(zhǎng)期處于風(fēng)險(xiǎn)之中。

CertiK 分析研究了74 起在中心化 Web3.0 實(shí)體中發(fā)生的安全事件。其中23 起事件導(dǎo)致了長(zhǎng)期的數(shù)據(jù)丟失高風(fēng)險(xiǎn)，而在這 23 起時(shí)間中，有 10 個(gè)數(shù)據(jù)包被發(fā)現(xiàn)仍可于暗網(wǎng)論壇上購(gòu)買(mǎi)。

針對(duì)黑客論壇的一系列執(zhí)法活動(dòng)可以讓某些數(shù)據(jù)不會(huì)被提取出來(lái)，但是這樣的措施畢竟只是治標(biāo)不治本。

本文即將帶你了解：Web3.0 數(shù)據(jù)泄露事件的分類(lèi)，以及為了保護(hù)自己的數(shù)據(jù)安全，我們應(yīng)該采取何種措施。

背景

黑客攻擊、漏洞利用、勒索軟件以及所有網(wǎng)絡(luò)安全威脅的規(guī)模和嚴(yán)重程度都在不斷增加。Web3.0 生態(tài)系統(tǒng)的獨(dú)特之處在于它為惡意行為者提供了其他技術(shù)所沒(méi)有的各種攻擊媒介，包括智能合約中的漏洞和新型的網(wǎng)絡(luò)釣魚(yú)技術(shù)。

然而，Web3.0 安全事件的故事與其他行業(yè)的情況密切相關(guān)。非 Web3.0 領(lǐng)域會(huì)遺漏中心化項(xiàng)目和公司也未能解決的同類(lèi)型安全漏洞。

我們希望仔細(xì)研究針對(duì) Web3.0 目標(biāo)的網(wǎng)絡(luò)安全事件歷史，并評(píng)估過(guò)去的事件是否對(duì)當(dāng)今的社區(qū)成員構(gòu)成持續(xù)風(fēng)險(xiǎn)。

要做到這一點(diǎn)，需要細(xì)致分析本報(bào)告中的安全事件與利用智能合約協(xié)議導(dǎo)致的漏洞有何不同。

我們研究了 2011 年以來(lái)針對(duì) Web3.0 公司的許多事件，大致可以將它們分為兩類(lèi)：

協(xié)議惡意利用：利用智能合約代碼獲取經(jīng)濟(jì)利益的事件
漏洞：攻擊者破壞目標(biāo)組織的內(nèi)部網(wǎng)絡(luò)，并使用獲得的權(quán)限來(lái)竊取公司數(shù)據(jù)或資金的事件

就近期和長(zhǎng)期風(fēng)險(xiǎn)而言，這兩個(gè)類(lèi)別之間有幾個(gè)重要的區(qū)別。

協(xié)議惡意利用發(fā)生在一個(gè)確定的時(shí)間范圍內(nèi)，從攻擊者執(zhí)行利用開(kāi)始，到他們耗盡所有可用資金、耗盡 gas 或?qū)е履繕?biāo)項(xiàng)目終止時(shí)結(jié)束。其中一些事件可能會(huì)持續(xù)數(shù)小時(shí)或數(shù)天，事件后的談判會(huì)進(jìn)一步延長(zhǎng)這個(gè)時(shí)間段，也有項(xiàng)目隨后立即關(guān)閉的情況。然而，關(guān)鍵是這些攻擊具備明確的開(kāi)始節(jié)點(diǎn)與結(jié)束節(jié)點(diǎn)。

相比之下，漏洞類(lèi)算得上是持續(xù)型事件（攻擊者獲得網(wǎng)絡(luò)訪問(wèn)權(quán)并在那里保持「長(zhǎng)期蹲守」的狀態(tài)）。漏洞的定義通常是數(shù)據(jù)的泄漏，這些數(shù)據(jù)被用于攻擊利用或隨后在暗網(wǎng)或在線論壇上出售。

網(wǎng)絡(luò)漏洞也可能導(dǎo)致嚴(yán)重的資金損失。大多數(shù) Web3.0 組織都是金融實(shí)體，其資金流動(dòng)量非常大，這自然而然讓他們成為了黑客的目標(biāo)。

數(shù)據(jù)泄露可能具備巨大的破壞性，且風(fēng)險(xiǎn)可持續(xù)多年——尤其是在泄露期間丟失個(gè)人身份信息 (PII) 的情況下。

考慮到這一點(diǎn)，我們收集了 74 個(gè)過(guò)去的事件樣本，我們將其歸類(lèi)為對(duì)社區(qū)成員構(gòu)成持續(xù)風(fēng)險(xiǎn)的違規(guī)事件（僅包括公司內(nèi)部網(wǎng)絡(luò)遭到破壞的事件，不包括有關(guān)協(xié)議利用的數(shù)據(jù)）。

我們認(rèn)為有必要區(qū)分敏感數(shù)據(jù)丟失的事件和僅發(fā)生資金損失的事件。為了更好地評(píng)估這些違規(guī)事件的持續(xù)風(fēng)險(xiǎn)，我們將重點(diǎn)介紹其數(shù)據(jù)仍可在暗網(wǎng)或明網(wǎng)的其他區(qū)域出售或免費(fèi)獲取的違規(guī)事件，并對(duì)這些平臺(tái)的可訪問(wèn)性發(fā)表看法。

數(shù)據(jù)泄露與資金丟失

為了評(píng)估與這些事件相關(guān)的持續(xù)風(fēng)險(xiǎn)，我們將它們分為以下定義的事件：

理論上可檢索的數(shù)據(jù)丟失事件，包括 PII 和內(nèi)部數(shù)據(jù)庫(kù)等。
資金或數(shù)據(jù)丟失且數(shù)據(jù)無(wú)法再檢索的事件。

第二類(lèi)無(wú)法檢索的數(shù)據(jù)丟失事件主要由僅導(dǎo)致資金或私鑰丟失的違規(guī)事件構(gòu)成。在這種情況下，損失的資金通常無(wú)法被追回。

異常事件包括那些被盜數(shù)據(jù)從未被放出來(lái)、被歸還或被用于其他目的的事件。例如，2020 年 6 月日本中心化交易所Coincheck被攻擊，200 多名客戶的 PII 落入攻擊者手中。攻擊者破壞了 Coincheck 的網(wǎng)絡(luò)，然后通過(guò)公司內(nèi)部電子郵件地址發(fā)送網(wǎng)絡(luò)釣魚(yú)電子郵件，要求客戶提供 PII。但該起事件中并沒(méi)有特定的數(shù)據(jù)庫(kù)丟失，丟失的數(shù)據(jù)也只是回復(fù)這些郵件的客戶的數(shù)據(jù)。

在 2020 年 6 月的另一起事件中，加拿大中心化交易所 Coinsquare 也經(jīng)歷了一次漏洞攻擊，泄露和丟失的數(shù)據(jù)涉及 5000 個(gè)電子郵件地址、電話號(hào)碼和家庭地址。

攻擊者在 Coinsquare 之間來(lái)回「橫跳」后表示他們將在 SIM 卡交換攻擊中使用這些數(shù)據(jù)，但不會(huì)試圖把它們出售，以便「放長(zhǎng)線釣大魚(yú)」。這種類(lèi)型的事件也被歸類(lèi)為第二類(lèi)無(wú)法挽回的事件。

在我們確定的 74 起事件中，其中 23 起可被歸類(lèi)為數(shù)據(jù)可檢索事件，大約占 31%。剩下的 51 起事件要么是上文描述的異常事件，要么是那些僅遭受資金損失的事件。

圖表：2011 年至 2023 年間發(fā)生的事件中，可檢索的數(shù)據(jù)與不可檢索的數(shù)據(jù)（來(lái)源：CertiK）

我們可以看到幾點(diǎn)：

① 2019 年后高度可能被檢索到或恢復(fù)的數(shù)據(jù)事件顯著增加。這與疫情期間各行業(yè)黑客攻擊和數(shù)據(jù)泄露事件的增加成正比關(guān)系。

② 在此期間政府援助增長(zhǎng)，其中的一些注入了 Web3.0 生態(tài)系統(tǒng)，再加上 2021 年的牛市，可能為攻擊者提供了更多的勒索軟件和數(shù)據(jù)銷(xiāo)售機(jī)會(huì)。

被盜的數(shù)據(jù)都去了哪里？

暗網(wǎng)及 Telegram

丟失的數(shù)據(jù)通常最終會(huì)被出售或轉(zhuǎn)存到暗網(wǎng)（.onion 網(wǎng)站）或 clear net 上。如果數(shù)據(jù)被推測(cè)具有一定的經(jīng)濟(jì)價(jià)值（PII 和其他用于欺詐的數(shù)據(jù)），那么它將高頻出現(xiàn)在暗網(wǎng)市場(chǎng)甚至是 Telegram 頻道中。如果攻擊者要求（勒索軟件）未被滿足，數(shù)據(jù)即會(huì)被丟棄在 paste sites 或黑客論壇中。

數(shù)據(jù)的最終去向決定了它對(duì)其原始所有者構(gòu)成的長(zhǎng)期風(fēng)險(xiǎn)。

相比于只能在暗網(wǎng)上被購(gòu)買(mǎi)的數(shù)據(jù)，以極低的成本或零成本轉(zhuǎn)儲(chǔ)到黑客論壇上的數(shù)據(jù)其泄露的風(fēng)險(xiǎn)會(huì)更高。

此類(lèi)網(wǎng)站的持續(xù)可訪問(wèn)性也會(huì)「助力」受害者數(shù)據(jù)泄露的長(zhǎng)期風(fēng)險(xiǎn)。下文中，我們將更深入地研究這些場(chǎng)所中發(fā)現(xiàn)的 Web3.0 數(shù)據(jù)銷(xiāo)售情況。

在線論壇

多年來(lái)，在線黑客論壇層出不窮。考慮到 2019 年后可檢索數(shù)據(jù)事件的增長(zhǎng)，在這種情況下只有少數(shù)幾個(gè)論壇值得被當(dāng)作案例分析。這些論壇包括 Raid 論壇、Breach 論壇和 Dread 論壇。

多個(gè)違規(guī)事件選擇將 Raid 論壇作為傾銷(xiāo)和出售違規(guī)數(shù)據(jù)的首選論壇之一。Raid 論壇始于 2015 年，多年來(lái)一直在 clear net 上運(yùn)行。然而在 2022 年，Raid 論壇的域名被美國(guó)執(zhí)法部門(mén)與歐洲刑警組織合作查封。

圖片：美國(guó)和歐洲執(zhí)法部門(mén)在 Raid 論壇網(wǎng)站上撤下通知

Dread 論壇成立于 2015 年，似乎一直活躍到 2022 年底，不過(guò)社交媒體上有許多跡象表明該論壇目前可能也已倒閉。我們嘗試訪問(wèn)該論壇的暗網(wǎng) (.onion) 和 IP2 版本，但這些似乎也已關(guān)停。

在 Raid 論壇關(guān)閉后，Breach 論壇立即上線了。

對(duì)于那些因 Raid 論壇關(guān)閉而「流離失所」的用戶來(lái)說(shuō)，Breach 論壇為他們提供了一個(gè)合理的落腳處。

它和 Raid 論壇具備類(lèi)似的界面、會(huì)員聲譽(yù)評(píng)分系統(tǒng)和極高的活躍度，用戶達(dá)到 Raid 論壇原始用戶群的 60%（約 55 萬(wàn)名用戶）。僅僅一年后的 2023 年 3 月，F(xiàn)BI 逮捕了經(jīng)營(yíng) Breach 論壇的 Conor Brian Fitzpatrick，在內(nèi)部發(fā)生了一波關(guān)于重新部署網(wǎng)站的鬧劇之后，該網(wǎng)站倒閉。

Breach 論壇倒閉后不到一周，又出現(xiàn)了另一個(gè)替代者，該論壇據(jù)稱是由一個(gè)自稱是前匿名黑客的 Pirata（@_pirate18）運(yùn)營(yíng)。但它只有 161 名成員，意味著這次的替代者沒(méi)能吸收到那些論壇老玩家。

在這次的斷檔期里（3 月的最后幾周）中冒出了許多其他論壇。其中一些作為典型違規(guī)論壇被取締，所以可以合理推測(cè)剩下的也許是執(zhí)法部門(mén)偽裝的。

圖片：Breach 論壇關(guān)閉后的 VX-Underground 論壇列表（資料來(lái)源：推特）

我們只能確認(rèn)其中一個(gè)論壇上存在一些 Web3.0 數(shù)據(jù)。

據(jù)報(bào)道，ARES 論壇吸納了其他被關(guān)閉的論壇的一些活動(dòng)，但不清楚具體數(shù)量。該論壇據(jù)稱與勒索軟件團(tuán)體和其他惡意行為者有關(guān)聯(lián)，還運(yùn)行著一個(gè)公開(kāi) Telegram 頻道，該頻道在其鎖定的 VIP 銷(xiāo)售頻道中宣傳過(guò)數(shù)據(jù)的銷(xiāo)售。該頻道于 3 月 6 日上線，投放了數(shù)百個(gè)廣告（包括兩個(gè)與中心化交易所相關(guān)的數(shù)據(jù)庫(kù)的帖子）。

圖片：ARES 論壇的 Telegram 中心化交換數(shù)據(jù)頻道廣告（資料來(lái)源：Telegram）

從整體上看，黑客和數(shù)據(jù)轉(zhuǎn)儲(chǔ)論壇社區(qū)目前功能比較混亂。傳統(tǒng)論壇沒(méi)有明確的替代者，而且國(guó)際執(zhí)法機(jī)構(gòu)也加大了對(duì)這些團(tuán)體的打擊力度，因此幾乎可以肯定的是，論壇在短期內(nèi)不會(huì)成為任何重大數(shù)據(jù)（包括 Web3.0）泄露的首選途徑。

暗網(wǎng)—.onion 網(wǎng)站上的數(shù)據(jù)泄露

長(zhǎng)期以來(lái)，暗網(wǎng)市場(chǎng)和論壇一直是人們轉(zhuǎn)儲(chǔ)或出售數(shù)據(jù)的場(chǎng)所。

這些生態(tài)系統(tǒng)也面臨著執(zhí)法部門(mén)的打擊，盡管這些打擊更多的是針對(duì)那些促進(jìn)毒品銷(xiāo)售的市場(chǎng)。也就是說(shuō)，即使在不太知名的市場(chǎng)上，數(shù)據(jù)泄露的頻率似乎也非常高，或者至少是有在被宣傳。相比于那些同樣存儲(chǔ)數(shù)據(jù)但已全面關(guān)閉的在線論壇，這種差異現(xiàn)在顯得尤為明顯。

圖片：在暗網(wǎng)市場(chǎng)上出售的分類(lèi)賬客戶數(shù)據(jù)（資料來(lái)源：Digital Thrift Shop）

回顧一下，在我們確定的數(shù)據(jù)泄露樣本的 74 起泄露事件中，有 23 起是有一定可能性檢索到的數(shù)據(jù)。在這 23 個(gè)中，我們能夠找到 10 個(gè)活躍的數(shù)據(jù)銷(xiāo)售廣告（43%）。這類(lèi)樣本在我們之前的圖表中以綠色突出顯示：

圖表：已確認(rèn)的在暗網(wǎng)市場(chǎng)上出售的泄露數(shù)據(jù)實(shí)例以綠色突出顯示（資料來(lái)源：CertiK）

該圖表中增加的付費(fèi)數(shù)據(jù)銷(xiāo)售表明了幾件事。首先，我們無(wú)法獲取 2021 年之后發(fā)生的任何違規(guī)行為的數(shù)據(jù)來(lái)源。

基于 2022 年目標(biāo)的性質(zhì)，有一種合理的可能性——數(shù)據(jù)有可能出現(xiàn)在了一個(gè)現(xiàn)已不存在的論壇上。

然而這一點(diǎn)很難證明，特別是當(dāng)這些數(shù)據(jù)集未出現(xiàn)在任何一個(gè)可取代 Raid 和 Breached 的論壇上。其次，這些數(shù)據(jù)集也明顯沒(méi)有出現(xiàn)在任何一個(gè)我們能看到的 2019 年及之前的暗網(wǎng)市場(chǎng)中——可能是因?yàn)槲覀儷@取這些數(shù)據(jù)的市場(chǎng)非常早且鮮為人知。我們無(wú)法評(píng)估這些數(shù)據(jù)是否實(shí)際上仍然可以通過(guò)這些供應(yīng)商獲得，但這些廣告仍然存在。

這些數(shù)據(jù)泄露會(huì)帶來(lái)長(zhǎng)期風(fēng)險(xiǎn)嗎？

很難去嘗試量化長(zhǎng)期風(fēng)險(xiǎn)，但至少可以將數(shù)據(jù)丟失風(fēng)險(xiǎn)與該樣本中的非數(shù)據(jù)相關(guān)事件進(jìn)行比較。注意，我們可以把那些僅導(dǎo)致直接財(cái)務(wù)損失的違規(guī)事件的風(fēng)險(xiǎn)歸類(lèi)為較低風(fēng)險(xiǎn)，因?yàn)椋?/p>

損失是即時(shí)的，我們可以根據(jù)丟失的法定或 Web3.0 貨幣來(lái)衡量其影響

這個(gè)過(guò)程中丟失的數(shù)據(jù)都是可替的。如果發(fā)生泄露，必須更改私鑰、密碼和特權(quán)網(wǎng)絡(luò)訪問(wèn)點(diǎn)以解決問(wèn)題。

丟失敏感數(shù)據(jù)（尤其是客戶數(shù)據(jù)）的漏洞的違規(guī)事件確實(shí)會(huì)帶來(lái)更大的長(zhǎng)期風(fēng)險(xiǎn)

這些數(shù)據(jù)大多在暗網(wǎng)或明網(wǎng)出售或免費(fèi)提供，從而延長(zhǎng)了其長(zhǎng)期可用性。

客戶的個(gè)人數(shù)據(jù)點(diǎn)，即電話號(hào)碼、名字 / 姓氏、地址和交易數(shù)據(jù)很難或不可能被更改。因此即便有人因信息泄露而改變了自己的個(gè)人信息，泄露事件中涉及的其他個(gè)人的所有數(shù)據(jù)仍然存在風(fēng)險(xiǎn)。

這種違規(guī)事件的影響很難或無(wú)法衡量。根據(jù)丟失的數(shù)據(jù)，受害者可能成為多個(gè)欺詐的目標(biāo)，也可能不會(huì)成為目標(biāo)。

我們?cè)?2014 年的一次違規(guī)事件中發(fā)現(xiàn)了可供出售的數(shù)據(jù)。這個(gè)特定的數(shù)據(jù)點(diǎn)進(jìn)一步證明了衡量長(zhǎng)期風(fēng)險(xiǎn)的困難性。2014 年的黑客攻擊了現(xiàn)已倒閉的加密交易所 BTC-E，該交易所于 2017 年被美國(guó)執(zhí)法部門(mén)查封——實(shí)際上此數(shù)據(jù)丟失相關(guān)的風(fēng)險(xiǎn)遠(yuǎn)低于其他風(fēng)險(xiǎn)。

然而，需要明確的是風(fēng)險(xiǎn)仍是持續(xù)的，即這些數(shù)據(jù)可能與來(lái)自較新的違規(guī)事件的數(shù)據(jù)相匹配，從而增加了在此期間參與 Web3.0 的個(gè)人長(zhǎng)期風(fēng)險(xiǎn)。

從這個(gè)領(lǐng)域的整體來(lái)看，2019 年以后丟失的數(shù)據(jù)（尤其是那些在暗網(wǎng)市場(chǎng)上仍然容易出售的數(shù)據(jù)）極有可能構(gòu)成最高的持續(xù)長(zhǎng)期風(fēng)險(xiǎn)。從 2022 年起，受到影響的人幾乎必然面臨著他們的數(shù)據(jù)可用于欺詐活動(dòng)的重大風(fēng)險(xiǎn)（即使這些數(shù)據(jù)無(wú)法在物理層面上被找到）。盡管許多在線論壇被關(guān)閉，但我們應(yīng)該假設(shè)所有丟失的數(shù)據(jù)，尤其是最近發(fā)生的數(shù)據(jù)泄露事件，很可能在某個(gè)地方仍然可用，并且可以隨時(shí)重新出現(xiàn)。

寫(xiě)在最后

現(xiàn)實(shí)事實(shí)就是安全漏洞不可能 100% 消失。當(dāng)數(shù)據(jù)由一個(gè)集中的實(shí)體存儲(chǔ)和處理時(shí)，大多數(shù)受數(shù)據(jù)泄露影響的用戶的補(bǔ)救手段十分有限。

不過(guò)，我們可以通過(guò)限制中心化服務(wù)的使用數(shù)量來(lái)降低暴露風(fēng)險(xiǎn)，包括中心化交易所等。個(gè)人還應(yīng)盡可能使用雙因素身份驗(yàn)證，以幫助防止不需要的交易所錢(qián)包活動(dòng)，或使用 PII 來(lái)訪問(wèn)或修改賬戶詳細(xì)信息。

根據(jù)泄露的性質(zhì)，我們甚至可以考慮嘗試更改泄露事件中暴露的一些信息，例如電子郵件地址或電話號(hào)碼。

而在 Web3.0 數(shù)據(jù)泄露中，如果打算匿名操作，那么你的身份將面臨額外的泄露威脅。

人們還可以采取其他措施來(lái)保護(hù)數(shù)據(jù)和投資。比如通過(guò)將資產(chǎn)分布在自托管錢(qián)包和硬錢(qián)包中來(lái)降低投資和財(cái)務(wù)風(fēng)險(xiǎn)。

當(dāng)然，還可以通過(guò)以下方式保護(hù)數(shù)據(jù)：