jakiro
作者:rekt.news,編譯:0xjs@比特鏈視界
7 月 2 日,由於 PyPi 包管理器受到攻擊,Bittensor 的區塊鏈被黑客粗暴地攻擊,損失 800 萬美元。
當驗證者在他們的節點上冥想時,攻擊者以比你說「om」更快的速度悄悄地耗盡了他們的錢包。
TAO 直接轉向黑客的錢包,大約 32,000 個TAO代幣經歷了未經授權的轉移。
Bittensor 團隊迅速對此情況做出反應,立即停止所有網絡操作,採取果斷行動解決當前問題。
網絡進入「安全模式」,允許生成區塊但阻止處理任何交易。
採取這一措施是為了在進行徹底調查的同時防止進一步的損失並保護用戶。
該事件導致 TAO 代幣價值迅速下跌 15%,表明在區塊鏈中就像在生活中一樣,一切都在流動……包括市值。
根據 Bittensor 的 Telegram 消息,用戶和質押者都安然無恙。只有部分驗證者、子網和礦工的所有者被盜走了資金。
準備好解開這個巨大謎團了嗎?
Bittensor被攻擊事件調查
信息來源:Bittensor、ZachXBT
Bittensor最初在其 Discord 上宣布他們的一些錢包遭到了攻擊,並表示他們正在調查,並且已出於預防措施停止了所有鏈上交易。
對 Bittensor 區塊鏈的攻擊就像一連串練習過的氣功一樣精準。
在短短的 3 小時內,攻擊者成功入侵了多個高價值錢包,盜走了大約 32,000 個 TAO 代幣。
當 Bittensor 團隊緊急響應時,加密社區最喜歡的鏈上偵探已經介入調查。
盜竊發生後不久, ZachXBT 確定了竊取資金的地址:5FbWTraF7jfBe5EvCmSThum85htcrEsCzwuFjG3PukTUQYot
Zach一直是一名加密貨幣偵探,他可能將此與6月1日的一起事件聯繫起來,當時一名 TAO 持有者被盜了超過28000個TAO,盜竊時價值 1120 萬美元。
攻擊發生的第二天,Opentensor 基金會 (OTF)公布了他們的事後分析, 揭示了 攻擊的根本原因是 PyPi 包管理器受到攻擊 。
以下是這場數字垃圾桶大火的演變過程:
-
一個惡意包偽裝成合法的 Bittensor 包,潛入 PyPi 版本 6.12.2。
-
該特洛伊木馬包含旨在竊取未加密的冷密鑰詳細信息的代碼。
-
當毫無戒心的用戶下載此包並解密他們的冷密鑰時,解密的字節碼會被發送到攻擊者控制的遠程伺服器。
該漏洞影響在 5 月 22 日至 5 月 29 日期間下載 Bittensor PyPi 包或使用 Bittensor==6.12.2,然後執行質押、取消質押、轉移、委託或取消委託等操作的用戶。
為了應對此次攻擊,Bittensor 團隊迅速將鏈置於「安全模式」,暫停所有交易,同時繼續生成區塊。
這一迅速行動可能避免了進一步的損失,但也凸顯了該團隊對所謂的去中心化網絡保持的中心控制。
OTF 已立即採取措施減輕損失:
-
從 PyPi 包管理器存儲庫中刪除了惡意 6.12.2 包。
-
對 Github 上的 Subtensor 和 Bittensor 代碼進行了徹底審查。
-
與交易所合作追蹤攻擊者並儘可能挽救資金。
展望未來,OTF 承諾將加強包裹驗證、增加外部審計頻率、提高安全標準並加強監控。
OTF 表示,該事件並未影響區塊鏈或 Subtensor 代碼,底層 Bittensor 協議仍然未受損害且安全。
他們還與多家交易所合作,向他們提供攻擊的詳細信息,以便追蹤攻擊者並儘可能地挽救資金。
隨著塵埃落定,社區開始思考這個惡意軟體是如何突破 PyPi 的防禦的,以及這次攻擊是否與 6 月 1 日的盜竊案有關。
在 Bittensor 的世界裡,通往覺醒的道路似乎是由一些被盜的空錢包鋪成的。
有何啟示
Bittensor黑客攻擊暴露了加密生態系統的一個嚴重漏洞,即對第三方包管理器的依賴。
雖然區塊鏈協議本身可能是安全的,但開發人員用來與它們交互的工具可能會成為意外的故障點。
這一事件引發了人們對 PyPi 以及加密社區所依賴的其他軟體包存儲庫的安全實踐的質疑。
其與 6 月 1 日盜竊案的時間和相似性不容忽視。
這些是孤立事件,還是有針對 Bittensor 和類似項目的更廣泛的活動?
當 OTF 與交易所合作追蹤被盜資金時,社區屏息關注,希望能夠實現在這種黑客攻擊之後重新拿回代幣,雖然很少能成功拿回被盜資金。
Bittensor迅速採取行動停止網絡,表明「 去中心化」項目中中心化控制的雙刃劍性質。
雖然它可能防止了進一步的損失,但也凸顯了該系統的脆弱性。
在加密之道中,唯一不變的就是變化,偶爾,800 萬美元也會消失。
當 Bittensor 反思其安全實踐時,他們是否會找到真正的區塊鏈啟迪,還是註定要在通往更完美協議的道路上繼續鋪設這些昂貴的墊腳石?
