先回答昨晚读者留言说的比较多的一件事,都很惊讶我说区块链的朝鲜黑客世界出名,因为在大家的印象里朝鲜不但没有互联网,朝鲜人民连电脑都没有。
普通老百姓确实接触不到这些东西,但朝鲜一直有培养专业黑客为特殊机构服务,我查了一下数据,这个国家一年进出口贸易额也就20亿美元左右(主要是对华),黑客每得手一次对朝鲜都是巨大的增益。另外他们还有一个全球独特的优势,别的黑客偷到钱后要想尽办法的洗钱,躲避追踪,生怕被美帝通缉抓捕,但朝鲜黑客不怕这个。
通常币圈被黑客攻击后是有一个谈判的潜规则,就是协商退90%钱,黑客留下10%,黑帽变白帽,这钱就洗白合法了。按照这个潜规则谈判成功的案例很多,但大家都知道朝鲜黑客,从不谈判,钱被黑走就100%有去无回。
看到这我估计还是会有一些读者纳闷,朝鲜it水平这么落后,为什么可以培养出厉害的黑客?其实他们倒也不是能力有多高超,朝鲜黑客大都是走社会工程学攻击的路子,而非靠硬实力破解。
什么是社会工程学呢?我举几个例子,前几年有个项目叫axieinfinity,被朝鲜黑客一把偷走6.2亿美元。
他们攻击的方式就是在网络上开了个虚假的皮包公司,然后钓鱼axieinfinity项目工程师,许诺他一份很高的薪水,对他进行网络面试,然后发了一个自称和应聘有关的PDF文件,那个呆子工程师接收并打开,隐藏的恶意程序就顺利进入了axieinfinity系统。
还有上个星期有个叫blast的项目被朝鲜黑客偷了6000万美元,查了一下原来是工程师队伍里有个朝鲜卧底,之前应聘时假装是韩裔侨民,卧底一年多,在写代码的时候悄悄藏了漏洞。
get到了吗,这就是社会工程学,不是直接攻击程序代码,而是利用人的弱点来进行攻击,毕竟代码都是人写的。
……
另外昨天文末留了个尾巴,很多读者强烈要求我讲3分钟赚1个亿的事情,okok,咱们继续。
事情的起因是有一个叫做ankr的项目被黑客破解了(后来项目方调查说是某个离职的前员工),黑客无限增发了项目方发行的币,增发了几十万亿个,然后到市场上进行抛售。原本价格200多美元,一瞬间给砸到了无限接近于零。
毕竟几十万亿个,谁接的动啊,当时市场上一共就500万美元左右的流动性,直接被黑客掏空。
币价瞬间暴跌99.999….999%,自然会引起全市场的关注,一下子很多人都凑过来看热闹,包括我。
但是有一个机灵鬼反应快,嗅到了这其中的机遇,他花了1000美元在市场上购买已经归零的ankr币,买完后立刻去一个叫helio的协议进行抵押,因为事发突然,helio那边对ankr的报价还没有及时更新,就他抵押进去的这巨量已经归零的废币,竟然让他申请出了1500万美元的贷款。
很快就有人也和他想到了一块,也照着这条路径去薅helio的羊毛,等到helio紧急关停借贷功能的时候,2000万美元的流动性差不多被哄抢完了。
第一个下手最快的3分钟就用1000美元换了1500万美元,一个小目标达成,这孙子挣的比黑客还多2倍,当时消息传出来的时候把多少人看的眼都红了。
不过这人之后弄出一个迷之操作,他把这1500美元从链上转入了币安交易所账户,然后立刻就被币安以不当得利给公告冻结了。
啊?
正确的操作应该是立刻把这1500万美元跨到以太链,换成大饼或者二饼,然后天王老子也奈何不了你,届时想洗或者想谈都可以。直接转到币安就成了砧板上的鱼肉,可能是这哥们觉得自己不是黑客,1500万美元是自己凭本事捡漏来的,是合法收入。
但你怎么想不重要,重要的是掌握权力的机构是怎么想的。
这1500万美元后续我没看到咋处理的,可能全额没收,或者给个5-10%奖励剩下的退款,不会再多了。
ankr事后对损失的各方进行了赔偿,总额接近2000万美元,helio可能是追回了大部分坏账,也逐渐恢复经营。
其实事后复盘,我觉得跟在那个1500万美元后面哄抢的人是真的赚到了,他们只抢到小头,可能就几十万、十几万美元,但人员分散目标小,抢到就赚到了。
……
看了这两天的故事,很多读者觉得链上简直无法无天,黑客偷钱也没人管,太混乱了。其实公链的大环境是公平的,协议代码都是透明公开,黑客大都是凭本事攻击,你如果有本事你也可以上。
链上不平衡的是技术和智力,现实中不平衡的是钱和权,无论在哪里人和人总是不会绝对平衡的。
关键看你更习惯哪一种规则。
原文始发于微信公众号(猫笔刀):3分钟和1个亿