多名歐義(Oxygen)Web3錢(qián)包用戶爆料稱,自己的錢(qián)包資產(chǎn)在未授權(quán)的情況下被惡意轉(zhuǎn)走,涉及的加密貨幣包括以太坊、USDT等,部分用戶損失高達(dá)數(shù)十萬(wàn)元,這一事件迅速在Web3社區(qū)引發(fā)關(guān)注,也讓本就充滿爭(zhēng)議的Web3錢(qián)包安全問(wèn)題再次成為焦點(diǎn)。

事件回顧:睡夢(mèng)中資產(chǎn)“蒸發(fā)”,用戶直呼“無(wú)法理解”

據(jù)受害者描述,他們的歐義Web3錢(qián)包在未進(jìn)行任何操作的情況下,突然出現(xiàn)大額資產(chǎn)轉(zhuǎn)出記錄,轉(zhuǎn)賬地址多為多個(gè)陌生錢(qián)包,且資金被迅速拆分轉(zhuǎn)移,給追回帶來(lái)極大難度。
“我早上醒來(lái)打開(kāi)錢(qián)包,發(fā)現(xiàn)里面價(jià)值20萬(wàn)的ETH全沒(méi)了,只留下一筆0.1 ETH的轉(zhuǎn)賬費(fèi)?!币晃挥脩粼谏缃幻襟w上無(wú)奈表示,自己的手機(jī)并未丟失,也沒(méi)有點(diǎn)擊任何可疑鏈接,卻依然遭遇了“洗劫”。
另有用戶反映,自己的錢(qián)包在開(kāi)啟“雙重驗(yàn)證”的情況下仍被攻破,這讓不少對(duì)Web3錢(qián)包安全性抱有信任感的用戶開(kāi)始感到恐慌。

資產(chǎn)被盜背后:Web3錢(qián)包的“安全阿喀琉斯之踵”

Web3錢(qián)包(如MetaMask、Trust Wallet等)作為用戶與區(qū)塊鏈交互的核心工具,其安全性直接關(guān)系到數(shù)字資產(chǎn)的安全,此次歐義錢(qián)包資產(chǎn)被盜事件,暴露出當(dāng)前Web3生態(tài)中普遍存在的安全隱患:

  1. 私鑰與助記詞管理漏洞
    Web3錢(qián)包的核心是“去中心化”,用戶通過(guò)私鑰或助記詞掌控資產(chǎn)所有權(quán),但也意味著一旦私鑰泄露,資產(chǎn)將面臨永久丟失風(fēng)險(xiǎn),此次事件中,不排除部分用戶因助記詞被釣魚(yú)、惡意軟件竊取或設(shè)備感染病毒導(dǎo)致私鑰泄露。

  2. 錢(qián)包應(yīng)用本身的安全缺陷
    除了用戶端的安全問(wèn)題,錢(qián)包應(yīng)用本身可能存在代碼漏洞或后門(mén)風(fēng)險(xiǎn),有技術(shù)分析指出,歐義錢(qián)包此前曾因智能合約漏洞被預(yù)警,若未及時(shí)修復(fù),可能被黑客利用直接盜轉(zhuǎn)資產(chǎn)。

  3. 跨鏈橋與DeFi協(xié)議交互風(fēng)險(xiǎn)
    許多用戶通過(guò)Web3錢(qián)包參與跨鏈轉(zhuǎn)賬或DeFi(去中心化金融)操作,而復(fù)雜的交互過(guò)程往往成為黑客攻擊的“重災(zāi)區(qū)”,惡意鏈接誘導(dǎo)用戶簽名惡意交易,或通過(guò)“假扮” legitimate 項(xiàng)目騙取用戶授權(quán)。

  4. 社會(huì)工程學(xué)與釣魚(yú)攻擊泛濫隨機(jī)配圖