Ronin 6亿美金被盗案告破?美制裁朝鲜黑客,去中心化成空谈
【GameLook专稿,未经授权不得转载!】
GameLook报道/根据路透社报道,美国财政部周四表示,“美国已将朝鲜黑客团体LAZARUS 集团与游戏Axie Infinity相关的价值6.1亿美元的加密货币盗窃案联系了起来”。时隔半个月,这桩有史以来最大的加密货币盗窃案的调查似乎已经取得了阶段性的成果。
今年3月31日,Sky Mavis旗下的区块链平台Ronin网络发布社区警报称,由于验证者私钥被黑客盗,Ronin跨链桥在3月23日被不知名黑客分两次桥接了17.36万个ETH和2550万美元的现金至自己的账户钱包中。根据当时ETH兑美元的汇率,此次盗窃案,Sky Mavis损失了6.1亿美元。
当时Ronin也在自己的官方声明中表示,将在线下与各个政府机构直接合作,以确保将罪犯绳之以法,并在声明中公开了黑客的数字货币地址。
在此之后,该地址已经分批次转移了2.6万枚以太坊,以4月15日的汇率为参考,黑客转移的以太坊价值约为7851万美元(约合5亿人民币)。
4月14日,美国外国资产控制办公室(OFAC) 对于针对朝鲜的SDN(特别指定国家和被封锁人士) 列表(也就是常说的制裁名单)进行了更新,在LAZARUS集团相关条目下,增加了此前Ronin官方声明中公开的数字货币地址。
根据路透社的报道,对于此次盗窃事件,美国财政部发言人表示,“美国意识到朝鲜越来越依赖非法活动——包括网络犯罪逃避美国和联合国的严厉制裁”,并警告称,任何与相关地址产生交易行为的账户都有可能登上美国的制裁名单。
虽然Sky Mavis动用一切能力追回自己被盗的资金于情于理都没有问题、美国严格控制加密行业以实现对朝鲜的制裁也属于美国官方一贯的态度,但当这二者结合起来之后,区块链以及虚拟货币所谓的去中心化似乎就成了皇帝的新衣,人人都在夸赞它的好处,但人人又看不见它的存在。
毕竟去中心化的核心思想就是多个节点,高度自治,每一个节点都是中心,但每一个节点又不具备影响全局的强制性功能和权限。但显然美国政府是一个例外。
人在屋檐下不得不低头
事实上,对于加密行业,一旦涉及敏感问题,美国一直都是重拳出击的态度。
就在盗窃案的几乎同一时间,根据美国媒体报道,2019年在朝鲜公开教授有关区块链和加密货币相关内容的程序员,同时也是以太坊的联合创始人Virgil Griffith,在本周二正式因为自己的行为,被判以5年以上20年以下的有期徒刑。
在整个案件中,Virgil Griffith教授相关区块链相关知识的行为其实并没有他明显的过错,他甚至曾经提出要在朝鲜设置以太坊的服务器节点,这也为他赢得了“加密英雄”的称号。但问题是,美国司法部的照片显示,Virgil Griffith教授相关内容时的板书上明确写着“没有制裁”,还在旁边画了一个大大的笑脸(版权原因就不放照片了)。
同样在最近两年,针对俄乌局势,美国也对加密行业的企业采取了强硬措施,以加强对俄罗斯的制裁。
其实早在2014年克里米亚战争后,美国就开始了对俄罗斯的制裁,但随后加密货币和区块链的迅速兴起,也让美国吃了不少瘪,去年10月,美国财政部就公开表示,“加密货币对美国的制裁计划构成了越来越严重的威胁”,同一时期,俄罗斯央行却在媒体采访中表示,新的“数字卢布”将使俄罗斯能够更好地抵抗制裁。
而就在去年11月,根据CoinDesk的报道,美国开始了对俄罗斯的虚拟货币交易所 Chatex实施制裁,这是去年9月Suex被制裁后第二个受到影响的俄罗斯虚拟货币交易所。在美国官方宣布该消息后,第二天,用户就已经无法从账户中查看或交易自己的加密货币了,Chatex也几乎解散。
在制裁小有成就后,根据路透社的报道,在拜登政府宣布面对俄罗斯新一轮的制裁后,今年三月,美国民主党就提出了全新的《数字资产制裁合规法案》,该法案并没有选择直接针对俄罗斯,而是向主流的交易所平台施压,阻止在美国运营的平台与任何俄罗斯用户产生交易行为。
虽然在此之前包括Coinbase等交易平台都曾公开表示自己“不会对俄罗斯地址相关的交易行为作出限制”,或“我们不能封禁我们俄罗斯用户的账号”。Kraken的CEO甚至直接喊话美国政府,“如果我们需要封禁世界上所有挑动暴力和战争的地区的用户账户,那么第一个要封禁的就是美国用户的账号。”
但人在屋檐下,不得不低头,Coinbase随后便封禁了2.5万个与俄罗斯相关的交易地址,另一大交易平台OpenSea也发布声明表示“我们是一家美国公司,这意味着我们必须阻止美国制裁名单上的人使用平台”。
OpenSea的声明其实就彻底揭开了虚拟货币“去中心化”的遮羞布,作为一种人类发明的技术、一个人类运营的平台,区块链不可能脱离社会这个大框架,脱离人这个主体,自顾自地存在和运转,这也决定区块链,始终会被企业、政府等主体控制和影响。所谓去中心化的大网,始终是围绕着一个或多个中心化的主体所搭建的。
去中心化安全性堪忧
除了区块链本身的去中心化特质会被政府和交易所等中心化主体影响,另一大被鼓吹的概念,即区块链与金融功能结合的去中心化金融(DeFi、特指不依赖券商、交易所或银行等金融机构提供金融工具),自身也存在有不少隐患。
区块链数据分析平台Chainalysis在4月14日直接发文称,“黑客从DeFi平台窃取的加密货币比以往任何时候都多”。
根据Chainalysis的数据,2022年前三个月,黑客就已经从交易所、DeFi平台以及私人实体中盗走了价值13亿美元的虚拟货币,而去年全年的损失仅为32亿美元。而在今年第一季度被盗的所有加密货币中,其中97%都来自DeFi协议,这一数据在2020年仅为30%。
而在所有因为DeFi协议的安全性导致的黑客攻击活动中,代码漏洞和闪贷攻击(一种涉及操纵加密货币价格的代码漏洞)成为了黑客最常用的手段,Ronin属于第三种,即单纯的安全问题。
前者代码漏洞就是单纯的由于DeFi的开源和透明,导致协议的底层代码是面向所有人开放的,也给予了黑客针对性攻击的可能,而后者闪贷攻击则是通过操纵代币价格获利,虽然黑客无法直接这一加密代币,但是可以通过调整代币价格,将自己手中的代币抛售,以此套现。
难堪的是,对于黑客针对DeFi展开的攻击行为,虽然很多平台都引入了代码审计(修补合约漏洞、防止价格被篡改)等手段加以应对,但收效甚微,根据Chainalysis的数据,去年有30%的代码漏洞攻击以及73%的闪贷攻击发生在有代码审计的平台之上。
而更难堪的是,这种去中心化的平台,还是黑客将自己从攻击去中心化协议中获得的收益“洗白”的最佳场所。2021年,有51%的被盗资金流向了DeFi平台,被盗资金的价值与2020年相比,增长了1964%,上文提到的Suex,被美国制裁的另一大原因就是平台上疯狂的洗钱活动。
反观区块链上的中心化交易所,已经有了极其有效的方式针对这种洗钱的行为,即加密货币反洗钱标准 (AML) 和身份验证程序(KYC),这二者都是政府组织以及很多国家的法律强制虚拟资产服务提供商必须要落实的基本要求。
当然这种优势仅局限在反洗钱方面,并不代表中心化的交易所十分安全,卷款跑路、被黑客攻击损失惨重的交易所不在少数。
结语:
可以说去中心化为我们织就了一个人人都有绝对的话语权、能够产生影响、推动变化的美梦,改变了互联网自诞生以来,少数集体掌握规则的局面,赋予了个人更大的自由和自主的权利。但笔者之所以称之为梦,就是因为它和现实存在着不可忽视的落差。
首先去中心化就意味着需要改变现有的格局,且不说掌握权力和资本的既得利益者是否有动力推动这一格局的彻底改变,在真正的去中心化实现后,由于人类天生的个体与集体意识的碰撞,以及后天文化、教育的差异,人必然又会在去中心化的格局中建立起新的固定的中心化的力量,以承担制定规则、裁决错误的功能。
而去中心化概念中由所有用户自由选择的、流动的中心,由于最基础的责任分散原理,是无法处理以及承担类似的事件和责任的。
其次,到了2022年,其实弱中心化的产品已经出现了很多,就比如微博、打车软件、甚至是今日头条都可以视作是去中心化的雏形。
但在有多个中心化主体进行控制的情况下,这些平台无论是生态还是体验,都存在有明显的问题和亟待解决的矛盾,试想一下一个脱离了法律、政府等中心化的事物,仅依靠技术和算法管理、用户可以自由选择中心、自由决定中心的平台,将会是怎样的灾难。
去中心化概念中为用户赋能、扁平化、多样化的趋势对于现有的平台和互联网行业而言,的确是可取的元素,但如今的互联网、社会框架是否真正做好了迎接彻底去中心化的准备呢,笔者依然持保留态度。
如若转载,请注明出处:http://www.gamelook.com.cn/2022/04/480146