黑客、黑客——又一个Web3项目因黑客消亡

本文链接：https://blog.youkuaiyun.com/Java_Joker/article/details/132756935

乾哥在之前的文章写过，EZZY是一款MOVE TO EARN运动赚钱web3项目，UI界面、操作上、游戏玩法上都做的不错，但是就这款做的还不错的项目，近期遭受了黑客攻击，面临倒闭，实在有点遗憾。下面是EZZY产品负责人对用户的致信，希望项目团队能吸取教训，努力弥补损失后还能重新再来。

大家好！我是 Peter Zeman！首先，我是一名产品经理，我对整个项目从头到尾都了如指掌。我提出想法，制定计划，直接与创始人、开发人员、营销人员、文案、设计师以及以某种方式参与 EZZY Game 的所有人沟通。

此外，我还是这个频道的主编。我很少亲自撰稿（时间是有限的资源），更多的时候是为新闻制作 TOR，并对其进行检查、编辑和校对，然后再将其发送给出版商。但今天是个特殊的日子--我决定亲自和你们谈谈。我认为这种交流是有益的，有时甚至是必要的。尤其是在这种时候。

我想谈什么？当然是最热门的话题：黑客攻击、EZZY Game 将会发生什么、下一步该怎么做。我不保证有一百万个具体细节，但我也不会无的放矢。但我希望你们有兴趣听听我的想法。最重要的是，我的想法将是诚实的，不掺杂任何粉色小马的成分。

那么，这到底是怎么回事呢？

我们搞砸了。怎么搞砸的？因为我们没有及早发现这些漏洞。为什么会这样？

我们的团队很小，但任务却很多。在追求事件、简化应用程序和新功能的过程中，我们没有注意到安全问题。

这是我们自己的项目在这个层面上的第一次经历。我们之前已经介绍过团队的情况（我想是在很久以前的问题回答中）--我们之前都作为员工在其他项目中工作过，但这是我们第一次以团队的形式开展项目。

我们并不孤单。即使是市场上的巨头（更不用说小型项目了）也曾遭遇过类似的漏洞。STEPN、Walken、Snaps、Hibiki Run......这样的例子不胜枚举。我不想坐下来把整个清单都翻一遍。没有意义。谁想找，谁就能找到。重要的是要明白--即使是经验丰富的团队也很难注意到这些漏洞，更不用说市场新手了。

这能证明我们有理吗？不是。

它能解释这种情况吗？我认为可以。

必须认识到，情况可能会更糟。例如，如果没有 3 000 美元的取款限额，汇率可能会一度下跌。如果你从未了解过这些漏洞，那么你将来就会面对它们。诸如此类，不一而足。基本上，EZZY Game 可能会被埋葬：无论我们和您如何努力，黑客无休止地印制代币都会让一切归零。我们必须认识到这一点。

每个积极的人（尤其是加密爱好者）都知道，任何情况下都会有好的一面。即使在最糟糕的情况下也是如此。要理解这一点，甚至不需要 "资源"，不需要冥想，不需要各种道德沦丧和精神启蒙。

那么，这个故事有什么好处呢？我首先想到的是

1.我们不会再犯这样的错误了。无论是在 EZZY Game 中，还是在其他项目中（如果我们将来决定创建一个项目的话）。

2.黑客向我们展示了所有的漏洞以及他们是如何做到的。还基本上告诉了我们其他项目中的案例。相信我--这个系统会让更多的项目无法顺利进行。很多人已经受到了他们或其他人的影响。只是你不知道那些尺度而已。

3. 在我们修复所有漏洞之后，我们将成为移动 M2E/P2E 游戏市场上最安全的项目之一。因为我们不会有这些漏洞。但许多其他项目都会有这些漏洞。

4. 我们的所有项目和重要更新都将经过漏洞审核。它们在发布前都将经过测试。这可能会稍稍推迟各种更新的发布时间。但这样总比光屁股好。

5. 再次重读前四点。我也会为公司这样做，这样你就不会觉得无聊了。

因此，我们继续前行（或步行，毕竟我们是 M2E）。

很多人在问，CertiK 是怎么回事？为什么CoinMarketCap和其他监测机构要写高安全性？

我的回答是--CertiK 正在对智能合约进行审计。智能合约没有任何问题。但是，在该智能合约上运行的系统本身存在问题，允许提取的代币数量超过了可下注/提取的数量。

当然，令人遗憾的是，黑客并没有立即报告这些漏洞，而是利用了这些漏洞。据他们说，他们一开始以为我们的第一个代币崩溃了，所以我们是骗子。但随后他们注意到了我们的社区和我们所做的努力，并表示愿意提供帮助。是的，令他们感到惊喜的是，在代币崩溃后，我们并没有从资金池中抽走流动资金。因为 99% 的项目都会在经济衰退后这样做。

但是，我们有一个不同的故事。不同的道路。不同的目标。

顺便说一句，部分用户根本不相信黑客这一事实......我认为这很正常。现在加密货币市场上有太多凶狠的骗子，让人很难相信这个领域的人，尤其是当你已经被骗了好几次的时候。如果连 FTX（最大的合法加密货币交易所之一，大家都推荐它）的负责人都变成了骗子，那还能说什么呢？所以，信不信由你。引用一句经典的话："除了我们，你谁都不能信"。别开玩笑了，我认为我们的历史还是有足够令人信服的证据的。读过这篇信息(https://mirror.xyz/gleamon.eth/NXQcBU8XfIxyk5MGHyAoL9SNowRyllUM8p2bho8cczk)和黑客聊天，"免费 "从 Sneakers 收到代币--他们已经确信了这个故事的真实性。

现在和未来

现在，我们的程序员正在修复所有漏洞。然后我们将进行安全审计。如果没问题，我们将公开审计结果。如果不行，我们会修复漏洞，重新进行审计。好的，我们公开审计结果。如果还不行，我们再做一次。如此反复，直到期待已久的 "OK "到来。

至于截止日期：我们暂定在周一（含）前推出所有内容。大家也许可以提前，但经验表明，我们应该把重点放在周一。我们与你们同舟共济，因此，让我们在现在和线索开放后都支持该项目。让我们同舟共济，驶向美好的未来。

现在出现了各种 bug。培训冻结了，代币没有入账，或者其他一些问题。版主在聊天中答应向我们道歉--我们真诚地向你们道歉。他们现在正在重新修改各个地方的逻辑，以确保我们（以及你们）不会再受到任何影响。有时这会带来不可预知的后果。最后（这些后果）我们也会解决。现在一切似乎都能正常工作了。如果有什么问题，请在聊天室 (https://t.me/ezzy_game_official_cn), 他们会转给我们。您也可以向技术支持重复请求。EZY/GEZY 的兑换和取款现在是故意挂起，所以您不需要写它们。USDT、BNB - 取款通常没有问题（但如果交易挂起，请等待取款开放，如果取款不通过，请致信技术支持）。顺便说一下，也可以补充余额并获得 Sneakers。奇迹之田（哎呀，奇迹之田）不会自己赢。

我想做一个文字 AMA-会话，回答你的问题。如果您愿意，请在评论中留言。

我们还与可爱的媒体进行了交谈CryptoPizza News (https://t.me/cryptopizza_news),我们曾在那里接受过一次面试，并多次登过广告。我们同意再次面试。订阅 (https://t.me/cryptopizza_news)到频道，以免错过（给免费广告，事实证明）

让我们不要放弃 EZZY Game。为了拯救 EZZY，我们投入了 30 多万辛苦赚来的 USDT（就像有人喜欢写的那样，我们现在可能在马尔代夫）。除此之外，我们还在 Second Breath 的推出、营销和流动性方面花费了大量资金，并将机器人塞得满满的，以维持 GEZY 的运营。在 EZZY 和 GEZY 代币跌价后没有出售，以免将巧妙锁定的流动性从池子里拉出来。说了这么多，并不是要我们放弃一切，一走了之。让我们与 EZZY Game 一起前进。

有可能推出第三种代币吗？有可能。是否肯定会有--不，不肯定。有可能推出新项目吗？有可能。但即使会有新的项目（或者说，新的游戏），我们也不会放弃 EZZY Game - 我们的计划是让它继续存在并进一步发展。

我看到你们希望在网站上进行统计，希望用代币投票。我们会做到的。但一切都需要时间。这不是一朝一夕就能完成的，但我们听到了。我甚至把它写进了我的任务书。

我还没有一个确切的下一步行动计划，但我肯定会有一个（毕竟我是一个销售经理，而我的助手们都是 TOP）。我已经有了很多想法。我们已经从震惊中走出来了，现在--工作、工作、再工作。

如果您喜欢我的演讲，请点赞、评论、转贴。开个玩笑（实话实说）。老实说，我很高兴能倾诉我的灵魂。以这种不同寻常的形式进行表演。希望我没有让你们觉得太无聊。

最后，我想说声谢谢：

感谢所有爱上 EZZY Game 的社区成员，请继续玩下去、坚持下去并相信这个项目。

致聊天积极分子，感谢他们的支持和有趣的想法。

致所有 "终身 "参与项目的用户。

致所有版主 - 感谢他们为项目和用户提供的帮助。

当然，还要感谢我们所有的 EZZY Game 团队，感谢你们没有放下手中的工作，继续前进。我为你们感到骄傲。

在此，我向你们道别。很高兴能以这种方式聊天 (https://t.me/ezzy_game_official_cn)。请在评论或聊天中畅所欲言。也许我还会联系你们，但不会太频繁（否则其他任务就会闲置）。如果你喜欢这种形式，欢迎来信。

大家再见，感谢您的关注

您的彼得-泽曼

根据 EZZY Game tokenomics 的说法，该项目本应在 EZY 代币（然后是 GEZY）上成功运行更长的时间，目标是成为 M2E 和 P2E 领域最大、最成功的项目之一，项目一直（并将继续）满怀信心地朝着这个目标前进。项目方努力使项目尽可能简单易用：取消了外部钱包的绑定，在应用程序中增加了输入和输出，取消了 NFT。此外，还计划添加新的游戏和机制，并逐步恢复 EZY 汇率。

但意想不到的事情发生了：GEZY 汇率崩溃的原因不是代币经济或不当营销的问题。而是因为一群黑客利用项目漏洞（简单地说就是安全漏洞），从多个账户中大量创建并提取不存在的代币。

GEZY 崩溃后，黑客们没有躲藏，而是在浩瀚的互联网上散布消息。你们中的许多人已经阅读了它们的文章 (https://mirror.xyz/gleamon.eth/NXQcBU8XfIxyk5MGHyAoL9SNowRyllUM8p2bho8cczk) 在聊天室里流传。至于 GEZY 代币--一群黑客参与了它的崩溃。至于 EZY，由于该项目存在漏洞已久，其汇率的崩溃很可能也离不开使用相同软件安全漏洞的第三方程序员的帮助。

目前一群黑客为项目提供了安全审计，并指出了系统中的所有漏洞。简而言之--黑客能够从任何运动鞋中无限打印代币（即使是 500 GEZY 的运动鞋），这些代币被谨慎地泄露给 DEX，金额最高可达 3,000 GEZY（包括 3,000 GEZY）。此外，还自行打印了任意数量的推荐运动鞋。

如果没有黑客的干预，该项目可以运行很长一段时间，因为由于软件缺陷，EZZY Game 团队个人投入的大量资金被盗。在黑客的文章中有一个有趣的观点：他们对项目团队在增加项目提现的同时还把钱拿给用户的事实感到震惊。项目方真的想拯救这个项目，并为机器人投入了大量资金。五月份，向机器人发送了 30 多万 USDT，试图挽救 EZY，并且完全停止了销售。现在根本不是在谈论 GEZY - 该代币只维持了大约 1.5 个月，因为 GEZY 机器人的资金被 "吸走 "了，这主要归功于黑客。项目方并没有关闭机器人--它只是用完了流动资金，然后自动关闭了。是的，项目方也被 "剃了光头"。

这只是web3中一个小项目受到黑客影响的案例。

据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测，2023 年上半年 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 6 亿 5561 万美元。其中攻击事件 108 起，总损失金额约 4 亿 7143 万美元；钓鱼诈骗总损失金额约 1.08 亿美元；项目方 Rug Pull 事件 110 起，总损失约 7587 万美元。

Web3 领域黑客攻击事件的总损失金额较去年有了大幅度下降。2022 年上半年攻击总损失约 19.1 亿美元， 2022 年下半年约 16.9 亿美元，而 2023 上半年该数值下降到了 4.7 亿美元。

从被攻击项目类型来看，DeFi 依旧是被攻击频次最高、损失金额最多的类型。85 次 DeFi 安全事件总损失金额达到了 2.92 亿美元，占总损失金额的 62% 。

从链平台类型来看，75.6% 的损失金额来自 Ethereum，约 3.56 亿美元，居所有链平台的第一位。

从攻击手法来看（按根本原因进行统计），最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成损失 2.64 亿美元，占所有损失金额的 56% 。

从资金流向来看，约有 2.15 亿美元的被盗资产得以追回，占所有被盗资产的 45.5% 。另外约有 1.13 亿美元的被盗资产转入了 Tornado Cash 和其他混币器。

从审计情况来看，被攻击的项目中，约有 49% 的项目没有经过审计。

2023 年上半年，最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成了 2.64 亿美元的损失，其中绝大多数被利用的漏洞是业务逻辑问题。一些较为复杂的业务逻辑漏洞，需要经验丰富的专业审计公司才能发现。

与黑客攻击事件下降的趋势相反的是，对普通用户而言，钓鱼诈骗和项目方 Rug Pull 事件在 2023 年上半年更加频发。据不完全统计，这两类事件涉及总金额达到了至少 1.84 亿美元。由于钓鱼门槛技术的降低（例如可以通过一些渠道向钓鱼团伙购买恶意工具包，赚取利润后进行分成），导致上半年钓鱼诈骗事件大幅增加，上半年出现了以 Venom Drainer 为代表的一系列钱包 Drainer 团伙，他们开发恶意工具包后进行售卖，购买者成功钓鱼获利后再与之进行分成。此类钓鱼诈骗波及用户面广，单是 Venom Drainer 这一个团伙就产生了至少 1.5 万个受害者。

对于普通用户而言，最好能够经常关注专业人士的提醒，系统性地学习一些防钓鱼防被盗知识，也可以安装一些防钓鱼插件、交易预执行工具等进行提醒（但不能完全依赖工具，加强自身安全意识永远是第一位的）。

附：黑客攻击事件一览：108 起攻击事件造成损失 4 亿 7143 万美元

2023 年上半年，Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件 108 起，总损失金额达 4 亿 7143 万美元。其中损失金额超过 1 亿美元的安全事件共 1 起，损失在 1000 万美元 - 1 亿美元区间的事件共 7 起， 100 万美元 - 1000 万美元区间的事件 23 起。

损失金额超过千万美元的攻击事件（按金额排序）：

● Euler Finance - 1.97 亿美元

3 月 13 日，DeFi 协议 Euler Finance 遭到攻击，损失达到了 1.97 亿美元。4 月 4 日，Euler Labs 在推特上表示，经过成功协商，攻击者已归还了所有盗取资金。

● Atomic Wallet - 6700 万美元

6 月 3 日，多名 Atomic Wallet 用户在社交媒体发文称自己的钱包资产被盗，统计发现被盗金额至少达到了 6700 万美元。黑客已将被盗资金通过混币平台 Sinbad 进行了清洗，被攻击原因仍在调查中。

● MEV attack - 2500 万美元

4 月 3 日，多个 MEV 机器人遭受恶意三明治攻击，总共损失约 2500 万美元。

● Bitrue - 2400 万美元

4 月 14 日，加密交易所 Bitrue 热钱包遭受攻击，损失达 2400 万美元。

● FPG - 2000 万美元

6 月 11 日，加密货币经纪公司 Floating Point Group (FPG）遭到网络攻击，损失约 2000 万美元的加密货币。

● GDAC - 1300 万美元

4 月 9 日，韩国加密货币交易所 GDAC 遭到黑客攻击，损失近 1300 万美元。

● Yearn Finance - 1150 万美元

4 月 13 日，Yearn Finance 的 yusdt 合约遭受黑客攻击，黑客获利超 1000 万美元。

● MyAlgo Wallet - 1120 万美元

2 月，MyAlgo 钱包遭到中间人攻击，损失达 1120 万美元。

如何学习网络安全

给你一个忠告，如果你完全没有基础的话，前期最好不要盲目去找资料学习，因为大部分人把资料收集好之后，基本上都是放在收藏夹吃灰，同时资料收集的多了，学起来就会迷茫，也会让自己很有压力。

磨刀不误砍柴工，如果你是准备自学的话，要分步骤去进行：

第一步：搭建自学知识框架，具体怎么搭建学习框架，在后面我会讲；
第二步：按照学习框架给自己定制阶段性的学习计划和目标，最好是按周自我反馈和调整；
第三步：针对每周的学习计划寻找合适的自学资源，注意，只找当前需要的，不要贪多
第四步：找几个懂得人，和他们处理好关系，后面学习过程中遇到问题还能有人给你解答；

这些都要一步一步来，不要想着一口气吃成一个大胖子。

搭建学习框架也是有诀窍的，比如我常用的三种方式：

1.和牛人成为朋友，身边的朋友或公司的同事都可以，但要注意，记得请人家吃饭联络好感情，不然到关键时刻，很少有人会去帮你； 2.从各个博客网站上面搜索想了解的知识点路线图，然后找高赞的博文，基本上不会差，但要注意辨别真伪； 3.多找几个培训机构，看他们整理的课程大纲是什么样的，涉及哪些知识点，然后做归类汇总，具体的我就不说了，免得让大家认为我在给培训机构打广告；

废话不多说，先上一张图镇楼，看看网络安全有哪些方向，它们之间有什么关系和区别，各自需要学习哪些东西

在这个圈子技术门类中，工作岗位主要有以下三个方向：

安全研发安全研究：二进制方向安全研究：网络渗透方向

怎么入门？

聊完宏观的，我们再落到具体的技术点上来，给你看看我给团队小伙伴制定的网络安全学习路线，整体大概半年左右，具体视每个人的情况而定。

如果你把每周要学的内容精细化到这种程度，你还会担心学不会，入不了门吗，其实说到底就是学了两个月，但都是东学一下，西学一下，什么内容都是浅尝辄止，没有深入进去，所以才会有学了2个月，入不了门这种感受。（友情提示：觉得有帮助的话可以收藏一下本篇文章，免得后续找不到）

1、网络安全理论知识（2天） ①了解行业相关背景，前景，确定发展方向。 ②学习网络安全相关法律法规。 ③网络安全运营的概念。 ④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周） ①渗透测试的流程、分类、标准 ②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking ③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察 ④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周） ①Windows系统常见功能和命令 ②Kali Linux系统常见功能和命令 ③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周） ①计算机网络基础、协议和架构 ②网络通信原理、OSI模型、数据转发流程 ③常见协议解析（HTTP、TCP/IP、ARP等） ④网络攻击技术与网络安全防御技术 ⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天） ①数据库基础 ②SQL语言基础 ③数据库安全加固

6、Web渗透（1周） ①HTML、CSS和JavaScript简介 ②OWASP Top10 ③Web漏洞扫描工具 ④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

7、脚本编程（初级/中级/高级） 在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级黑客 这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。