本篇主要聚焦區塊鏈生態安全概覽及攻擊手法。
區塊鏈安全態勢
近兩年來,在疫情持續肆虐、經濟衰退、能源短缺、地緣沖突升級、國際間競爭加劇等種種因素的影響之下,全球社會與經濟發展遭遇了前所未有的挑戰。與此同時,全球區塊鏈行業也經歷著一場不斷加速的變革:區塊鏈技術的效率、安全性和可擴展性得到不斷改善,元宇宙、NFT 等新興領域的興起,使區塊鏈行業正式邁入 3.0 時代。
根據慢霧區塊鏈被黑事件檔案庫( SlowMist Hacked )統計,截至 6 月 30 日,2022 上半年安全事件共 187 件,損失高達 19.76 億美元。
(2022 上半年安全事件)
在這些安全事件中,約 77% (144 起)源于項目自身存在漏洞被攻擊者利用,損失金額約 18.4 億美元,占安全事件總損失的 93%;約 21%(39 起) 源于包含 Phishing&Rug Pull 的 Scams,損失金額約 1.3 億美元,占安全事件總損失的 6%。
(2022 上半年安全事件攻擊原因分布圖)
(2022 上半年安全事件攻擊原因損失對比圖)
區塊鏈生態安全概覽
根據被攻擊對象的不同,我們將 187 起安全事故分為三部分:公鏈賽道、交易平臺和其他。
美國財政部本月將公開一系列報告,明確提出加密貨幣風險:9月11日消息,知情人士稱,美國財政部將在本月公開的一系列報告中闡述其認為加密貨幣會對消費者和金融系統構成的風險。美國財政部的報告將著重對加密貨幣市場的分析,但不會提供太多具體的政策建議。每份報告將集中討論四個主題中的一個,這些主題包括支付系統、消費者保護、非法融資和金融穩定。(金十)[2022/9/11 13:23:09]
公鏈賽道
作為區塊鏈行業的基礎設施,公鏈承載了人們對于區塊鏈作為 Web3 底層網絡的期望。隨著一代又一代公鏈的崛起,NFT、DeFi、GameFi、元宇宙等生態熱潮也相繼迎來爆發,同時這些項目也促進了公鏈的發展與價值提升,使多鏈世界從理想走向了現實。據 Footprint Analytics 的數據,截至 6 月累計已收錄的公鏈數量有 119 條,對比 2021 年 6 月收錄的 31 條,同比增長約 284%。
(2021 與 2022 年 6 月公鏈數量對比)
但公鏈的快速發展同時是一把雙刃劍,在促進產業進步的同時,引發的區塊鏈安全問題也顯著增加,我們分別從?DeFi、NFT、跨鏈橋三方面解析。
DeFi 生態
DeFi 作為世界上最受歡迎的可編程區塊鏈,2022 發展態勢不可小覷,據 DeFi Llama 數據顯示,6 月 30 日 DeFi 總鎖倉價值為 1432 億美元,其中 ETH 鏈以 945.5 億美元的 TVL(Total Value Locked)占據了資金沉淀的半壁江山,其次是 BSC 鏈的 110.8 億美元。2021 年以來,許多新興公鏈如 Solana、Avalanche 等通過擁抱 DeFi 快速發展鏈上生態,也吸引了大量用戶和資金沉淀。6 月 30 日 Solana TVL 為 26.4 億美元,同比增長 77%;Avalanche TVL 為 55.4 億美元,同比增長 96%。
報告:NFT市場的增長速度超過加密貨幣市場:金色財經報道,區塊鏈數據分析公司Nansen最近發布了關于NFT的季度研究報告。該分析強調了NFT行業年初至今的表現優于加密貨幣市場,預計到2025年市場估值將達到800億美元。根據Nansen 2022季度NFT報告,今年NFT市場已經超過了加密貨幣市場,年初至今的ETH回報率為103.7%,美元回報率為82.1%。盡管截至2022年2月,全球大多數資產類別的市場均出現下跌,但NFT-500在3月份的前30天中上漲了5.9%。(cryptoslate)[2022/4/18 14:31:01]
(2022 上半年 DeFi TVL)
隨著 DeFi 熱潮的興起,該領域也自然成為了黑客覬覦的重點對象。根據 SlowMist Hacked 統計,截至 6 月 30 日 DeFi 安全事件約 100 起,損失超 16.3 億美元。其中在 BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨鏈橋上發生的安全事件數量分別為 47 起、29 起、8 起、5 起、2 起、1 起、7 起,所造成損失分別為 1.4 億美元、3.08 億美元、5491 萬美 元、6383 萬美元、1310 萬美元、830 萬美元、10.43 億美元。
(2022 上半年 DeFi 安全事件分布)
報告:43%的比特幣交易量發生在美國交易時段:1月19日消息,根據Arcane Research發布的報告,美國的交易時間主導著比特幣的交易量,即使在周末也是如此。比特幣與標準普爾500指數的90天相關性目前處于2020年10月以來的最高水平,而美國交易時段顯示的比特幣活動最多。
2022年,美國交易時間的交易量顯著增加,平均占24小時交易量的43%。自2021年底以來,美國市場交易量呈上升趨勢,2021年11月1日至2022年1月16日期間交易量占比從36%上升至43%。
Arcane Research總結了這一趨勢:隨著美國股市開盤,交易活動往往會立即回升,比特幣的表現與標準普爾500密切相關。(Cointelegraph)[2022/1/19 8:59:54]
NFT 生態
基于區塊鏈技術的 NFT 也是需要重點關注的對象,隨著一批頭部 NFT 項目的崛起和各路名人的參與,NFT 極速發展。根據 Dune Analytics 的數據,OpenSea 的交易量在 1 月份達到上半年最高峰 2.84 億美元,而隨著加密貨幣市場的變化,OpenSea 在 6 月份的交易量只有 1558 萬美元,下滑 94%。在 NFT 的熱潮中,目前以太坊生態的 NFT 在市值和交易量依舊占據市場的主流,交易量超 90%。除了以太坊外,從近 30 天交易量和近 7 天交易量這些短期數據來看,Solana,Flow 等生態的 NFT 也正在快速發展,且表現亮眼,多鏈時代距離我們越來越近。
Visor Finance攻擊事件報告:黑客獲取了管理帳戶訪問權限:基于Uniswap V3的DeFi流動性協議Visor Finance就此前發生的攻擊事件發布報告稱,攻擊者獲得了一個管理帳戶的訪問權限,能夠從尚未存入流動性提供者頭寸的存款中提取資金。報告稱,被盜金額約占其300萬美元TVL的16.7%(約合50萬美元),并證實該黑客并非團隊成員,因此對其緊急提款保障措施缺乏充分了解,被盜資金僅限于未配置的資產。(BeInCrypto)[2021/6/21 23:53:12]
(2022 上半年 OpenSea 交易量變化圖)
(2022 上半年 NFT 攻擊事件原因分布圖)
并且隨著時間推移,不法分子的攻擊逐漸猖獗,根據 TRM Labs 發布的報告 ,在 5、6 兩個月,由 TRM Labs 社區主導的詐騙報告平臺 Chainabuse 收到了超過 100 份關于 Discord 黑客攻擊的報告;自 5 月以來,NFT 社區損失約 2200 萬美元;6 月,黑客在被黑的 Discord 中發布 NFT 相關的釣魚攻擊同比增加了 55%。
跨鏈橋
隨著區塊鏈的發展,目前已經進入一個以太坊為核心多鏈并存的局面,鏈與鏈之間的資產轉移、 智能合約的跨鏈交互已成為鏈上活動的日常,跨鏈橋作為區塊鏈基礎設施的地位越發凸顯。根據 Dune Analytics 數據,截至 6 月 30 日以太坊中 15 個主要跨鏈橋的鎖定總價值(TVL)約 83.9 億美元。目前 TVL 最高的是 Polygon Bridges(35 億美元),排名第二的是 Arbitrum Bridge(18.93 億美 元),隨后是 Avalanche Bridge(12.41 億美元)。
大數據報告:2017年,區塊鏈龍頭企業占據大數據企業第二陣營:近日,中國電子信息產業發展研究院發布《中國大數據產業發展評估報告(2018年)》,報告顯示,2017年我國特色細分領域大數據企業主要分為三大陣營:
第一陣營是從事人工智能相關的龍頭企業;
第二陣營是從事工控安全、數據庫、區塊鏈等10類相關的龍頭企業;
第三陣營是從事VR、開源技術和車聯網相關的企業。[2018/4/25]
(以太坊 15 個主要跨鏈橋的 TVL)
由于流動資金量大,去中心化程度低,權限幾乎都掌握在多簽錢包中等特性,跨鏈橋也成了黑客眼中的“香餑餑”。根據 SlowMist Hacked 統計,截至 6 月 30 日跨鏈橋安全事件共 7 起,損失高達 10.43 億美元,占比 DeFi 上半年總損失的 64%,占比上半年總損失的 53%。值得注意的是上半年,損失金額上億美元的事件 4 起中就有 3 起來自跨鏈橋。作為多鏈生態的重要基礎設施,跨鏈橋一方面承擔著巨量的資金流動,為用戶帶來了極大的便利,另一方面在安全性和去中心化水平上面臨許多挑戰,需要項目方提升安全、風控等能力。
(2022 上半年跨鏈橋安全事件)
交易平臺
加密貨幣行業一直處在監管漩渦中,首當其沖的就是加密貨幣交易平臺。交易平臺發生的安全事故分析如下:以全球交易量最大的平臺 Binance 為例,自 2021 年來,Binance 已遭到數十個國家和地區的監管警告,包括歐洲、美洲、 亞洲在內的多個地區。在全球強力監管信號下,Binance 陸續在西班牙、法國、阿布扎比、迪拜、意大利、巴林等國家或地區獲得了監管許可并進行了注冊,逐步推進其合規化進程。
在上半年,全球共發生 4 起交易平臺安全事件,損失超 7770 萬美元,具體如下:
1 月 9 日,LCX 技術團隊在 LCX 交易平臺上檢測到一個未經授權的訪問,總共約 794 萬美 元的加密資產被盜。
1 月 17 日,Crypto.com 少數用戶遭到未經授權提款,損失約 3400 萬美元,包括 4,836.26 ETH、443.93 BTC 和約 66,200 美元的其他加密貨幣。
2 月 8 日,LockBit 勒索軟件團伙稱從加密貨幣交易平臺 PayBito 竊取了大量客戶數據。
2 月 12 日,來自美國南達科他州提供自主退休金賬戶的 IRA Financial Trust 對加密交易 平臺 Gemini 提起訴訟,指控稱由 Gemini 保管的屬于客戶退休賬戶的 3600 萬美元加密資產被盜。
(2022 上半年交易平臺攻擊事件損失對比圖)
慢霧安全團隊建議各大交易平臺健全內部管理與技術機制,通過引入安全審計機制、零信任機制、冷熱資產安全解決方案等來加強對數字資產的安全保障。
其他
不法分子看中加密貨幣的匿名性,區塊鏈已成為網絡黑產的新風口,呈現出越來越明顯的組織化與專業化趨勢,“勒索”、“欺詐”及“盜竊”已成為加密貨幣巨大安全威脅。據中國人民銀行支付結算司數據 ,2021 年涉詐款項的支付方式中,利用加密貨幣進行支付僅次于銀行轉賬,排名第二位,高達 7.5 億美元;而 2020 年、2019 年僅為 1.3、0.3 億美元,逐年大幅增長的趨勢明顯。值得關注的是,加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。2021 年“殺豬盤”詐騙資金中 1.39 億美元使用加密貨幣支付,是 2020 年的 5 倍、2019 年的 25 倍。
攻擊手法概覽
以上 187 起安全事件中,攻擊手法主要分為四類:由項目自身設計缺陷和各種合約漏洞引起的攻擊;包含 Rug Pull、釣魚攻擊等手法的 Scam;由于私鑰泄露引起的資產損失;前端惡意攻擊,這四種主要攻擊手法占比安全事件總數量的 95%。
(2022 上半年攻擊手法數量對比圖)
(2022 上半年攻擊手法損失對比圖)
總結
盡管 2022 年區塊鏈技術正在飛速發展并且逐漸完善,但層出不窮的加密貨幣攻擊事件對區塊鏈生態安全態勢提出了新的挑戰。從統計數據來看,上半年發生安全事件次數較多的月份主要在 5、6 月;從各生態來看,BSC 上安全事件發生最多;從賽道來看,損失最多的是跨鏈橋。
(2022 上半年各月份各生態賽道事件分布)
對此慢霧安全團隊建議:
對于機構和企業來說,最好能夠建立全面的網絡安全防護系統,防護從各個層次入侵的網絡安全威脅,并通過威脅感知體系快捷獲取病木馬、釣魚詐騙、網絡安全預警、漏洞報告在內的安全情報,一旦發生安全威脅能夠及時進行處理。
對于個人用戶來說,遵守以下安全法則及原則,可以避免大部分風險:
兩大安全法則:
零信任。簡單來說就是保持懷疑,而且是始終保持懷疑。
持續驗證。你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。
安全原則:
網絡上的知識,凡事都參考至少兩個來源的信息,彼此佐證,始終保持懷疑。
做好隔離,也就是雞蛋不要放在一個籃子里。
對于存有重要資產的錢包,不做輕易更新,夠用就好。
所見即所簽。即你看到的內容就是你預期要簽名的內容,當你簽名發出去后,結果就應該 是你預期的,絕不是事后拍斷大腿的。
重視系統安全更新,有安全更新就立即行動。
不亂下程序。
在此,十分推薦閱讀并掌握 《區塊鏈黑暗森林自救手冊》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)。
區塊鏈發展道阻且長,期望隨著行業的不斷完善,區塊鏈可以迸發出更大的力量,走向更大的舞臺
金色晨訊 | 1月25日隔夜重要動態一覽:21:00-7:00關鍵詞:新華網、巴基斯坦、推特、烏克蘭 1. 新華網:縱觀全年渝中經濟工作.
1900/1/1 0:00:00Hi,伙伴們,密恐的寶寶們還好嗎? 被嚇到的寶寶 來! 接受團子熱情的擁抱 這一期內容更加精彩!一起來看看吧~ DC漫畫推出DC Collectible Comics (DC3)收藏漫畫NFT.
1900/1/1 0:00:00以太坊合并計劃(The Merge)預計將于2022年第三季度/第四季度進行。目前的以太坊主網將與采用權益證明(Proof of Stake)的Beacon Chain網絡合并.
1900/1/1 0:00:00火幣生態鏈火幣生態鏈(Heco)是一個去中心化高效節能公鏈,也是火幣開放平臺推出的首個產品,在支撐高性能交易的基礎上,實現智能合約的兼容。 Heco的原生數字資產為HT,采用HPoS共識機制.
1900/1/1 0:00:00近日福田區將打造數字金融先行示范區消息引發市場關注。其中提到的數字金融應該如何理解,和我們時下熱議的數字經濟又該如何區分?《深圳市建設中國特色社會主義先行示范區的行動方案(2019-2025年).
1900/1/1 0:00:00今年,不少加密貨幣交易平臺都紛紛推出各種理財產品、量化交易產品。浮動收益理財就是其中之一。那么,什么是浮動收益理財?浮動收益理財是相對于固定收益理財而言的,正如字面意思,浮動收益理財的最終收益率.
1900/1/1 0:00:00