本篇主要聚焦區塊鏈生態安全概覽及攻擊手法。
區塊鏈安全態勢
近兩年來,在疫情持續肆虐、經濟衰退、能源短缺、地緣沖突升級、國際間競爭加劇等種種因素的影響之下,全球社會與經濟發展遭遇了前所未有的挑戰。與此同時,全球區塊鏈行業也經歷著一場不斷加速的變革:區塊鏈技術的效率、安全性和可擴展性得到不斷改善,元宇宙、NFT等新興領域的興起,使區塊鏈行業正式邁入3.0時代。
根據慢霧區塊鏈被黑事件檔案庫統計,截至6月30日,2022上半年安全事件共187件,損失高達19.76億美元。
在這些安全事件中,約77%源于項目自身存在漏洞被攻擊者利用,損失金額約18.4億美元,占安全事件總損失的93%;約21%源于包含Phishing&RugPull的Scams,損失金額約1.3億美元,占安全事件總損失的6%。
區塊鏈生態安全概覽
根據被攻擊對象的不同,我們將187起安全事故分為三部分:公鏈賽道、交易平臺和其他。
公鏈賽道
恒大報告:區塊鏈將成為引領產業浪潮的重要引擎:恒大研究院發布最新研究報告表示,隨著資本和人才的快速涌入,適合區塊鏈應用的場景將加快落地,行業將在3-5年內更快更規范地發展。在高速發展同時,區塊鏈(尤其是大型公鏈)還需要面對交易性能偏低、安全性隱患、標準尚未統一、監管政策不完備等諸多技術、商業與監管方面的挑戰。這正說明技術本身仍然處在“從0到1”的初始階段。報告表示,未來,區塊鏈除了自身運用側鏈、閃電網絡、跨鏈等技術外,更需要與5G、人工智能、大數據、物聯網等新興信息技術深度融合,從而提升技術性能和鏈下數據質量并減少資源浪費。報告還提到,智能合約可能是區塊鏈上最具革命性的應用。如果智能合約在區塊鏈上實現廣泛運用,經濟分工將在互聯網時代進一步細化,全球范圍內的各網絡節點將直接對接需求和生產,更廣泛的社會協同將得以實現。如果上述愿景實現,區塊鏈技術與行業的結合有望迎來“從1到N”的爆發時刻,它的爆發或將不是線性的而是非線性的,區塊鏈也才可能從“信任機器”升級成為引領產業浪潮的重要“引擎”。(新浪財經)[2020/5/19]
作為區塊鏈行業的基礎設施,公鏈承載了人們對于區塊鏈作為Web3底層網絡的期望。隨著一代又一代公鏈的崛起,NFT、DeFi、GameFi、元宇宙等生態熱潮也相繼迎來爆發,同時這些項目也促進了公鏈的發展與價值提升,使多鏈世界從理想走向了現實。據FootprintAnalytics的數據,截至6月累計已收錄的公鏈數量有119條,對比2021年6月收錄的31條,同比增長約284%。
動態 | 報告:比特幣改革與歐洲新教改革類似 引發各界討論:Adamant Capital創始合伙人Tuur Demeester最近的報告稱比特幣改革與16至17世紀的歐洲新教改革與相似之處。其表示,發布后的前24小時內報告訪問量達7000次、下載2800次,正在翻譯法語和芬蘭語版本。紐約大學經濟學名譽教授Richard Sylla稱,“我們都知道銀行在轉賬時收取你很高的費用。”比特幣和其他加密貨幣有望使海外支付更便宜和安全。打破銀行的壟斷會有好處。但美聯儲和其同行央行不太可能很快消失,“更可能的是‘壟斷者’會參與進來,央行單獨或與其他國家合作建立自己的數字貨幣……各國央行正在研究加密貨幣,不僅僅是比特幣,比特幣的價格波動使其作為一種貨幣受到懷疑。”并非所有人都同意新教改革是當今金融服務劇變或者“歷史上最根本的變革”的恰當歷史比較,deVere Group創始人Nigel Green稱,“我認為這些當代變化類似于其他金融行業的里程碑,例如18世紀末羅斯柴爾德家族建立銀行,20世紀80年代對金融服務行業放松監管以及2008年全球金融危機。正是金融科技以各種形式,包括比特幣等加密貨幣,推動了這一點。”(Cointelegraph)[2019/11/17]
但公鏈的快速發展同時是一把雙刃劍,在促進產業進步的同時,引發的區塊鏈安全問題也顯著增加,我們分別從?DeFi、NFT、跨鏈橋三方面解析。
DeFi生態
DeFi作為世界上最受歡迎的可編程區塊鏈,2022發展態勢不可小覷,據DeFiLlama數據顯示,6月30日DeFi總鎖倉價值為1432億美元,其中ETH鏈以945.5億美元的TVL占據了資金沉淀的半壁江山,其次是BSC鏈的110.8億美元。2021年以來,許多新興公鏈如Solana、Avalanche等通過擁抱DeFi快速發展鏈上生態,也吸引了大量用戶和資金沉淀。6月30日SolanaTVL為26.4億美元,同比增長77%;AvalancheTVL為55.4億美元,同比增長96%。
動態 | 清華大學互聯網產業研究院發布《版權+區塊鏈技術應用發展報告》:據清華大學互聯網產業研究院報道,8月16日,清華大學互聯網產業研究院召開了版權+區塊鏈技術主題沙龍并發布了《版權+區塊鏈技術應用發展報告》。該報告由清華大學互聯網研究院、中關村區塊鏈產業聯盟、首都版權聯盟共同發布。報告指出,版權產業是區塊鏈技術最早開始嘗試和落地的方向,也符合國家提倡的無幣區塊鏈的精神,落地實踐案例不斷增多。但是目前還存在一定的問題,諸如應用范圍較為單一,與現有版權產業融合度不高,商業模式尚未建立,盈利困難等問題。報告指出,未來,區塊鏈技術應用于版權保護的發展必須與版權產業深度融合,借助政府部門、司法部門、行業協會和企業等各方面力量共建生態。并提出探索版權產業和區塊鏈技術的深入融合,依托高校、研究機構和企業自主創新平臺,通過攻關核心共性關鍵技術等解決版權+區塊鏈技術應用難題等建議。[2019/8/16]
隨著DeFi熱潮的興起,該領域也自然成為了黑客覬覦的重點對象。根據SlowMistHacked統計,截至6月30日DeFi安全事件約100起,損失超16.3億美元。其中在BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨鏈橋上發生的安全事件數量分別為47起、29起、8起、5起、2起、1起、7起,所造成損失分別為1.4億美元、3.08億美元、5491萬美元、6383萬美元、1310萬美元、830萬美元、10.43億美元。
動態 | 美國國會研究服務處發布報告 詳細說明區塊鏈在國家能源部門的潛在用途:美國國會研究服務處于8月9日發布題為“比特幣、區塊鏈和能源部門”的報告,詳細說明了國家能源部門區塊鏈的潛在用途。該報告詳細介紹了與加密貨幣采礦有關的國內和國際能源消費現狀,并探討了規范能源密集型采礦過程的可能方法,并將區塊鏈技術整合到當前的能源系統中。區塊鏈的一些潛在用例包括將公用事業賬單交易放置在智能電網上,支持電動車輛充電基礎設施以及分配能源資源。[2019/8/13]
NFT生態
基于區塊鏈技術的NFT也是需要重點關注的對象,隨著一批頭部NFT項目的崛起和各路名人的參與,NFT極速發展。根據DuneAnalytics的數據,OpenSea的交易量在1月份達到上半年最高峰2.84億美元,而隨著加密貨幣市場的變化,OpenSea在6月份的交易量只有1558萬美元,下滑94%。在NFT的熱潮中,目前以太坊生態的NFT在市值和交易量依舊占據市場的主流,交易量超90%。除了以太坊外,從近30天交易量和近7天交易量這些短期數據來看,Solana,Flow等生態的NFT也正在快速發展,且表現亮眼,多鏈時代距離我們越來越近。
蓬勃發展的同時意味著賽道發生的安全事故也不在少數,根據SlowMistHacked不完全統計,截至6月30日NFT賽道安全事件約48起,損失超6281萬美元。其中33.4%源于項目自身存在的漏洞被攻擊者利用,20.8%源于RugPull,而釣魚攻擊占了大部分,占比為45.8%,多數都是由于Discord/Twitter等媒體平臺被黑后黑客發布釣魚鏈接。
動態 | Vision Hill Advisors 2018年四季度加密基金報告:回報率下跌18.8%:Vision Hill Advisors發布2018年四季度加密基金報告,加密基金回報率下跌了18.8%,是自加密基金產品推出以來最差的一個季度。相比而言,二季度的下跌幅度為4.3%,三季度為9.2%。不過,加密基金的中位收益表現依然優于比特幣,其投資回報率較比特幣高出25%。此外,截至去年四季度,加密基金管理的總基金資產規模大約為45億美元(不包含相關領域里的遺留資金),其中50%的資產被排名前二十的基金公司集中控制。[2019/2/21]
并且隨著時間推移,不法分子的攻擊逐漸猖獗,根據TRMLabs發布的報告,在5、6兩個月,由TRMLabs社區主導的詐騙報告平臺Chainabuse收到了超過100份關于Discord黑客攻擊的報告;自5月以來,NFT社區損失約2200萬美元;6月,黑客在被黑的Discord中發布NFT相關的釣魚攻擊同比增加了55%。
跨鏈橋
隨著區塊鏈的發展,目前已經進入一個以太坊為核心多鏈并存的局面,鏈與鏈之間的資產轉移、智能合約的跨鏈交互已成為鏈上活動的日常,跨鏈橋作為區塊鏈基礎設施的地位越發凸顯。根據DuneAnalytics數據,截至6月30日以太坊中15個主要跨鏈橋的鎖定總價值約83.9億美元。目前TVL最高的是PolygonBridges,排名第二的是ArbitrumBridge,隨后是AvalancheBridge。
由于流動資金量大,去中心化程度低,權限幾乎都掌握在多簽錢包中等特性,跨鏈橋也成了黑客眼中的“香餑餑”。根據SlowMistHacked統計,截至6月30日跨鏈橋安全事件共7起,損失高達10.43億美元,占比DeFi上半年總損失的64%,占比上半年總損失的53%。值得注意的是上半年,損失金額上億美元的事件4起中就有3起來自跨鏈橋。作為多鏈生態的重要基礎設施,跨鏈橋一方面承擔著巨量的資金流動,為用戶帶來了極大的便利,另一方面在安全性和去中心化水平上面臨許多挑戰,需要項目方提升安全、風控等能力。
交易平臺
加密貨幣行業一直處在監管漩渦中,首當其沖的就是加密貨幣交易平臺。交易平臺發生的安全事故分析如下:以全球交易量最大的平臺Binance為例,自2021年來,Binance已遭到數十個國家和地區的監管警告,包括歐洲、美洲、亞洲在內的多個地區。在全球強力監管信號下,Binance陸續在西班牙、法國、阿布扎比、迪拜、意大利、巴林等國家或地區獲得了監管許可并進行了注冊,逐步推進其合規化進程。
在上半年,全球共發生4起交易平臺安全事件,損失超7770萬美元,具體如下:
1月9日,LCX技術團隊在LCX交易平臺上檢測到一個未經授權的訪問,總共約794萬美元的加密資產被盜。
1月17日,Crypto.com少數用戶遭到未經授權提款,損失約3400萬美元,包括4,836.26ETH、443.93BTC和約66,200美元的其他加密貨幣。
2月8日,LockBit勒索軟件團伙稱從加密貨幣交易平臺PayBito竊取了大量客戶數據。
2月12日,來自美國南達科他州提供自主退休金賬戶的IRAFinancialTrust對加密交易平臺Gemini提起訴訟,指控稱由Gemini保管的屬于客戶退休賬戶的3600萬美元加密資產被盜。
慢霧安全團隊建議各大交易平臺健全內部管理與技術機制,通過引入安全審計機制、零信任機制、冷熱資產安全解決方案等來加強對數字資產的安全保障。
其他
不法分子看中加密貨幣的匿名性,區塊鏈已成為網絡黑產的新風口,呈現出越來越明顯的組織化與專業化趨勢,“勒索”、“欺詐”及“盜竊”已成為加密貨幣巨大安全威脅。據中國人民銀行支付結算司數據,2021年涉詐款項的支付方式中,利用加密貨幣進行支付僅次于銀行轉賬,排名第二位,高達7.5億美元;而2020年、2019年僅為1.3、0.3億美元,逐年大幅增長的趨勢明顯。值得關注的是,加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。2021年“殺豬盤”詐騙資金中1.39億美元使用加密貨幣支付,是2020年的5倍、2019年的25倍。
攻擊手法概覽
以上187起安全事件中,攻擊手法主要分為四類:由項目自身設計缺陷和各種合約漏洞引起的攻擊;包含RugPull、釣魚攻擊等手法的Scam;由于私鑰泄露引起的資產損失;前端惡意攻擊,這四種主要攻擊手法占比安全事件總數量的95%。
上半年由項目自身設計缺陷和各種合約漏洞引起的攻擊共92起,造成損失10.6億美元,其中利用閃電貸引起的攻擊有19起,造成損失6133萬美元。因私鑰被盜引起的資產損失發生率約為4%,損失金額卻達到7.2億美元。隨著Web3的火熱發展,針對用戶和開發人員的攻擊層出不窮,尤其是針對Discord、Twitter等媒體平臺的釣魚攻擊,黑客通常會在獲取到管理員或者賬戶權限后,偽裝成管理員身份并發布釣魚鏈接。并且這些釣魚網站的制作成本非常低,在對知名NFT項目進行Copy后,通過贈送、免費等字眼誘導用戶授權,從而轉移用戶資產。而RugPull則是項目方主動作惡,上半年RugPull事件已達到42起,大部分發生在BSC鏈。
總結
盡管2022年區塊鏈技術正在飛速發展并且逐漸完善,但層出不窮的加密貨幣攻擊事件對區塊鏈生態安全態勢提出了新的挑戰。從統計數據來看,上半年發生安全事件次數較多的月份主要在5、6月;從各生態來看,BSC上安全事件發生最多;從賽道來看,損失最多的是跨鏈橋。
對此慢霧安全團隊建議:
對于機構和企業來說,最好能夠建立全面的網絡安全防護系統,防護從各個層次入侵的網絡安全威脅,并通過威脅感知體系快捷獲取病木馬、釣魚詐騙、網絡安全預警、漏洞報告在內的安全情報,一旦發生安全威脅能夠及時進行處理。
對于個人用戶來說,遵守以下安全法則及原則,可以避免大部分風險:
兩大安全法則:
零信任。簡單來說就是保持懷疑,而且是始終保持懷疑。
持續驗證。你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。
安全原則:
網絡上的知識,凡事都參考至少兩個來源的信息,彼此佐證,始終保持懷疑。
做好隔離,也就是雞蛋不要放在一個籃子里。
對于存有重要資產的錢包,不做輕易更新,夠用就好。
所見即所簽。即你看到的內容就是你預期要簽名的內容,當你簽名發出去后,結果就應該是你預期的,絕不是事后拍斷大腿的。
重視系統安全更新,有安全更新就立即行動。
不亂下程序。
在此,十分推薦閱讀并掌握《區塊鏈黑暗森林自救手冊》。
區塊鏈發展道阻且長,期望隨著行業的不斷完善,區塊鏈可以迸發出更大的力量,走向更大的舞臺
Tags:區塊鏈加密貨幣NFTEFI區塊鏈dapp開發pdf加密貨幣市場總市值數量級是多少NFTMAKEFriends With Benefits Pro
以太坊合并可能導致一場經濟上的混亂局面,而在這一系列不確定中,仍存在確定性的機會。原文作者:LucasCampbell,Bankless分析師原文編譯:AididiaoJP,ForesightN.
1900/1/1 0:00:00來源:Nansen 在2022年上半年,市場參與者在鑄造NFT上花費了大約27億美元的資金。那NFT項目用他們籌集的錢到底做了什么呢?在2022年1月1日至6月30日期間,市場參與者在以太坊區塊.
1900/1/1 0:00:00作為PC端互聯網的巨頭,百度無疑占據了龐大的市場,但隨著互聯網的迭代,百度錯過了移動互聯網的發展機會,在BAT中成為末位.
1900/1/1 0:00:00元宇宙概念又添了新故事,不過這一次是出現在八竿子打不著的理想、蔚來身上。前幾天,一則關于理想、蔚來準備發行數字貨幣的消息在網上流傳開來.
1900/1/1 0:00:00監管風暴再次來襲。自2021年9月央行等十部門對虛擬貨幣非法業務活動重拳出擊后,一年后的2022年8月9日,國家網信辦再發布集中整治涉虛擬貨幣炒作亂象的消息稱,已關閉上萬個違規用戶賬號,清理數萬.
1900/1/1 0:00:00說下近期各個板塊看到的正在發生的,以及未來6-12個月可能出現的趨勢整體會分為公鏈,Defi(Dex,借貸,穩定幣,合成資產等),NFT,Gamfi.
1900/1/1 0:00:00