前言
慢霧科技發布《2022上半年區塊鏈安全及反洗錢分析報告》,聚焦于2022年上半年區塊鏈行業所發生的重大事件,主要介紹區塊鏈行業各賽道的安全狀況,延伸并提煉出上半年發生的典型安全事件以及常見攻擊手法。同時對典型安全事件的被盜資金流向進行分析,并通過歸納總結,首次公布一種針對混幣器資金追蹤的高級分析方法。由于篇幅限制,這里僅羅列分析報告中的關鍵內容,完整內容可通過文末PDF下載。
慢霧:區塊鏈因黑客攻擊損失總金額已超300億美元:金色財經報道,據慢霧統計數據顯示,自2012年1月以來,區塊鏈黑客造成的損失總金額約為30,011,604,576.24美元;黑客事件總數達到1101起。
其中Exchange、ETH Ecosystem、Bridge是在黑客攻擊中損失最大的類別,損失金額分別為10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合約漏洞、Rug Pull、閃電貸攻擊是最常見的攻擊方式,分別發生黑客事件137起,106起,87起。[2023/7/7 22:24:09]
一、背景
本節分為區塊鏈生態與監管、區塊鏈安全態勢及反洗錢態勢三部分。區塊鏈生態與監管
慢霧:警惕Web3錢包WalletConnect釣魚風險:金色財經報道,慢霧安全團隊發現 Web3 錢包上關于 WalletConnect 使用不當可能存在被釣魚的安全風險問題。這個問題存在于使用移動端錢包 App 內置的 DApp Browser + WalletConnect 的場景下。
慢霧發現,部分 Web3 錢包在提供 WalletConnect 支持的時候,沒有對 WalletConnect 的交易彈窗要在哪個區域彈出進行限制,因此會在錢包的任意界面彈出簽名請求。[2023/4/17 14:08:53]
從政策監管來看,2022年無疑是加密監管新紀元的開端,加密貨幣市場正在步向合規化;從產業賦能來看,區塊鏈產業發展機遇與挑戰并存,區塊鏈技術正在從“可用”走向“好用”;從市場發展來看,雖然加密貨幣在上半年經歷了令人難以置信的動蕩,但全球區塊鏈市場整體上仍在蓬勃發展。區塊鏈安全態勢
慢霧:DOD合約中的BUSD代幣被非預期取出,主要是DOD低價情況下與合約鎖定的BUSD將產生套利空間:據慢霧區情報,2022 年 3 月 10 日, BSC 鏈上的 DOD 項目中鎖定的 BUSD 代幣被非預期的取出。慢霧安全團隊進行分析原因如下:
1. DOD 項目使用了一種特定的鎖倉機制,當 DOD 合約中 BUSD 數量大于 99,999,000 或 DOD 銷毀數量超過 99,999,000,000,000 或 DOD 總供應量低于 1,000,000,000 時將觸發 DOD 合約解鎖,若不滿足以上條件,DOD 合約也將在五年后自動解鎖。DOD 合約解鎖后的情況下,用戶向 DOD 合約中轉入指定數量的 DOD 代幣后將獲取該數量 1/10 的 BUSD 代幣,即轉入的 DOD 代幣數量越多獲得的 BUSD 也越多。
2. 但由于 DOD 代幣價格較低,惡意用戶使用了 2.8 個 BNB 即兌換出 99,990,000 個 DOD。
3. 隨后從各個池子中閃電貸借出大量的 BUSD 轉入 DOD 合約中,以滿足合約中 BUSD 數量大于 99,999,000 的解鎖條件。
4. 之后只需要調用 DOD 合約中的 swap 函數,將持有的 DOD 代幣轉入 DOD 合約中,既可取出 1/10 轉入數量的 BUSD 代幣。
5. 因此 DOD 合約中的 BUSD 代幣被非預期的取出。
本次 DOD 合約中的 BUSD 代幣被非預期取出的主要原因在于項目方并未考慮到 DOD 低價情況下與合約中鎖定的 BUSD 將產生套利空間。慢霧安全團隊建議在進行經濟模型設計時應充分考慮各方面因素帶來的影響。[2022/3/10 13:48:45]
根據慢霧區塊鏈被黑事件檔案庫統計,截至6月30日,2022上半年安全事件共187件,損失高達19.76億美元。
慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:
1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;
2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;
3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;
4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;
5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;
6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;
7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;
8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;
9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]
區塊鏈反洗錢態勢
匿名性與不可逆是加密貨幣交易的天然屬性,正是這樣的原因,在加密貨幣犯罪頻發的情況下,區塊鏈反洗錢處于一個至關重要的位置,也是阻止黑客成功變現的最后防線。面對黑客無孔不入的威脅,不同的群體也不約而同的“組建”起反洗錢同盟,其中包括交易平臺/資金管理平臺/項目方、監管方和區塊鏈安全公司。2022上半年這些群體的反洗錢動態如何?在反洗錢分析過程中,始終存在著幾個核心的問題:發起攻擊的手續費來自哪里?洗錢的資金去了哪里?詳情見文末的PDF文件內容。二、區塊鏈安全現狀
本節分為區塊鏈生態安全概覽、攻擊手法概覽及典型安全事件三部分。區塊鏈生態安全概覽
根據慢霧區塊鏈被黑事件檔案庫統計,截至6月30日,DeFi安全事件約100起,損失超16.3億美元。其中在BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨鏈橋上發生的安全事件數量分別為47起、29起、8起、5起、2起、1起、7起,所造成損失分別為1.4億美元、3.08億美元、5491萬美元、6383萬美元、1310萬美元、830萬美元、10.43億美元。值得注意的是上半年損失金額上億美元的事件4起中就有3起來自跨鏈橋。NFT賽道安全事件約48起,損失超6281萬美元。在上半年,全球共發生4起交易平臺安全事件,損失超7770萬美元。攻擊手法概覽
187起安全事件中,攻擊手法主要分為四類:由項目自身設計缺陷和各種合約漏洞引起的攻擊;包含RugPull、釣魚攻擊等手法的Scam;由于私鑰泄露引起的資產損失;前端惡意攻擊,這四種主要攻擊手法占比安全事件總數量的95%。典型安全事件
此節選取了上半年部分典型安全事件,選取標準為損失較大,發生次數較多,影響范圍較廣及手法較新的事件。三、典型安全事件反洗錢分析
工具和方法
1、工具:MistTrackMistTrack反洗錢追蹤系統是一套由慢霧科技創建的專注于打擊加密貨幣洗錢活動的SaaS系統,具有資金風險評分模塊、交易行為分析模塊、資金溯源追蹤模塊、資金監控模塊等核心功能。通過標記1千多個地址實體、2億多個地址標簽,10萬多個威脅情報地址,以及超過9000萬個與惡意活動相關的地址,MistTrack為反洗錢分析和研究提供了全面的情報數據幫助。通過對任意錢包地址進行交易特征分析、行為畫像以及追蹤調查,MistTrack在反洗錢分析評估工作中起到至關重要的作用。2、方法:從區塊鏈反洗錢資金態勢中我們可以看到很多被黑事件發生后,在ETH/BSC鏈上的資金都不約而同的流向了一片灰暗之地——Tornado.Cash,Tornado.Cash已成為ETH/BSC鏈上反洗錢的主戰場。我們將提出一個針對Tornado.Cash資金轉出的分析方法。而在BTC鏈上,通過區塊鏈反洗錢資金態勢我們可以看到ChipMixer和Blender是黑客的常用洗錢平臺。Blender目前已被美國財政部制裁,ChipMixer流入洗錢資金量巨大,我們同樣需要提出一個針對ChipMixer資金轉出的分析方法。反洗錢分析詳述
本小節使用MistTrack基礎分析工具對11起典型安全事件展開了反洗錢分析,通過反洗錢分析清晰闡述“攻擊手續費來源是什么”、“錢去了哪里”的問題,并創造性的提出了一種數據分析方法來分析Tornado.Cash和ChipMixer的提款。四、寫在最后
本分析報告內容基于我們對區塊鏈行業的理解、慢霧區塊鏈被黑檔案庫SlowMistHacked以及反洗錢追蹤系統MistTrack的數據支持。但由于區塊鏈的“匿名”特性,我們在此并不能保證所有數據的絕對準確性,也不能對其中的錯誤、疏漏或使用本報告引起的損失承擔責任。同時,本報告不構成任何投資建議或其他分析的根據。本報告中若有疏漏和不足之處,歡迎大家批評指正。完整報告
一年前,ETH一路高歌猛進,市場對于顯卡的需求極具上漲。巔峰時,原價買到一張新顯卡實屬奢望,想擁有顯卡只能去二級市場接受超高溢價.
1900/1/1 0:00:00俄烏戰爭是2022年最具黑天鵝性質的事件。戰爭的爆發催生了包括糧食、能源等多重大宗商品的供應危機,而美元在新冠暴虐時期的大放水所帶來的高通脹風險也因此顯現出來.
1900/1/1 0:00:00從7月下旬開始,上市公司紛紛公布了第二季度的財務報告。上半年,在ThreeArrowsCapital和Celsius等大型機構暴雷、監管不斷升級、宏觀經濟持續低迷的大背景下,加密巨頭以及與加密行.
1900/1/1 0:00:00上周,EncodeClub在巴黎舉辦了為期2天的StarkNet黑客馬拉松活動,一共有150位開發者和30個項目,來看看在這次活動中,有哪些項目進入了決賽以及有哪些項目贏得了獎項.
1900/1/1 0:00:00Ibelievethatnoteverythingthatcanbecountedcounts,andnoteverythingthatcountscanbecounted.我相信,能被計算的.
1900/1/1 0:00:00隨著DeFi和GameFi迅猛發展,相關市場急需安全、快速的去中心化企業級數據處理解決方案,SpaceandTime已成為該領域首個“探路者”.
1900/1/1 0:00:00