比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > DAI > Info

區塊鏈:2022年Q1全球區塊鏈安全生態報告 攻擊類安全事件造成的損失高達12億美元

Author:

Time:1900/1/1 0:00:00

2022年,區塊鏈行業迎來新的發展時期,但各類安全風險也在不斷升級。

成都鏈安新推出的《安全研究季報》欄目,將為大家盤點每季度全球區塊鏈安全態勢。

今天,跟著我們一起來回顧,2022年Q1區塊鏈安全生態都發生了什么。

2022年Q1區塊鏈安全生態概覽

安全事件造成的損失高達約12億美元

2022年第一季度 ,根據成都鏈安[鏈必應-區塊鏈安全態勢感知平臺]監測到的數據統計,攻擊類安全事件造成的損失高達約12億美元,較去年同期(2021年Q1)的1.3億美元上漲約9倍。同時也比2021年的任何一個季度損失的金額都要高。

2022年3月,Ronin攻擊事件造成6.25億美元資金被盜,超越2021年8月Poly Network被攻擊的6.1億美元,登上Defi黑客攻擊損失榜第一位。當然,不是每個項目都能像Poly Network一樣能夠追回資金。截止本報告撰寫時(4月),Ronin的黑客依舊在分批次進行洗錢。

從鏈平臺來看

Ethereum和BNB依舊是被攻擊頻次最高的兩條鏈,但高攻擊頻次并不意味著高損失金額。2022年第一季度,我們監測到Solana鏈典型攻擊事件2起,損失金額卻高達3億7400萬美元,遠遠多于BNB Chain上的損失。

從資金流向來看

80%的情況下,黑客都會最終將盜取資金轉入Tornado.Cash進行混幣。有10%的情況,黑客會將資金暫時留在自己的地址,有時要等待幾個月,甚至幾年才對贓款進行轉移。有少部分黑客會主動歸還盜取資金。

比特幣挖礦難度下調至13.67T,創2020年1月以來新低:7月18日消息,比特幣挖礦難度完成調整,下調4.81%,降至13.67T。這是比特幣挖礦難度連續第四次下調,較5月13日25.05T的高點下調45.4%。當前難度創2020年1月以來的新低。[2021/7/18 1:00:16]

從攻擊手法來看

合約漏洞利用和閃電貸攻擊是黑客最常使用的手段。50%的攻擊手法為合約漏洞利用。

從審計情況來看

在被攻擊的項目中,70%的項目經過了第三方安全公司的審計。然而在剩余30%未經審計的項目中,因攻擊事件遭受的損失卻占了整個損失金額的60%以上。

從項目類型來看

DEFI項目依舊是黑客攻擊的熱點領域,占了總共被攻擊項目數量的60%。而跨鏈橋雖然被攻擊的次數不多,但涉及的金額卻巨大。

Q1發生典型攻擊事件超30起

跨鏈橋類項目損失慘重

2022 年第一季度,區塊鏈領域共發生典型安全事件約30起。總損失金額約為12億美元,與去年同期相比增長了823%。

在前20排名里,損失金額最高的Ronin為6.25億,約是金額最低的Build Finance(112萬美元)的558倍。

世界經濟論壇報告:區塊鏈技術是2021年十大科技地緣風險之一:世界經濟論壇發布的一份報告稱,隨著政府、機構和企業在爭奪技術主導地位的競爭中劃出新的界限,許多關鍵技術將在2021年進一步發揮顛覆性力量。作者Abishur Prakash在報告中討論了2021年十大科技地緣風險,并提供了關于下一個地緣的全球構造變化的最新信息,包括區塊鏈、人工智能和許多其他領域。Prakash在接受采訪時解釋道:“我把區塊鏈看作是世界的‘重新布線(rewiring)’。像互聯網一樣,區塊鏈代表了一個包含各種商務的平臺,無論是全國選舉、金融交易還是敏感信息的移動。但與互聯網在很大程度上出現在單極世界的情況不同,區塊鏈是在地緣競爭激烈的時期出現的。”(Sputnik News)[2021/1/2 16:15:50]

從統計圖表可以看到,Ronin和Wormhole兩個項目的損失金額達到了9億5000萬美元,占2022年Q1總損失金額的80%。值得注意的是,這兩者均為跨鏈橋類項目。

被攻擊項目類型方面

DeFi仍為黑客攻擊的重點領域

2022 年第一季度,區塊鏈領域,DeFi項目仍為黑客攻擊的重點領域,共發生19起安全事件,約60%的攻擊發生在DeFi領域。

此外,針對NFT的攻擊事件在2022年第一季度有所上升,跨鏈橋項目被攻擊了4次,造成的損失卻高達9億5000萬美元,占到2022年一季度損失金額的80%,跨鏈橋安全事件頻發,涉及金額巨大。

韓國加密稅將從2021年10月1日起實行:在韓國25日舉行的國務會議上,確認了對16項稅法的修正案,政府計劃在下個月3日將提案提交給國民議會。修正案中提到,從2021年10月1日以后,如果通過加密交易每年賺取250萬韓元或以上,則將需要支付20%的資本利得稅。此前7月份,韓國財政部公布2020年稅改計劃,提到將對數字貨幣交易征收20%的資本利得稅。[2020/8/25]

鏈平臺損失金額方面

Ethereum損失金額占比最高

2022 年第一季度,Ethereum和Solana鏈上攻擊損失金額排名前2,分別為6億5448萬和3億7400萬美元。

Ethereum被攻擊的頻次也是最多的,占到了總頻次的45%;排名第二的是BNB Chain,占比19%。

Solana鏈上的兩次攻擊事件都造成了巨額損失:Wormhole損失3億2600萬美元,Cashio損失4800萬美元。兩者的攻擊手法同為合約漏洞利用。

鏈平臺損失金額占比

此外,一些TVL排名靠前的公鏈在2022年第一季度未檢測到重大安全事件,如:Terra、Avalanche、Tron等。

動態 | 香港金管局與泰國央行合作 計劃于2020年一季度發布CBDC聯合研究報告:根據媒體 EJ Insight 報道,香港金管局與泰國央行(BoT)合作計劃在 2020 年第一季度之前發布針對央行數字貨幣(CBDC)利弊的聯合研究報告,同時香港金管局也與泰國央行研究如何使用批發央行數字貨幣來改進香港和泰國銀行之間的付款對付款(PvP)結算系統。該媒體同時表示,香港金管局還與中國人民銀行數字貨幣研究所合作開展了一些項目。香港金管局高級執行董事 Edmond Lau 表示,中央銀行專注于數字貨幣的機構層面,并認為沒有必要將其發行給零售用戶。金管局計劃將數字貨幣用于銀行間同業支付、一級市場公司批發支付以及證券結算。[2019/11/8]

攻擊手法分析

合約漏洞利用和閃電貸最常見

2022 年第一季度,區塊鏈安全生態領域,約50%的攻擊方式為合約漏洞利用,24%的攻擊方式為閃電貸。

有12%的攻擊為私鑰泄露、釣魚攻擊和社會工程學攻擊。此類攻擊源于項目方沒有保管好私鑰或警惕性不足。

被黑客利用的合約漏洞中,最常見的漏洞為重入漏洞(30%),其次分別為業務邏輯不當(24%)、call注入攻擊(18%)和驗證不當或不足(18%);其中絕大部分漏洞都可以通過安全審計盡早發現和修復。

典型安全事件分析

案例一:TreasureDAO被攻擊事件

背景:

3月3日,TreasureDAO NFT 交易市場被曝發現漏洞,導致100多個NFT被盜。然而在事件發生幾小時后,攻擊者卻開始歸還被盜NFT。

比原鏈創始人長鋏:2020年區塊鏈將進入3.0,區塊鏈將脫虛向實,服務于實體經濟:日前,巴比特、比原鏈創始人長鋏在出席“2018第二屆萬物生長大會”時表示,2009年是區塊鏈1.0階段,2017年是區塊鏈2.0階段,而2020年的時候會進入到區塊鏈的第三個階段,就是通過智能合約來發行實體資產或者說來幫助現實中的真實資產上鏈,區塊鏈最終還是要脫虛向實,服務于實體經濟。[2018/3/12]

詳情:

交易發起者通過合約的buyItem函數傳入了數值為0的_quantity參數,從而無需費用就能購買TokenID為5490的ERC-721代幣。

項目合約的 buyItem 函數代碼

從代碼上來看,合約的buyItem函數在傳入_quantity參數后,并沒有做代幣類型判斷,直接將_quantity與_pricePerItem相乘計算出了totalPrice,因此safeTransferFrom函數可以在ERC-20代幣支付數額只有0的情況下,調用合約的buyItem函數來進行代幣購買。

然而在調用buyItem函數時,函數只對購買代幣類型進行了判斷,并沒有對代幣數量進行非0判斷,導致ERC-721類型的代幣可以在無視_quantity數值的情況下直接購買,從而實現了漏洞攻擊。

建議:

本次安全事件主要原因是ERC-1155代幣和ERC-721代幣混用導致的邏輯混亂,ERC-721代幣并沒有數量的概念,但是合約卻使用了數量來計算代幣購買價格,最后在代幣轉賬時也沒有進行分類討論。

建議開發者在開發多種代幣的銷售販賣合約時,需要根據不同代幣的特性來進行不同情況的業務邏輯設計。

案例二:Build Finance項目遭遇治理攻擊

背景:

2 月 15 日,DAO 組織 Build Finance 表示遭遇惡意治理攻擊,攻擊者通過獲得足夠多的投票成功了控制其 Token 合約。

在2020年9月4日的一筆交易中,Build Finance合約創建者通過setGovernance函數將治理權限轉移。通過查找內部的Storage,發現權限轉移給了0x38bce4b地址。繼續跟進0x38bce4b地址,發現是一個Timelock合約,而合約中可以調用setGovernance函數的只有executeTransaction函數。

Build Finance被攻擊流程

繼續跟進發現,在2021年1月25日,0x38bce4b地址調用executeTransaction函數將權限轉移到了0x5a6ebe地址。2022年2月11日,由于投票設置的閾值較低導致提案通過,0x5a6ebe地址的治理權限變更為了0xdcc8A38A地址。在獲取到治理權限后,攻擊者惡意鑄幣并耗盡了交易池的流動性。

DAO合約應該設置合適的投票閾值,實現真正的去中心化治理,避免很少的投票數量就使得提案通過并成功執行,建議可以參考openzeppelin官方提供的治理合約的實現。

案例三:Ronin6億美元盜幣案?

3 月 23 日,Sky Mavis 的 Ronin 驗證器節點和 Axie DAO 驗證器節點遭到破壞,攻擊者使用被黑的私鑰來偽造假提款,獲利約6.25億美元。而Ronin Network直到3月29日才發現自己遭受到了攻擊。

Sky Mavis 的 Ronin 鏈目前由 9 個驗證節點組成。為了識別存款事件或取款事件,需要九個驗證者簽名中的五個。攻擊者設法控制了 Sky Mavis 的四個 Ronin 驗證器和一個由 Axie DAO 運行的第三方驗證器。此后 Ronin 官方表示,所有證據都表明這次攻擊或與社會工程學相關。

Ronin黑客洗錢過程(更新至3月30日)

1、注意簽名服務器的安全性;

2、簽名服務在相關業務下線時,應及時更新策略,關閉對應的服務模塊,并且可以考慮棄用對應的簽名賬戶地址;

3、多簽驗證時,多簽服務之間應該邏輯隔離,獨立對簽名內容進行驗證,不能出現部分驗證者能夠直接請求其它驗證者進行簽名而不用經過驗證的情況;

4、項目方應實時監控項目資金異常情況。

被盜資金流向分析

Tornado.Cash或為黑客洗錢慣用途徑

80%的情況里,黑客在得手后,會立刻或幾天內將盜取資金轉入Tornado.Cash進行混幣。

10%的情況里,黑客會暫時將贓款留在自己地址,等待幾個月至幾年才將資金轉出。例如去年12月被盜的交易所AscendEX,黑客等到今年2月、3月才開始進行分批次洗錢。而今年Ronin的攻擊者目前依然在進行頻繁的洗錢操作。

有少部分黑客會歸還盜取資金。Cashio的攻擊者在盜取4800萬美元的資金后,公開留言表示將向價值在10萬美元以下賬戶進行退還,并聲稱“我的目的只是從不需要的人那里拿錢,而不是從需要的人那里拿錢”。

目前Tornado.cash依舊為黑客慣用的洗錢途徑。

項目審計情況分析

30%未經審計的項目損失金額占總量的60%

項目審計情況:

70%的被攻擊項目經過了第三方安全公司的審計;

30%未審計的項目,損失金額達7.2億美元,占第一季度總損失金額的60%;

項目上線之前的審計依舊重要。在未審計的項目中,50%的攻擊手法都為合約漏洞利用。因此,盡早審計和及時修復代碼漏洞,可以避免上線后項目被攻擊造成的嚴重損失。

項目審計情況及總損失金額

2022年Q1結語

安全事件頻發,涉及金額大幅增加

2022年第一季度 ,區塊鏈領域攻擊類安全事件造成的損失高達約12億美元,比2021年的任何一個季度損失的金額都要高。跨鏈橋項目被盜取金額巨大,DeFi項目被攻擊頻次最高,這兩個領域今后或許也是黑客重點盯上的攻擊目標。

項目方應及時關注資金異常情況,成都鏈安[鏈必應-區塊鏈安全態勢感知平臺]可以讓項目方和用戶及時發現風險交易,從而快速采取措施。例如立刻暫停相關服務,或告知用戶取消授權等,避免后續更大的損失。

項目安全審計依舊重要,約50%的攻擊方式為合約漏洞利用,這其中絕大多數漏洞都可以通過安全審計及早發現和修復。

Tags:區塊鏈RONONIASH區塊鏈技術的應用TORONTO幣MoniBookshashcoin

DAI
元宇宙:元宇宙需要法律規范

對元宇宙了解越多,越感覺到這一領域需要法律規范的重要性。一方面,不要神話元宇宙,另一方面需要規范元宇宙,這是元宇宙健康發展,有益國家和民族的關鍵.

1900/1/1 0:00:00
AND:The Sandbox Q1報告:數字地塊的二級銷售下降54% 一級銷售量增長23%

鑒于整體市場降溫,數字地塊的二級銷售下降了 54%,但仍比 2021 年第三季度增長了 865%。一級銷售量因新地塊(Parcel)的發行而增長 23%.

1900/1/1 0:00:00
NFT:NFT 金融化

關于NFT借貸領域及其定價基礎設施解決方案的市場研究,在這篇文章中,我試圖描述NFT領域的當前現實,并深入探討我認為的下一個增長階段的關鍵.

1900/1/1 0:00:00
區塊鏈:金色觀察丨PriFi興起 隱私公鏈將是下個加密風口?

金色財經 區塊鏈4月18日訊  自2009年中本聰推出了顛覆金融世界的比特幣以來,加密市場格局已經發生了翻天覆地的變化.

1900/1/1 0:00:00
元宇宙:從摹仿到塑造 元宇宙藝術何以可能?

“元宇宙”是2021年以來關注度極高的一個詞。作為一種新興技術形態,元宇宙能夠以數據的方式建構現實世界的平行宇宙,實現全沉浸式的呈現,這正是對感知信號的完全摹仿.

1900/1/1 0:00:00
GAM:GameFi、SocialFi、SimpFi:什么將推動下一波加密采用?

在過去的幾年里,新加坡已經成為區塊鏈初創公司的中心。根據該國的法規,公司已經能夠自由探索加密空間的效用。Coinhako和Ziliqa等平臺的成功對這一發展起到了推動作用.

1900/1/1 0:00:00
ads