本篇主要聚焦區塊鏈生態安全概覽及攻擊手法。
區塊鏈安全態勢
近兩年來,在疫情持續肆虐、經濟衰退、能源短缺、地緣沖突升級、國際間競爭加劇等種種因素的影響之下,全球社會與經濟發展遭遇了前所未有的挑戰。與此同時,全球區塊鏈行業也經歷著一場不斷加速的變革:區塊鏈技術的效率、安全性和可擴展性得到不斷改善,元宇宙、NFT 等新興領域的興起,使區塊鏈行業正式邁入 3.0 時代。
根據慢霧區塊鏈被黑事件檔案庫( SlowMist Hacked )統計,截至 6 月 30 日,2022 上半年安全事件共 187 件,損失高達 19.76 億美元。
(2022 上半年安全事件)
在這些安全事件中,約 77% (144 起)源于項目自身存在漏洞被攻擊者利用,損失金額約 18.4 億美元,占安全事件總損失的 93%;約 21%(39 起) 源于包含 Phishing&Rug Pull 的 Scams,損失金額約 1.3 億美元,占安全事件總損失的 6%。
(2022 上半年安全事件攻擊原因分布圖)
(2022 上半年安全事件攻擊原因損失對比圖)
區塊鏈生態安全概覽
根據被攻擊對象的不同,我們將 187 起安全事故分為三部分:公鏈賽道、交易平臺和其他。
報告:越來越多的LRC進入休眠,大量持有者處于虧損狀態:10月9日消息,根據加密貨幣社交分析平臺LunarCrush的數據,Loopring(LRC)在過去90天中創下每日社交貢獻者人數最高記錄 (5,260)。從歷史上看,加密資產社交活動的反彈會促使其價格出現類似的增長。但就LRC而言,情況有所不同,其價格在過去三個月呈下跌趨勢,三季度跌幅23%,季度收于0.285美元。
除了價格下跌外,LRC網絡的開發活動在審查期間也受到影響,過去三個月下降了7%,交易LRC的每日活躍地址下降了 87%,同一時期每天在網絡上創建的新地址減少了58%。[2022/10/9 12:50:20]
公鏈賽道
作為區塊鏈行業的基礎設施,公鏈承載了人們對于區塊鏈作為 Web3 底層網絡的期望。隨著一代又一代公鏈的崛起,NFT、DeFi、GameFi、元宇宙等生態熱潮也相繼迎來爆發,同時這些項目也促進了公鏈的發展與價值提升,使多鏈世界從理想走向了現實。據 Footprint Analytics 的數據,截至 6 月累計已收錄的公鏈數量有 119 條,對比 2021 年 6 月收錄的 31 條,同比增長約 284%。
(2021 與 2022 年 6 月公鏈數量對比)
但公鏈的快速發展同時是一把雙刃劍,在促進產業進步的同時,引發的區塊鏈安全問題也顯著增加,我們分別從?DeFi、NFT、跨鏈橋三方面解析。
DeFi 生態
DeFi 作為世界上最受歡迎的可編程區塊鏈,2022 發展態勢不可小覷,據 DeFi Llama 數據顯示,6 月 30 日 DeFi 總鎖倉價值為 1432 億美元,其中 ETH 鏈以 945.5 億美元的 TVL(Total Value Locked)占據了資金沉淀的半壁江山,其次是 BSC 鏈的 110.8 億美元。2021 年以來,許多新興公鏈如 Solana、Avalanche 等通過擁抱 DeFi 快速發展鏈上生態,也吸引了大量用戶和資金沉淀。6 月 30 日 Solana TVL 為 26.4 億美元,同比增長 77%;Avalanche TVL 為 55.4 億美元,同比增長 96%。
牙買加央行報告數字貨幣試點成功:1月2日消息,牙買加央行(BOJ)表示,盡管只有一家金融機構參與,但其推出的央行數字貨幣CBDC的試運行取得了成功。
此前消息, 據官方公告,牙買加央行(BOJ)已經鑄造牙買加首批央行數字貨幣(CBDC)。在今年12月結束的CBDC試點期間,將向接受存款機構和授權支付服務提供商發放總額為2.3億牙買加元的CBDC。牙買加央行CBDC團隊在儀式上展示了數字貨幣的鑄造過程。(Jamaica Gleaner)[2022/1/2 8:20:05]
(2022 上半年 DeFi TVL)
隨著 DeFi 熱潮的興起,該領域也自然成為了黑客覬覦的重點對象。根據 SlowMist Hacked 統計,截至 6 月 30 日 DeFi 安全事件約 100 起,損失超 16.3 億美元。其中在 BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨鏈橋上發生的安全事件數量分別為 47 起、29 起、8 起、5 起、2 起、1 起、7 起,所造成損失分別為 1.4 億美元、3.08 億美元、5491 萬美 元、6383 萬美元、1310 萬美元、830 萬美元、10.43 億美元。
(2022 上半年 DeFi 安全事件分布)
NFT 生態
基于區塊鏈技術的 NFT 也是需要重點關注的對象,隨著一批頭部 NFT 項目的崛起和各路名人的參與,NFT 極速發展。根據 Dune Analytics 的數據,OpenSea 的交易量在 1 月份達到上半年最高峰 2.84 億美元,而隨著加密貨幣市場的變化,OpenSea 在 6 月份的交易量只有 1558 萬美元,下滑 94%。在 NFT 的熱潮中,目前以太坊生態的 NFT 在市值和交易量依舊占據市場的主流,交易量超 90%。除了以太坊外,從近 30 天交易量和近 7 天交易量這些短期數據來看,Solana,Flow 等生態的 NFT 也正在快速發展,且表現亮眼,多鏈時代距離我們越來越近。
美聯儲主席鮑威爾:美聯儲將在今年夏天發布有關美國數字貨幣的報告:美聯儲主席鮑威爾:美聯儲將在今年夏天發布有關美國數字貨幣的報告,美聯儲報告將重點關注發行美國央行數字貨幣(CBDC)的可能性。鮑威爾還表示:央行數字貨幣(CBDC)可以作為補充,而不是取代現金數字美元。 (金十)[2021/5/21 22:27:25]
(2022 上半年 OpenSea 交易量變化圖)
(2022 上半年 NFT 攻擊事件原因分布圖)
并且隨著時間推移,不法分子的攻擊逐漸猖獗,根據 TRM Labs 發布的報告 ,在 5、6 兩個月,由 TRM Labs 社區主導的詐騙報告平臺 Chainabuse 收到了超過 100 份關于 Discord 黑客攻擊的報告;自 5 月以來,NFT 社區損失約 2200 萬美元;6 月,黑客在被黑的 Discord 中發布 NFT 相關的釣魚攻擊同比增加了 55%。
跨鏈橋
隨著區塊鏈的發展,目前已經進入一個以太坊為核心多鏈并存的局面,鏈與鏈之間的資產轉移、 智能合約的跨鏈交互已成為鏈上活動的日常,跨鏈橋作為區塊鏈基礎設施的地位越發凸顯。根據 Dune Analytics 數據,截至 6 月 30 日以太坊中 15 個主要跨鏈橋的鎖定總價值(TVL)約 83.9 億美元。目前 TVL 最高的是 Polygon Bridges(35 億美元),排名第二的是 Arbitrum Bridge(18.93 億美 元),隨后是 Avalanche Bridge(12.41 億美元)。
報告:硬件錢包漏洞使攻擊者無需接觸設備即可勒索加密貨幣:金色財經報道,開發BitBox硬件錢包的瑞士公司ShiftCrypto透露,在Trezor和KeepKey硬件錢包中發現了一個漏洞,該漏洞允許攻擊者在不靠近設備的情況下持有用戶的加密貨幣以進行勒索。ShiftCrypto開發人員在2020年春季發現了此漏洞,并分別在4月和5月通知了Trezor和Ledger團隊。Trezor已為其Model 1和Model T硬件錢包修復了該漏洞。根據ShiftCrypto團隊的說法,KeepKey尚未進行修復,其制造商引用了有“更高優先級的項目”作為原因。[2020/9/3]
(以太坊 15 個主要跨鏈橋的 TVL)
由于流動資金量大,去中心化程度低,權限幾乎都掌握在多簽錢包中等特性,跨鏈橋也成了黑客眼中的“香餑餑”。根據 SlowMist Hacked 統計,截至 6 月 30 日跨鏈橋安全事件共 7 起,損失高達 10.43 億美元,占比 DeFi 上半年總損失的 64%,占比上半年總損失的 53%。值得注意的是上半年,損失金額上億美元的事件 4 起中就有 3 起來自跨鏈橋。作為多鏈生態的重要基礎設施,跨鏈橋一方面承擔著巨量的資金流動,為用戶帶來了極大的便利,另一方面在安全性和去中心化水平上面臨許多挑戰,需要項目方提升安全、風控等能力。
(2022 上半年跨鏈橋安全事件)
報告:超70%比特幣挖礦依賴于可再生能源:金色財經報道,Coin Shares的一份新報告顯示,超過70%的比特幣挖礦都依賴于可再生能源。[2020/5/7]
交易平臺
加密貨幣行業一直處在監管漩渦中,首當其沖的就是加密貨幣交易平臺。交易平臺發生的安全事故分析如下:以全球交易量最大的平臺 Binance 為例,自 2021 年來,Binance 已遭到數十個國家和地區的監管警告,包括歐洲、美洲、 亞洲在內的多個地區。在全球強力監管信號下,Binance 陸續在西班牙、法國、阿布扎比、迪拜、意大利、巴林等國家或地區獲得了監管許可并進行了注冊,逐步推進其合規化進程。
在上半年,全球共發生 4 起交易平臺安全事件,損失超 7770 萬美元,具體如下:
1 月 9 日,LCX 技術團隊在 LCX 交易平臺上檢測到一個未經授權的訪問,總共約 794 萬美 元的加密資產被盜。
1 月 17 日,Crypto.com 少數用戶遭到未經授權提款,損失約 3400 萬美元,包括 4,836.26 ETH、443.93 BTC 和約 66,200 美元的其他加密貨幣。
2 月 8 日,LockBit 勒索軟件團伙稱從加密貨幣交易平臺 PayBito 竊取了大量客戶數據。
2 月 12 日,來自美國南達科他州提供自主退休金賬戶的 IRA Financial Trust 對加密交易 平臺 Gemini 提起訴訟,指控稱由 Gemini 保管的屬于客戶退休賬戶的 3600 萬美元加密資產被盜。
(2022 上半年交易平臺攻擊事件損失對比圖)
慢霧安全團隊建議各大交易平臺健全內部管理與技術機制,通過引入安全審計機制、零信任機制、冷熱資產安全解決方案等來加強對數字資產的安全保障。
其他
不法分子看中加密貨幣的匿名性,區塊鏈已成為網絡黑產的新風口,呈現出越來越明顯的組織化與專業化趨勢,“勒索”、“欺詐”及“盜竊”已成為加密貨幣巨大安全威脅。據中國人民銀行支付結算司數據 ,2021 年涉詐款項的支付方式中,利用加密貨幣進行支付僅次于銀行轉賬,排名第二位,高達 7.5 億美元;而 2020 年、2019 年僅為 1.3、0.3 億美元,逐年大幅增長的趨勢明顯。值得關注的是,加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。2021 年“殺豬盤”詐騙資金中 1.39 億美元使用加密貨幣支付,是 2020 年的 5 倍、2019 年的 25 倍。
攻擊手法概覽
以上 187 起安全事件中,攻擊手法主要分為四類:由項目自身設計缺陷和各種合約漏洞引起的攻擊;包含 Rug Pull、釣魚攻擊等手法的 Scam;由于私鑰泄露引起的資產損失;前端惡意攻擊,這四種主要攻擊手法占比安全事件總數量的 95%。
(2022 上半年攻擊手法數量對比圖)
(2022 上半年攻擊手法損失對比圖)
總結
盡管 2022 年區塊鏈技術正在飛速發展并且逐漸完善,但層出不窮的加密貨幣攻擊事件對區塊鏈生態安全態勢提出了新的挑戰。從統計數據來看,上半年發生安全事件次數較多的月份主要在 5、6 月;從各生態來看,BSC 上安全事件發生最多;從賽道來看,損失最多的是跨鏈橋。
(2022 上半年各月份各生態賽道事件分布)
對此慢霧安全團隊建議:
對于機構和企業來說,最好能夠建立全面的網絡安全防護系統,防護從各個層次入侵的網絡安全威脅,并通過威脅感知體系快捷獲取病木馬、釣魚詐騙、網絡安全預警、漏洞報告在內的安全情報,一旦發生安全威脅能夠及時進行處理。
對于個人用戶來說,遵守以下安全法則及原則,可以避免大部分風險:
兩大安全法則:
零信任。簡單來說就是保持懷疑,而且是始終保持懷疑。
持續驗證。你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。
安全原則:
網絡上的知識,凡事都參考至少兩個來源的信息,彼此佐證,始終保持懷疑。
做好隔離,也就是雞蛋不要放在一個籃子里。
對于存有重要資產的錢包,不做輕易更新,夠用就好。
所見即所簽。即你看到的內容就是你預期要簽名的內容,當你簽名發出去后,結果就應該 是你預期的,絕不是事后拍斷大腿的。
重視系統安全更新,有安全更新就立即行動。
不亂下程序。
在此,十分推薦閱讀并掌握 《區塊鏈黑暗森林自救手冊》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)。
區塊鏈發展道阻且長,期望隨著行業的不斷完善,區塊鏈可以迸發出更大的力量,走向更大的舞臺
2022年自年初至今,僅5次的跨鏈橋攻擊就導致了13.17億美元的損失——這個數字是2022年Web3.0行業因黑客、欺詐、漏洞等事件造成總資產損失金額的57%.
1900/1/1 0:00:00監管風暴再次來襲。自2021年9月央行等十部門對虛擬貨幣非法業務活動重拳出擊后,一年后的2022年8月9日,國家網信辦再發布集中整治涉虛擬貨幣炒作亂象的消息稱,已關閉上萬個違規用戶賬號,清理數萬.
1900/1/1 0:00:00每當人們提起比特幣等加密貨幣時,總會與投機、投資、炒作甚至是龐氏騙局連結起來,似乎加密貨幣都僅僅是一堆廢紙.
1900/1/1 0:00:00區塊鏈是一個信息技術領域的術語。從本質上講,它是一個共享數據庫,存儲于其中的數據或信息,具有“不可偽造”“全程留痕”“可以追溯”“公開透明”“集體維護”等特征.
1900/1/1 0:00:00原文標題:《30 條新公鏈》 撰文:小牛 Meta 背景公鏈、隱私公鏈、模塊化區塊鏈和 Layer2 公鏈熱度較高;新公鏈在可擴展性方面表現搶眼.
1900/1/1 0:00:00永續合約是一種衍生品。從交易的角度來說,它類似于傳統的期貨合約,但又有一些不同之處。首先它沒有到期或結算日,永續掉期合約類似于一個保證金現貨市場,因此它的交易價格接近于標的參考指數價格,這與期貨.
1900/1/1 0:00:00