本篇主要聚焦区块链生态安全概览及攻击手法。
区块链安全态势
近两年来,在疫情持续肆虐、经济衰退、能源短缺、地缘冲突升级、国际间竞争加剧等种种因素的影响之下,全球社会与经济发展遭遇了前所未有的挑战。与此同时,全球区块链行业也经历着一场不断加速的变革:区块链技术的效率、安全性和可扩展性得到不断改善,元宇宙、NFT 等新兴领域的兴起,使区块链行业正式迈入 3.0 时代。
根据慢雾区块链被黑事件档案库( SlowMist Hacked )统计,截至 6 月 30 日,2022 上半年安全事件共 187 件,损失高达 19.76 亿美元。
(2022 上半年安全事件)
在这些安全事件中,约 77% (144 起)源于项目自身存在漏洞被攻击者利用,损失金额约 18.4 亿美元,占安全事件总损失的 93%;约 21%(39 起) 源于包含 Phishing&Rug Pull 的 Scams,损失金额约 1.3 亿美元,占安全事件总损失的 6%。
(2022 上半年安全事件攻击原因分布图)
(2022 上半年安全事件攻击原因损失对比图)
区块链生态安全概览
根据被攻击对象的不同,我们将 187 起安全事故分为三部分:公链赛道、交易平台和其他。
ConsenSys报告:以太坊现有340万地址与DeFi协议交互:11月12日消息,根据ConsenSys本周发布的《Web 3 Q3 2021》报告,以太坊庞大的Web 3.0生态系统——包括大多数DeFi、稳定币、NFT和区块链游戏世界——继续扩大并吸引用户,有340万个以太坊地址与DeFi协议交互。报告称,随着Tether面临越来越多的监管压力,以太坊上的稳定币供应变得更加多样化,USDC和BUSD抢占了USDT的部分市场份额。报告显示,DeFi借贷大幅增长,9月6日达到历史最高水平,未偿债务约为247亿美元。根据ConsenSys的数据,在五大智能合约平台TVL中,以太坊仍占据77%的多数份额,其次是Binance和Solana,分别占10%和5%。(Forkast)[2021/11/12 21:45:46]
公链赛道
作为区块链行业的基础设施,公链承载了人们对于区块链作为 Web3 底层网络的期望。随着一代又一代公链的崛起,NFT、DeFi、GameFi、元宇宙等生态热潮也相继迎来爆发,同时这些项目也促进了公链的发展与价值提升,使多链世界从理想走向了现实。据 Footprint Analytics 的数据,截至 6 月累计已收录的公链数量有 119 条,对比 2021 年 6 月收录的 31 条,同比增长约 284%。
(2021 与 2022 年 6 月公链数量对比)
但公链的快速发展同时是一把双刃剑,在促进产业进步的同时,引发的区块链安全问题也显著增加,我们分别从?DeFi、NFT、跨链桥三方面解析。
报告:加密基金上周筹集了9000万美元的新资金:金色财经报道,数字资产投资产品在上周7天内吸引了9000万美元的新资金,连续第七周流入。根据CoinShares 周一发布的一份报告,专注于比特币的基金获得了 6900 万美元。这是比特币基金连续第三周流入,在此期间的累计流入量达到 1.15 亿美元,并巩固了前几个月赎回成为常态的趋势逆转。报告作者表示:“我们认为,这种情绪的决定性转变是由于投资者对该资产类别的信心增强,以及美国证券交易委员会和美联储的声明更加宽松。专注于第二大区块链以太坊的加密基金流入了 2000 万美元。另类数字资产的兴趣似乎减弱。专注于 Binance 的 BNB 代币、Polkadot 和 Tezos 的基金各出现了 80 万美元的小幅流出。以卡尔达诺为重点的基金有 110 万美元的少量资金流入,而 Solana 则吸引了 70 万美元。(coindesk)[2021/10/5 17:24:22]
DeFi 生态
DeFi 作为世界上最受欢迎的可编程区块链,2022 发展态势不可小觑,据 DeFi Llama 数据显示,6 月 30 日 DeFi 总锁仓价值为 1432 亿美元,其中 ETH 链以 945.5 亿美元的 TVL(Total Value Locked)占据了资金沉淀的半壁江山,其次是 BSC 链的 110.8 亿美元。2021 年以来,许多新兴公链如 Solana、Avalanche 等通过拥抱 DeFi 快速发展链上生态,也吸引了大量用户和资金沉淀。6 月 30 日 Solana TVL 为 26.4 亿美元,同比增长 77%;Avalanche TVL 为 55.4 亿美元,同比增长 96%。
网信办发布《数字中国发展报告(2020年)》,区块链发展成果卓著:国家互联网信息办公室编制完成《数字中国发展报告(2020年)》(以下简称《报告》)。《报告》充分肯定了我国在区块链技术以及应用上所取得的成果,包括:1)2019年以来我国区块链专利申请量持续保持全球第一;2)新业态新模式不断涌现,2020年新增加了区块链工程技术人员职业;3)政务数据共享步伐加快,住房城乡建设部运用区块链技术建立住房公积金数据互联共享机制,为全国1.49亿住房公积金缴存人提供统一的住房公积金数据查询服务,为部门间数据共享提供支撑。4)数字领域国际规则标准影响力不断增强,在区块链方面,积极参与ISO《区块链和分布式记账技术 参考架构》和ITU分布式账本系统需求、分布式账本技术平台的评测准则和分布式账本技术的参考框架等标准制定。《报告》还对2020年各地区信息化发展成效评价,分出三个梯队。从结果看,三个梯队均重视对区块链技术的运用。如第一梯队的北京建设了区块链可信数字基础设施,江苏搭建了区块链创新交流合作平台。第二梯队的重庆加上线了全国首个区块链政务服务平台。第三梯队的云南加强区块链技术产业发展,启动全国首个省级区块链商品溯源“孔雀码”。(网信中国)[2021/7/6 0:30:23]
(2022 上半年 DeFi TVL)
随着 DeFi 热潮的兴起,该领域也自然成为了黑客觊觎的重点对象。根据 SlowMist Hacked 统计,截至 6 月 30 日 DeFi 安全事件约 100 起,损失超 16.3 亿美元。其中在 BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨链桥上发生的安全事件数量分别为 47 起、29 起、8 起、5 起、2 起、1 起、7 起,所造成损失分别为 1.4 亿美元、3.08 亿美元、5491 万美 元、6383 万美元、1310 万美元、830 万美元、10.43 亿美元。
报告:全球欺诈活动呈上升趋势,加密领域欺诈率下半年增长11%:近日,Veriff的2020年欺诈报告显示,美国遭遇的欺诈企图是全球最多的,由于COVID-19疫情的影响,在金融科技、移动和加密领域的欺诈企图有所增加。报告的主要发现包括:
- 美国是世界上欺诈率最高的国家,接近10%,其次是越南(9%)和尼日利亚(6%);
- 由于冠状病大流行导致的在线活动增加,今年金融科技和移动行业的整体欺诈率增长了3倍以上;
- 从2020年上半年到下半年,移动通信行业的欺诈率上升了16%;同样,金融科技行业的欺诈率上升了7%,加密领域欺诈率也增长了11%;
- 身份欺诈是加密领域第二大欺诈类型(40%),也是金融科技领域最常见的欺诈类型(70%);对比2020年上半年和下半年,身份欺诈率上升了11%。(The Papers)[2020/12/22 16:07:13]
(2022 上半年 DeFi 安全事件分布)
NFT 生态
基于区块链技术的 NFT 也是需要重点关注的对象,随着一批头部 NFT 项目的崛起和各路名人的参与,NFT 极速发展。根据 Dune Analytics 的数据,OpenSea 的交易量在 1 月份达到上半年最高峰 2.84 亿美元,而随着加密货币市场的变化,OpenSea 在 6 月份的交易量只有 1558 万美元,下滑 94%。在 NFT 的热潮中,目前以太坊生态的 NFT 在市值和交易量依旧占据市场的主流,交易量超 90%。除了以太坊外,从近 30 天交易量和近 7 天交易量这些短期数据来看,Solana,Flow 等生态的 NFT 也正在快速发展,且表现亮眼,多链时代距离我们越来越近。
Amber报告:仍然认为加密货币将走势强劲:Amber报告称,我们密切关注着不断变化的宏观经济走势,以及世界各国政府相继实施的货币政策和财政政策。尽管无法预测市场的具体走势,但Amber仍然认为,作为一项资产类别的加密货币将走势强劲。要点如下:1.由于近期市场的抛售,持仓价值大幅缩水,使市场的仓位分布更加清晰。2.随着做市商的退出,各大交易所之间的价差,为散户交易者们带来了更多市场套利的机会。3.尤其衍生品市场(期货和永续掉期)与现货市场相比,出现大幅折价,推高了BTC的借贷利率。4.通过做空现货做多期货的对冲,市场参与者可以进行套利交易,这与我们去年所看到的市场情况完全相反(期货价格大幅高于现货)。5.在过去六个月里,期权市场交易活动迅速增长,我们预计,期权市场交易活动将持续增速。[2020/3/23]
(2022 上半年 OpenSea 交易量变化图)
(2022 上半年 NFT 攻击事件原因分布图)
并且随着时间推移,不法分子的攻击逐渐猖獗,根据 TRM Labs 发布的报告 ,在 5、6 两个月,由 TRM Labs 社区主导的报告平台 Chainabuse 收到了超过 100 份关于 Discord 黑客攻击的报告;自 5 月以来,NFT 社区损失约 2200 万美元;6 月,黑客在被黑的 Discord 中发布 NFT 相关的钓鱼攻击同比增加了 55%。
跨链桥
随着区块链的发展,目前已经进入一个以太坊为核心多链并存的局面,链与链之间的资产转移、 智能合约的跨链交互已成为链上活动的日常,跨链桥作为区块链基础设施的地位越发凸显。根据 Dune Analytics 数据,截至 6 月 30 日以太坊中 15 个主要跨链桥的锁定总价值(TVL)约 83.9 亿美元。目前 TVL 最高的是 Polygon Bridges(35 亿美元),排名第二的是 Arbitrum Bridge(18.93 亿美 元),随后是 Avalanche Bridge(12.41 亿美元)。
(以太坊 15 个主要跨链桥的 TVL)
由于流动资金量大,去中心化程度低,权限几乎都掌握在多签钱包中等特性,跨链桥也成了黑客眼中的“香饽饽”。根据 SlowMist Hacked 统计,截至 6 月 30 日跨链桥安全事件共 7 起,损失高达 10.43 亿美元,占比 DeFi 上半年总损失的 64%,占比上半年总损失的 53%。值得注意的是上半年,损失金额上亿美元的事件 4 起中就有 3 起来自跨链桥。作为多链生态的重要基础设施,跨链桥一方面承担着巨量的资金流动,为用户带来了极大的便利,另一方面在安全性和去中心化水平上面临许多挑战,需要项目方提升安全、风控等能力。
(2022 上半年跨链桥安全事件)
交易平台
加密货币行业一直处在监管漩涡中,首当其冲的就是加密货币交易平台。交易平台发生的安全事故分析如下:以全球交易量最大的平台 Binance 为例,自 2021 年来,Binance 已遭到数十个国家和地区的监管警告,包括欧洲、美洲、 亚洲在内的多个地区。在全球强力监管信号下,Binance 陆续在西班牙、法国、阿布扎比、迪拜、意大利、巴林等国家或地区获得了监管许可并进行了注册,逐步推进其合规化进程。
在上半年,全球共发生 4 起交易平台安全事件,损失超 7770 万美元,具体如下:
1 月 9 日,LCX 技术团队在 LCX 交易平台上检测到一个未经授权的访问,总共约 794 万美 元的加密资产被盗。
1 月 17 日,Crypto.com 少数用户遭到未经授权提款,损失约 3400 万美元,包括 4,836.26 ETH、443.93 BTC 和约 66,200 美元的其他加密货币。
2 月 8 日,LockBit 勒索软件团伙称从加密货币交易平台 PayBito 窃取了大量客户数据。
2 月 12 日,来自美国南达科他州提供自主退休金账户的 IRA Financial Trust 对加密交易 平台 Gemini 提起诉讼,指控称由 Gemini 保管的属于客户退休账户的 3600 万美元加密资产被盗。
(2022 上半年交易平台攻击事件损失对比图)
慢雾安全团队建议各大交易平台健全内部管理与技术机制,通过引入安全审计机制、零信任机制、冷热资产安全解决方案等来加强对数字资产的安全保障。
其他
不法分子看中加密货币的匿名性,区块链已成为网络黑产的新风口,呈现出越来越明显的组织化与专业化趋势,“勒索”、“欺诈”及“盗窃”已成为加密货币巨大安全威胁。据中国人民银行支付结算司数据 ,2021 年涉诈款项的支付方式中,利用加密货币进行支付仅次于银行转账,排名第二位,高达 7.5 亿美元;而 2020 年、2019 年仅为 1.3、0.3 亿美元,逐年大幅增长的趋势明显。值得关注的是,加密货币转账在“杀猪盘”中增长迅速。2021 年“杀猪盘”资金中 1.39 亿美元使用加密货币支付,是 2020 年的 5 倍、2019 年的 25 倍。
攻击手法概览
以上 187 起安全事件中,攻击手法主要分为四类:由项目自身设计缺陷和各种合约漏洞引起的攻击;包含 Rug Pull、钓鱼攻击等手法的 Scam;由于私钥泄露引起的资产损失;前端恶意攻击,这四种主要攻击手法占比安全事件总数量的 95%。
(2022 上半年攻击手法数量对比图)
(2022 上半年攻击手法损失对比图)
总结
尽管 2022 年区块链技术正在飞速发展并且逐渐完善,但层出不穷的加密货币攻击事件对区块链生态安全态势提出了新的挑战。从统计数据来看,上半年发生安全事件次数较多的月份主要在 5、6 月;从各生态来看,BSC 上安全事件发生最多;从赛道来看,损失最多的是跨链桥。
(2022 上半年各月份各生态赛道事件分布)
对此慢雾安全团队建议:
对于机构和企业来说,最好能够建立全面的网络安全防护系统,防护从各个层次入侵的网络安全威胁,并通过威胁感知体系快捷获取病木马、钓鱼、网络安全预警、漏洞报告在内的安全情报,一旦发生安全威胁能够及时进行处理。
对于个人用户来说,遵守以下安全法则及原则,可以避免大部分风险:
两大安全法则:
零信任。简单来说就是保持怀疑,而且是始终保持怀疑。
持续验证。你要相信,你就必须有能力去验证你怀疑的点,并把这种能力养成习惯。
安全原则:
网络上的知识,凡事都参考至少两个来源的信息,彼此佐证,始终保持怀疑。
做好隔离,也就是鸡蛋不要放在一个篮子里。
对于存有重要资产的钱包,不做轻易更新,够用就好。
所见即所签。即你看到的内容就是你预期要签名的内容,当你签名发出去后,结果就应该 是你预期的,绝不是事后拍断大腿的。
重视系统安全更新,有安全更新就立即行动。
不乱下程序。
在此,十分推荐阅读并掌握 《区块链黑暗森林自救手册》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)。
区块链发展道阻且长,期望随着行业的不断完善,区块链可以迸发出更大的力量,走向更大的舞台
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。