TOKEN:慢霧：全方位回顧2022年區塊鏈安全生態_KEN

回顧過去的一年，我們看到加密領域出現了很多新場景，新應用和新變化。玩家也在逐漸增多，但是安全問題也一直困擾著行業的發展。因此，慢霧整理了?2022?年行業中出現的那些重大的安全時間，并進行了相應的分析和解讀。

根據慢霧區塊鏈被黑事件檔案庫統計，?2022年安全事件共295件，損失高達37.28億美元。相比2021年的97.95億美元下降約62%?，但這并不包括因市場動蕩而損失的資產。

DeFi、跨鏈橋、NFT等安全事件245起，交易所安全事件10起，公鏈安全事件11起，錢包安全事件5起，其他類型安全事件24起。

從時間上來看，?5?月和?10?月攻擊事件數量最高，達到?38?件。3?月損失金額最高，達到約?7?億美元。

Terra事件了。5月8日，加密貨幣市場上出現了史上最具破壞性的一次崩盤。Terra網絡的算法穩定幣UST出現了2.85億美元的巨額拋售，引發了一系列連鎖反應。Terra的原生代幣?LUNA的價格突然毫無征兆的連續跳崖式暴跌，一天時間，Luna市值蒸發了近400億美元，全生態項目TVL也幾乎歸零。此次事件或許成為了開啟2022加密寒冬的死亡按鈕。DeFi/跨鏈橋

據?DeFiLlama?數據顯示，截止12月底，DeFi總鎖倉價值約為398億美元，同比巨降?75%?。Ethereum以占比整個DeFiTVL的58.5%?占據主導地位，緊隨其后的是TRON，TVL為43億美元，BNBChain(?BNB?)為42億美元。有趣的是，?2022年5月，Ethereum的?TVL在DeFi中的占比減少了35%?，而?TRON的TVL占比增長了47%?。

根據?SlowMistHacked?統計，?2022年BNBChian上發生安全事件約90起，總損失金額約7.85億美元，居各鏈平臺損失金額第一位。而Ethereum上發生安全事件約50起，總損失金額約5.28億美元，其次是Solana上發生安全事件約11起，總損失金額約1.96億美元。

慢霧：過去一周加密領域因安全事件累計損失3060萬美元:7月24日消息，據慢霧統計，上周加密領域因遭遇攻擊累計損失3060萬美元，攻擊者利用了不同的攻擊向量。這些事件包括Alphapo熱錢包被盜（損失2300萬美元）、Conic Finance遭閃電貸攻擊（損失30萬美元）以及重入攻擊（損失320萬美元）、GMETA發生RugPull（損失360萬美元）、BNO遭閃電貸攻擊（損失50萬美元）等。[2023/7/24 15:55:56]

據DuneAnalytics的數據，以太坊跨鏈橋的鎖定總價值約83.9億美元，對比上半年降低了約31%?。目前TVL最高的是PolygonBridges，排名第二的是ArbitrumBridges，隨后是OptimismBridges。跨鏈橋允許用戶將加密資產從一條鏈轉移到另一條鏈，主要解決多鏈擴展問題。然而，跨鏈橋智能合約中的大量資金加上缺少安全審計，引來了黑客的目光。

根據?SlowMistHacked?統計，?2022年跨鏈橋安全事件共15起，損失高達12.1億美元，占比?2022?年總損失的32.45%?。

總而言之，對項目方來說，想要盡可能的消除漏洞、降低安全風險，就必須做出有效的努力——在項目上線之前，對其進行全面深入的安全審計。同時，建議各項目方通過引入多簽機制來加大資產保護的力度。另一方面，各項目在進行協議間交互或移植其他協議的代碼時，需充分了解移植協議的架構以及自己項目的架構設計，做好協議之間的兼容性，防止資金損失情況的發生。對用戶來說，隨著區塊鏈領域的玩法愈發多樣化，用戶在進行投資前認真了解項目背景，查看該項目是否有開源、是否經過審計，在參與項目時需要提高警惕，注意項目風險。

NFTScan?數據顯示，在以太坊上的NFT全年交易次數達1.98億次，明顯高于2020年和2021年。而在BNBChain上的NFT全年交易次數達3.45億次，在Polygon上的NFT全年交易次數達7.93億次。

慢霧：Platypus再次遭遇攻擊，套利者獲取約5萬美元收益:7月12日消息，SlowMist發推稱，穩定幣項目Platypus似乎再次收到攻擊。由于在通過CoverageRatio進行代幣交換時沒有考慮兩個池之間的價格差異，導致用戶可以通過存入USDC然后提取更多USDT來套利，套利者通過這種方式套利了大約50,000美元USDC。[2023/7/12 10:50:27]

另一方面，根據?SlowMistHacked?不完全統計，?2022年NFT賽道安全事件約56起，損失超6543萬美元，其中大部分是由釣魚攻擊導致，占比約為40%?，其次是RugPull，占比約為21%?。

錢包/交易平臺

2月8日，美國司法部發布公告稱，已經查獲了價值36億美元的比特幣，這些比特幣與2016年加密貨幣交易所Bitfinex的黑客事件有關。34歲的IlyaLichtenstein和其31歲的妻子HeatherMorgan在紐約被捕，兩人被指控共謀洗錢和詐騙罪。這也是美國司法部有史以來最大規模的金融扣押。

11?月?6?日，幣安創始人?CZ?發推稱決定清算賬面上所有剩余的?FTT，由此引發兩大交易所之間的對峙。盡管?AlamedaCEO?和FTXCEOSBF?接連發推試圖穩固用戶信心并辟謠此前曝光的消息，但還是引發?FTX在流動性枯竭后迅速破產。最終，FTX?暴雷，SBF?被捕。中心化交易所的不透明再度引發人們的信任危機，缺乏審慎監管的問題越發凸顯。無論是對消費者更嚴格的保護，還是對機構更明確的規則，監管的腳步都將愈發清晰。

在FTX暴雷后，硬件錢包的銷量大幅增長，用戶量最多的錢包MetaMask月活用戶達3000萬。根據?Finbold?數據顯示，基于排名前21個加密貨幣存儲APP應用，在2022年1月至2022年10月期間，Android和iOS設備上的加密錢包下載量已經達到約1.0206億次。雖然這個數字低于2021年牛市期間的1.7785億次下載量，但比除2021年之外的任何一年都高。按月細分數據顯示，加密錢包下載量年初呈下降趨勢，但在Terra/Luna崩潰以及FTX暴雷后均出現較大幅度增長。

慢霧：7月3日至7月7日期間?Web3生態因安全問題損失近1.3億美元:7月10日消息，慢霧發推稱，自7月3日至7月7日，Web3生態因安全問題遭遇攻擊損失128,419,000美元，包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中，Multichain被攻擊損失1.26億美元。[2023/7/10 10:12:36]

其他

區塊鏈技術不可逆、匿名性特征在有效保護隱私的同時，也為網絡犯罪提供了“保護傘”。隨著元宇宙、NFT等概念受到熱捧，加密貨幣盜竊事件、欺詐事件時有發生，很多不法分子打著區塊鏈旗號發行所謂的虛擬資產，實施詐騙，黑灰產的先進與專業度已經遠超想象。

據中國人民銀行支付結算司數據，?2021?年涉詐款項的支付方式中，利用加密貨幣進行支付僅次于銀行轉賬，排名第二位，高達7.5億美元；而2020年、?2019年僅為1.3、?0.3億美元，逐年大幅增長的趨勢明顯。值得關注的是，加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。2021年“殺豬盤”詐騙資金中1.39億美元使用加密貨幣支付，是2020年的5倍、?2019年的25倍。

根據美國聯邦貿易委員會(FTC)發布的一份報告，在自?2021?年年初以來的一年多時間里，已有超過?4.6?萬人報告自己遭遇了加密貨幣騙局，損失總額超過?10?億美元。根據報告，最常見的加密貨幣騙局類型是投資相關欺詐，在總金額?10?億美元中占?5.75?億美元，最常向詐騙者支付的加密貨幣包括BTC、USDT和ETH。

二、攻擊手法

295起安全事件中，攻擊手法主要分為三類：由項目自身設計缺陷和各種合約漏洞引起的攻擊；包含RugPull、釣魚、Scam類型的手法；由私鑰泄露引起的資產損失。

慢霧：AToken錢包疑似遭受攻擊 用戶反饋錢包中資產被盜:據慢霧區情報，近期 AToken 錢包(atoken.com)疑似遭受到攻擊，用戶在使用 AToken 錢包后，幣被偷偷轉移走。目前已經有較多的用戶反饋錢包中的資產被盜。AToken 錢包官方推特在2021年12月20日發布了停止運營的聲明。官方 TG 頻道中也有多位用戶反饋使用 AToken 錢包資產被盜了，但是并沒有得到 AToken 團隊的回復和處理。

如果有使用 AToken 錢包的用戶請及時轉移資產到安全的錢包中。具體可以參考如下操作：

1. 立即將 AToken 錢包中的相關的資產轉移到新的錢包中。

2. 廢棄導入 AToken 或者使用 AToken 生成的助記詞或私鑰的錢包。

3. 參考慢霧安全團隊梳理的數字資產安全解決方案，對數字資產進行妥善的管理。

4. 留存相應有問題的 AToken 錢包 APP 的安裝包，用于后續可能需要的取證等操作。

5. 如果資產已經被盜，可以先梳理被盜事件的時間線，以及黑客的相關地址 MistTrack 可以協助挽回可能的一線希望。[2022/2/9 9:39:46]

2022年最常見的攻擊手法是由項目自身設計缺陷和各種合約漏洞引起，約92起，造成損失10.6億美元，占總數量的?40.5%?。其中較為主要的是利用閃電貸引起的攻擊，約19起，造成損失6133萬美元，其他包括重入問題、價格操縱、驗證問題等等。

因私鑰被盜引起的資產損失發生率約為6%?，損失金額卻達到7.46億美元，僅次于合約漏洞利用，因私鑰被盜的事件中，損失最大的來自?Ronin?事件，其次是Harmony，都是來自跨鏈橋。

在Web3世界，用戶的安全意識往往是參差不齊，這也導致了針對用戶的釣魚攻擊花樣多多且頻繁發生。例如，攻擊者利用惡意手段將各項目的官方媒體平臺占為己有或者偽造官方媒體號并發布釣魚?Mint、AirDrop?鏈接，還時不時轉發真正的官方號內容來混肴視聽。例如，利用搜索引擎上的廣告宣傳虛假網站或者與官方域名高度相似的域名及內容來以假亂真；例如通過偽造的郵件、吸引人的贈品活動來引你入局；又例如利用新用戶信息差提供假?APP?下載鏈接。無論如何，提高安全意識才是最必要的，同時，一旦發現自己中招，第一時間轉移資產，及時止損并保留證據，必要時尋求業內安全機構的幫助。

慢霧：攻擊者系通過“supply()”函數重入Lendf.Me合約 實現重入攻擊:慢霧安全團隊發文跟進“DeFi平臺Lendf.Me被黑”一事的具體原因及防御建議。文章分析稱，通過將交易放在bloxy.info上查看完整交易流程，可發現攻擊者對Lendf.Me進行了兩次“supply()”函數的調用，但是這兩次調用都是獨立的，并不是在前一筆“supply()”函數中再次調用“supply()”函數。緊接著，在第二次“supply()”函數的調用過程中，攻擊者在他自己的合約中對Lendf.Me的“withdraw()”函數發起調用，最終提現。慢霧安全團隊表示，不難分析出，攻擊者的“withdraw()”調用是發生在transferFrom函數中，也就是在Lendf.Me通過transferFrom調用用戶的“tokensToSend()”鉤子函數的時候調用的。很明顯，攻擊者通過“supply()”函數重入了Lendf.Me合約，造成了重入攻擊。[2020/4/19]

其次，最令人憎惡的則是RugPull。RugPull?通常指項目的開發者放棄項目，帶著資金逃跑，更多是項目方主動作惡。它可以以多種方式發生：比如當開發者啟動初始流動性，推高價格，然后撤回流動性項目方先創建一個加密項目，通過各種營銷手段吸引加密用戶投資，并在合適的時機毫無征兆地卷走用戶投資的資金，拋售加密資產，最終銷聲匿跡，投資該項目的用戶也將蒙受巨大損失。再比如推出一個網站，但在吸引了數十萬存款后關閉。2022年RugPull事件達到50起，損失約1.88億美元，常發生于BSC生態及NFT領域。

2022?年其他較為新型的手法為前端惡意攻擊、DNS?攻擊以及?BGP?劫持；最為奇葩的則是人為配置操作失誤導致的資產損失。

三、釣魚/騙局手法

此節只選取部分SlowMist曾披露過的釣魚/騙局手法。

瀏覽器惡意書簽盜取DiscordToken

現在的瀏覽器都有自帶的書簽管理器，在提供便利的同時卻也容易被攻擊者利用。通過精心構造惡意的釣魚頁面可以讓你收藏的書簽中插入一段JavaScript代碼，有了這個幾乎可以做任何事情，包括通過Discord封裝好的webpackChunkdiscord_app前端包進行信息獲取。當Discord用戶點擊時，惡意JavaScript代碼就會在用戶所在的Discord域內執行，盜取DiscordToken，攻擊者獲得項目方的DiscordToken后就可以直接自動化接管項目方的Discord賬戶相關權限。攻擊者拿到了Token等同于登錄了Discord賬號，可以做登錄Discord的任何同等操作，比如建立一個Discordwebhook機器人，在頻道里發布公告等虛假消息進行釣魚。下面是演示受害者點擊了釣魚的書簽：

下面是演示攻擊者編寫的JavaScript代碼獲取Token等個人信息后，通過DiscordServer的webhook接收到。

可以看到，在用戶登錄Web端Discord的前提下，假設受害者在釣魚頁面的指引下添加了惡意書簽，在Discord?Web端登錄時，點擊了該書簽，觸發惡意代碼，受害者的Token等個人信息便會通過攻擊者設置好的Discordwebhook發送到攻擊者的頻道上。

“零元購”NFT釣魚

例如下圖釣魚網站，簽名內容為

Maker：用戶地址

Taker：0xde6135b63decc?47?d?5?a?5?d?47834?a?7?dd?241?fe?61945?a

Exchange：0x7f268357A8c2552623316e2562D90?e?64?2bB?538?E?5??

這是一種較為常見的NFT釣魚方式，即騙子能夠以0ETH購買你所有授權的NFT。也就是說，這是欺騙用戶簽名NFT的銷售訂單，NFT是由用戶持有的，一旦用戶簽名了此訂單，騙子就可以直接通過OpenSea購買用戶的NFT，但是購買的價格由騙子決定，也就是說騙子不花費任何資金就能“買”走用戶的NFT。

此外，簽名本身是為攻擊者存儲的，不能通過Revoke.Cash或Etherscan等網站取消授權來廢棄簽名的有效性，但可以取消你之前的掛單授權，這樣也能從根源上避免這種釣魚風險。

RedlineStealer木馬盜幣

這種攻擊主要是通過Discord邀請用戶參與新的游戲項目內測，打著“給予優惠”等幌子，或是通過群內私聊等方式發一個程序讓你下載，一般是發送壓縮包，解壓出來是一個大概800M左右的exe文件，一旦你在電腦上運行，它會掃描你電腦上的文件，然后過濾包含Wallet等關鍵詞的文件上傳到攻擊者服務器，達到盜取加密貨幣的目的。

RedLineStealer是一種惡意木馬軟件，?2020年3月被發現，在地下論壇上單獨出售。該惡意軟件從瀏覽器中收集保存的憑據、自動完成數據和信用卡等信息。在目標機器上運行時，會搜集如用戶名、位置數據、硬件配置和已安裝的安全軟件等詳細信息。新版本的RedLine增加了竊取加密貨幣的能力，能夠自動掃描本地計算機已安裝的數字貨幣錢包信息，并上傳到遠端控制機。該惡意軟件具有上傳和下載文件、執行命令以及定期發回有關受感染計算機的信息的能力。常常針對加密貨幣錢包目錄、錢包文件進行掃描：

空白支票eth_sign釣魚

連接錢包后并點擊Claim后，彈出一個簽名申請框，同時MetaMask顯示了一個紅色提醒警告，而光從這個彈窗上無法辨別要求簽名的到底是什么內容。其實這是一種非常危險的簽名類型，基本上就是以太坊的“空白支票”。通過這個釣魚，騙子可以使用您的私鑰簽署任何交易。

這種eth_sign方法可以對任意哈希進行簽名，那么自然可以對我們簽名后的bytes?32數據進行簽名。因此攻擊者只需要在我們連接DApp后獲取我們的地址對我們賬戶進行分析查詢，即可構造出任意數據讓我們通過eth_sign進行簽名。

除此之外，還有一種釣魚：在你拒絕上述的sign后，它會在你的MetaMask自動顯示另一個簽名框，趁你沒注意就騙到你的簽名。而看看簽名內容，使用了SetApprovalForAll方法，同時Approvedasset的目標顯示為AllofyourNFT，也就是說，一旦你簽名，騙子就可以毫無節制地盜走你的所有NFT。

這種釣魚方式對用戶會有很強的迷惑性，以往我們碰到的授權類釣魚在MetaMask會給我直觀的展示出攻擊者所要我們簽名的數據。而當攻擊者使用eth_sign方法讓用戶簽名時，MetaMask展示的只是一串bytes?32的哈希。

尾號相同TransferFrom零轉賬騙局

用戶的地址轉賬記錄中不斷出現陌生地址轉賬0USDT，而這筆交易均是通過調用TransferFrom函數完成的。究其原因主要是代幣合約的TransferFrom函數未強制要求授權轉賬數額必須大于0?，因此可以從任意用戶賬戶向未授權的賬戶發起轉賬0的交易而不會失敗。惡意攻擊者利用此條件不斷地對鏈上活躍用戶發起TransferFrom操作，以觸發轉賬事件。

除了?0?USDT?轉賬騷擾，還伴隨著攻擊者針對交易規模較大頻率較高的用戶不斷空投小額數量的Token，攻擊者地址尾數和用戶地址尾數幾乎一樣，通常為后幾位，用戶去復制歷史轉賬記錄中的地址時一不小心就復制錯，導致資產損失。

以上只是舉例了一些常見的攻擊手法和場景，實際上道高一尺魔高一丈，黑客的攻擊手法永遠都在推陳出新，我們能做的就是不斷提高自己的見識。

對于個人用戶來說，遵守以下安全法則及原則，可以避免大部分風險：

兩大安全法則：

零信任。簡單來說就是保持懷疑，而且是始終保持懷疑。

持續驗證。你要相信，你就必須有能力去驗證你懷疑的點，并把這種能力養成習慣。

安全原則：

網絡上的知識，凡事都參考至少兩個來源的信息，彼此佐證，始終保持懷疑。

做好隔離，也就是雞蛋不要放在一個籃子里。

對于存有重要資產的錢包，不做輕易更新，夠用就好。所見即所簽。即你看到的內容就是你預期要簽名的內容，當你簽名發出去后，結果就應該是你預期的，絕不是事后拍斷大腿的。

重視系統安全更新，有安全更新就立即行動。

不亂下程序。

Tags：TOKETOKENTOKKENFHT TokenFundTokenFAM TokenAltered State Token

非小號