本篇主要聚焦區塊鏈生態安全概覽及攻擊手法。
區塊鏈安全態勢
近兩年來,在疫情持續肆虐、經濟衰退、能源短缺、地緣沖突升級、國際間競爭加劇等種種因素的影響之下,全球社會與經濟發展遭遇了前所未有的挑戰。與此同時,全球區塊鏈行業也經歷著一場不斷加速的變革:區塊鏈技術的效率、安全性和可擴展性得到不斷改善,元宇宙、NFT 等新興領域的興起,使區塊鏈行業正式邁入 3.0 時代。
根據慢霧區塊鏈被黑事件檔案庫( SlowMist Hacked )統計,截至 6 月 30 日,2022 上半年安全事件共 187 件,損失高達 19.76 億美元。
(2022 上半年安全事件)
在這些安全事件中,約 77% (144 起)源于項目自身存在漏洞被攻擊者利用,損失金額約 18.4 億美元,占安全事件總損失的 93%;約 21%(39 起) 源于包含 Phishing&Rug Pull 的 Scams,損失金額約 1.3 億美元,占安全事件總損失的 6%。
(2022 上半年安全事件攻擊原因分布圖)
(2022 上半年安全事件攻擊原因損失對比圖)
區塊鏈生態安全概覽
根據被攻擊對象的不同,我們將 187 起安全事故分為三部分:公鏈賽道、交易平臺和其他。
2021年Web3開發者報告:每月有18,000多名活躍開發人員在開源加密和Web3項目中提交代碼:官方消息,Electric Capital發布2021年Web3開發者報告,對近50萬個代碼存儲庫和1.6億個代碼提交進行了識別。報告指出:
1. 每月有18,000多名活躍開發人員在開源加密和Web3項目中提交代碼;
2. 2021年有34,000多名新開發人員提交了代碼,創歷史新高;
3. 每月有4,000多名活躍的開源開發人員在以太坊上工作,680多名開源開發人員在比特幣上工作;
4. 超過20%的新 Web3 開發人員加入了以太坊生態系統;
5. Web3中65%的活躍開發人員在2021年加入;45%的Web3全職開發人員在2021年加入;
6. 2,500多名開發人員正在從事DeFi項目。[2022/1/6 8:29:29]
公鏈賽道
作為區塊鏈行業的基礎設施,公鏈承載了人們對于區塊鏈作為 Web3 底層網絡的期望。隨著一代又一代公鏈的崛起,NFT、DeFi、GameFi、元宇宙等生態熱潮也相繼迎來爆發,同時這些項目也促進了公鏈的發展與價值提升,使多鏈世界從理想走向了現實。據 Footprint Analytics 的數據,截至 6 月累計已收錄的公鏈數量有 119 條,對比 2021 年 6 月收錄的 31 條,同比增長約 284%。
(2021 與 2022 年 6 月公鏈數量對比)
但公鏈的快速發展同時是一把雙刃劍,在促進產業進步的同時,引發的區塊鏈安全問題也顯著增加,我們分別從?DeFi、NFT、跨鏈橋三方面解析。
報告:冠狀病救助款并未對日本加密投資者的行為造成重大改變:今年4月,日本政府開始向每個家庭發放10萬日元(約合930美元)的補貼。加密交易所Bitbank的市場分析師Yuya Hasegawa在他的最新報告中指出,總的來說,冠狀病救助款項并沒有對日本加密投資者的行為造成重大改變。40多歲投資者的10萬日元存款增加了36%以上,兩個月來首次超過了20多歲投資者的存款。50多歲的投資者的10萬日元存款增加了35%以上。但Hasegawa表示,這些變化太小,不足以顯著改變投資者的整體行為。(Cointelegraph)[2020/7/23]
DeFi 生態
DeFi 作為世界上最受歡迎的可編程區塊鏈,2022 發展態勢不可小覷,據 DeFi Llama 數據顯示,6 月 30 日 DeFi 總鎖倉價值為 1432 億美元,其中 ETH 鏈以 945.5 億美元的 TVL(Total Value Locked)占據了資金沉淀的半壁江山,其次是 BSC 鏈的 110.8 億美元。2021 年以來,許多新興公鏈如 Solana、Avalanche 等通過擁抱 DeFi 快速發展鏈上生態,也吸引了大量用戶和資金沉淀。6 月 30 日 Solana TVL 為 26.4 億美元,同比增長 77%;Avalanche TVL 為 55.4 億美元,同比增長 96%。
(2022 上半年 DeFi TVL)
隨著 DeFi 熱潮的興起,該領域也自然成為了黑客覬覦的重點對象。根據 SlowMist Hacked 統計,截至 6 月 30 日 DeFi 安全事件約 100 起,損失超 16.3 億美元。其中在 BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨鏈橋上發生的安全事件數量分別為 47 起、29 起、8 起、5 起、2 起、1 起、7 起,所造成損失分別為 1.4 億美元、3.08 億美元、5491 萬美 元、6383 萬美元、1310 萬美元、830 萬美元、10.43 億美元。
報告:大多數COMP用戶是投機者:金色財經報道,根據調查機構Flipside Crypto的一份報告,一旦COMP代幣在Coinbase等主要交易所列出,就觀察到投資者大量涌入交易所,立即清算其COMP。此外,據稱“Compound團隊”向DeFi轉移了大量的代幣。當6月23日COMP在Coinbase上開啟交易后,導致了“價格大幅下跌,可能是由一位投資者清算導致”。該報告發現,絕大多數COMP用戶都是不從事借貸活動的投機者,報告指出,COMP用戶持有有效供應量中的2.38萬,而未使用該協議的錢包則高達68.40萬。[2020/7/17]
(2022 上半年 DeFi 安全事件分布)
NFT 生態
基于區塊鏈技術的 NFT 也是需要重點關注的對象,隨著一批頭部 NFT 項目的崛起和各路名人的參與,NFT 極速發展。根據 Dune Analytics 的數據,OpenSea 的交易量在 1 月份達到上半年最高峰 2.84 億美元,而隨著加密貨幣市場的變化,OpenSea 在 6 月份的交易量只有 1558 萬美元,下滑 94%。在 NFT 的熱潮中,目前以太坊生態的 NFT 在市值和交易量依舊占據市場的主流,交易量超 90%。除了以太坊外,從近 30 天交易量和近 7 天交易量這些短期數據來看,Solana,Flow 等生態的 NFT 也正在快速發展,且表現亮眼,多鏈時代距離我們越來越近。
Bitcoin:2018年5月成交量排名報告:Bitcoin發布2018年5月數字貨幣成交量排名報告,報告統計了過去30天的交易數據。排名前10分別是:BTC、USDT、ETH、EOS、BCH、TRX、XRP、LTC、ETC、TRUE。其中:
1.BTC排名第一,交易量為1850億美元。其中5月3日交易量最大,達102億美元;5月26日交易量最低,為40.5億美元。5月上半月每天交易量在58億美元-102億美元,但5月下半月下降至40.5億美元-67.5億美元。
2.USDT排名第二,價值近930億美元。5月每天交易量約在47.5億美元-18億美元。其中5月11日交易量最大,達47.5億美元;5月26日交易量最低,為18億美元。
3.ETH排名第三,價值約為766億美元。日交易量相對未定,除5月3日(42億美元)、7日(43億美元)、26日(17億美元)、27日(18億美元)外,其他均在20億美元-40億美元。[2018/5/30]
(2022 上半年 OpenSea 交易量變化圖)
(2022 上半年 NFT 攻擊事件原因分布圖)
并且隨著時間推移,不法分子的攻擊逐漸猖獗,根據 TRM Labs 發布的報告 ,在 5、6 兩個月,由 TRM Labs 社區主導的詐騙報告平臺 Chainabuse 收到了超過 100 份關于 Discord 黑客攻擊的報告;自 5 月以來,NFT 社區損失約 2200 萬美元;6 月,黑客在被黑的 Discord 中發布 NFT 相關的釣魚攻擊同比增加了 55%。
花旗報告:肯尼亞人是最高比特幣持有者之一:花旗銀行的一份報告將肯尼亞列為世界上人均排名第五的比特幣持有者。尼日利亞排名第三,南非排在第六位。據《肯尼亞華爾街》報道,肯尼亞比特幣在國內生產總值(GDP)中所占的市場份額略高于2%。令人驚訝的是,美國是未來提到的全球最大的比特幣市場之一,排名第十八位。有趣的是,報告對比特幣采取看跌態度,甚至預測可能崩潰。實際上,報告認為數字貨幣“設計不好”,但是建議投資于ETH和XRP等替代數字資產。[2018/1/15]
跨鏈橋
隨著區塊鏈的發展,目前已經進入一個以太坊為核心多鏈并存的局面,鏈與鏈之間的資產轉移、 智能合約的跨鏈交互已成為鏈上活動的日常,跨鏈橋作為區塊鏈基礎設施的地位越發凸顯。根據 Dune Analytics 數據,截至 6 月 30 日以太坊中 15 個主要跨鏈橋的鎖定總價值(TVL)約 83.9 億美元。目前 TVL 最高的是 Polygon Bridges(35 億美元),排名第二的是 Arbitrum Bridge(18.93 億美 元),隨后是 Avalanche Bridge(12.41 億美元)。
(以太坊 15 個主要跨鏈橋的 TVL)
由于流動資金量大,去中心化程度低,權限幾乎都掌握在多簽錢包中等特性,跨鏈橋也成了黑客眼中的“香餑餑”。根據 SlowMist Hacked 統計,截至 6 月 30 日跨鏈橋安全事件共 7 起,損失高達 10.43 億美元,占比 DeFi 上半年總損失的 64%,占比上半年總損失的 53%。值得注意的是上半年,損失金額上億美元的事件 4 起中就有 3 起來自跨鏈橋。作為多鏈生態的重要基礎設施,跨鏈橋一方面承擔著巨量的資金流動,為用戶帶來了極大的便利,另一方面在安全性和去中心化水平上面臨許多挑戰,需要項目方提升安全、風控等能力。
(2022 上半年跨鏈橋安全事件)
交易平臺
加密貨幣行業一直處在監管漩渦中,首當其沖的就是加密貨幣交易平臺。交易平臺發生的安全事故分析如下:以全球交易量最大的平臺 Binance 為例,自 2021 年來,Binance 已遭到數十個國家和地區的監管警告,包括歐洲、美洲、 亞洲在內的多個地區。在全球強力監管信號下,Binance 陸續在西班牙、法國、阿布扎比、迪拜、意大利、巴林等國家或地區獲得了監管許可并進行了注冊,逐步推進其合規化進程。
在上半年,全球共發生 4 起交易平臺安全事件,損失超 7770 萬美元,具體如下:
1 月 9 日,LCX 技術團隊在 LCX 交易平臺上檢測到一個未經授權的訪問,總共約 794 萬美 元的加密資產被盜。
1 月 17 日,Crypto.com 少數用戶遭到未經授權提款,損失約 3400 萬美元,包括 4,836.26 ETH、443.93 BTC 和約 66,200 美元的其他加密貨幣。
2 月 8 日,LockBit 勒索軟件團伙稱從加密貨幣交易平臺 PayBito 竊取了大量客戶數據。
2 月 12 日,來自美國南達科他州提供自主退休金賬戶的 IRA Financial Trust 對加密交易 平臺 Gemini 提起訴訟,指控稱由 Gemini 保管的屬于客戶退休賬戶的 3600 萬美元加密資產被盜。
(2022 上半年交易平臺攻擊事件損失對比圖)
慢霧安全團隊建議各大交易平臺健全內部管理與技術機制,通過引入安全審計機制、零信任機制、冷熱資產安全解決方案等來加強對數字資產的安全保障。
其他
不法分子看中加密貨幣的匿名性,區塊鏈已成為網絡黑產的新風口,呈現出越來越明顯的組織化與專業化趨勢,“勒索”、“欺詐”及“盜竊”已成為加密貨幣巨大安全威脅。據中國人民銀行支付結算司數據 ,2021 年涉詐款項的支付方式中,利用加密貨幣進行支付僅次于銀行轉賬,排名第二位,高達 7.5 億美元;而 2020 年、2019 年僅為 1.3、0.3 億美元,逐年大幅增長的趨勢明顯。值得關注的是,加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。2021 年“殺豬盤”詐騙資金中 1.39 億美元使用加密貨幣支付,是 2020 年的 5 倍、2019 年的 25 倍。
攻擊手法概覽
以上 187 起安全事件中,攻擊手法主要分為四類:由項目自身設計缺陷和各種合約漏洞引起的攻擊;包含 Rug Pull、釣魚攻擊等手法的 Scam;由于私鑰泄露引起的資產損失;前端惡意攻擊,這四種主要攻擊手法占比安全事件總數量的 95%。
(2022 上半年攻擊手法數量對比圖)
(2022 上半年攻擊手法損失對比圖)
總結
盡管 2022 年區塊鏈技術正在飛速發展并且逐漸完善,但層出不窮的加密貨幣攻擊事件對區塊鏈生態安全態勢提出了新的挑戰。從統計數據來看,上半年發生安全事件次數較多的月份主要在 5、6 月;從各生態來看,BSC 上安全事件發生最多;從賽道來看,損失最多的是跨鏈橋。
(2022 上半年各月份各生態賽道事件分布)
對此慢霧安全團隊建議:
對于機構和企業來說,最好能夠建立全面的網絡安全防護系統,防護從各個層次入侵的網絡安全威脅,并通過威脅感知體系快捷獲取病木馬、釣魚詐騙、網絡安全預警、漏洞報告在內的安全情報,一旦發生安全威脅能夠及時進行處理。
對于個人用戶來說,遵守以下安全法則及原則,可以避免大部分風險:
兩大安全法則:
零信任。簡單來說就是保持懷疑,而且是始終保持懷疑。
持續驗證。你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。
安全原則:
網絡上的知識,凡事都參考至少兩個來源的信息,彼此佐證,始終保持懷疑。
做好隔離,也就是雞蛋不要放在一個籃子里。
對于存有重要資產的錢包,不做輕易更新,夠用就好。
所見即所簽。即你看到的內容就是你預期要簽名的內容,當你簽名發出去后,結果就應該 是你預期的,絕不是事后拍斷大腿的。
重視系統安全更新,有安全更新就立即行動。
不亂下程序。
在此,十分推薦閱讀并掌握 《區塊鏈黑暗森林自救手冊》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)。
區塊鏈發展道阻且長,期望隨著行業的不斷完善,區塊鏈可以迸發出更大的力量,走向更大的舞臺
▌瑞士信貸集體:美國經濟可能經歷更嚴重、更長時間的衰退金色財經消息,瑞士信貸集體(Credit Suisse)的Zoltan Pozsar表示.
1900/1/1 0:00:00在交易平臺買入你要的數字貨幣后,如果較長時間不賣的話,為了資產安全或轉帳操作便捷,建議把幣放在自己保管的錢包會更加穩妥.
1900/1/1 0:00:00前段時間,Poly Network 被盜事件的一個小插曲,一地址向黑客地址轉賬在 input data 中告知其 USDT 已被凍結,不要使用 USDT.
1900/1/1 0:00:00代幣化是網絡和社區激勵集體價值創造的一種機制,使貢獻者能夠參與和分享價值。這就是為什么我仍然相信社區是Web3技術和工具最引人注目的殺手級應用.
1900/1/1 0:00:00文/BitMEX Research本文我們討論以太坊合并時鏈分叉的可能性,相應將產生ETH2幣和新的ETHPoW幣.
1900/1/1 0:00:00點擊閱讀:解析「Web3悖論」的內在機理與突破路徑(上篇·悖論) 編者按 孟子曰︰魚,我所欲也;熊掌,亦我所欲也。二者不可得兼.
1900/1/1 0:00:00