作者:比特叢林
隨著數字化進程的不斷深入,區塊鏈技術已成為許多領域的重要驅動力,它不僅為金融、醫療、物流等傳統行業帶來了顛覆性的變革,而且也為參與者帶來了更加開放和透明的體驗。然而,隨著區塊鏈技術的廣泛應用,與之相關的安全問題也變得愈發嚴峻。近年來,區塊鏈安全事件頻發,不僅對個人和企業造成了巨大損失,而且也對區塊鏈技術的發展帶來了挑戰。
本報告對2023年上半年的區塊鏈安全事件進行梳理和分析,旨在探究區塊鏈安全存在的隱患,以及分析區塊鏈安全事件的成因,并提出相應的解決方案和建議。我們希望通過這份報告引起各方對區塊鏈安全問題的關注,共同推動區塊鏈技術的安全發展,為數字化世界的未來奠定堅實的基礎。
2023年上半年共發生主要攻擊事件192起,總損失金額約為9.2億美元。
損失金額超過 1 億美元的安全事件共 4 起:
·Euler Finance閃電貸攻擊事件損失 1.97 億美元
·Blockchain for dog nose wrinkles詐騙項目造成損失 1.27 億美元
·BonqDAO & AllianceBlock操縱價格造成損失 1.2 億美元
資管巨頭VanEck高管:預計2023年金融機構將250億美元鏈下資產代幣化:12月8日消息,資管巨頭VanEck數字資產研究主管Matthew Sigel近日表示,預計明年金融機構將把超過250億美元的鏈下資產代幣化到區塊鏈上,以簡化托管和結算,同時降低客戶的成本。據ETF.com數據,VanEck在美國交易的68只ETF總資產約為520億美元,其中三只基金提供了對加密資產的敞口。(blockworks)[2022/12/8 21:30:16]
·Atomic Wallet錢包被盜造成損失1億美元
損失金額在1000萬美元至1億美元區間的事件 12 起
損失金額在100萬美元至1000萬美元區間的事件 40 起。
根據分析安全事件使用的攻擊手法,其中頻率最高的攻擊手法為Rug Pull與合約漏洞,均為32次攻擊。其次為閃電貸攻擊,共發生了20次,占所有事件數量的14.93%。
在發生數量TOP8的攻擊手段中,閃電貸損失金額最大,共造成2.5億美元的損失。位于其后的是區塊鏈騙局,雖然只發生了七次,但是造成的損失達2.3億美元。
Kava 9主網將于2022年1月20日上線:12月30日,據官方消息,Kava 9主網已準備就緒,計劃將于北京時間2022年1月20日00:00上線。[2021/12/30 8:14:11]
而合約漏洞和Rug Pull雖然發生總數相對較多,占所有攻擊手法的47.76%,但其造成的損失遠不及前兩者,僅有6649萬美元的損失。這些攻擊手段的高發生率和巨大的損失金額再次凸顯了加密貨幣市場中的風險。盡管區塊鏈技術有著很大的潛力和應用前景,但是它仍然面臨著安全風險和技術挑戰。
Rug Pull事件頻發,其中75%的項目跑路金額在1000萬美元以下、28%的項目跑路金額在100萬美元以下。這類項目通常官網、推特、電報、Github等信息缺失,沒有Roadmap或白皮書,團隊成員信息可疑,項目上線到最后跑路周期不超過三個月。
此類安全事件帶來的損失,不容忽視,需要加強對項目背景的調查,提高對陌生信息的防范意識,以及通過提前預防,從而提高防范能力,避免損失的發生。
鏈上應用(On-chain Application),也稱為去中心化應用(Decentralized Application,DApp),是構建在區塊鏈或分布式賬本技術之上的應用程序。使用區塊鏈的特性和功能進行數據存儲、交易處理和智能合約執行。
Ripple2020報告:區塊鏈支付已成重要趨勢:11月6日消息,近日,區塊鏈初創公司Ripple發布了《2020支付中的區塊鏈報告:從采用到增長》區塊鏈支付年度報告。報告顯示,自今年以來,區塊鏈和數字資產項目不僅可能實現增長,且熟知程度和受歡迎程度也在持續上升。其中,全球五個地區(北美、歐洲、中東和非洲、拉丁美洲和亞太地區)對區塊鏈和加密貨幣的熟悉度高達82%-94%。(新浪財經)[2020/11/6 11:48:09]
2023年上半年,鏈上應用共發生 157 次安全事件,占總事件數量的 81%。鏈上應用總損失金額達到了 7.4億 美元 ,占總損失金額的 79%。鏈上應用為這半年中被攻擊頻次最高、損失金額最多的類型。
鏈上應用類型的安全事件在上半年六個月發生的頻率幾近相同,安全事件出現原因的前三分別是Rug Pull、合約漏洞、Twitter 被黑。
建議:
項目方在設計、構建項目時充分考慮項目的安全性,在實現功能的同時考慮到校驗功能是否會被繞過、是否存在缺陷,在項目上線前充分進行安全審計。
用戶投資鏈上應用前盡量多方考察、慎重決策,謹慎投資。
交易所(Exchange)是指提供數字資產買賣和交易服務的平臺或機構。它允許用戶以一種數字資產(如比特幣、以太坊等)交換另一種數字資產,或者以法定貨幣(如美元、歐元等)購買或出售數字資產。
動態 | 教育部發布《智慧學習工場2020建設標準指引》 將推動區塊鏈等技術綜合集成:據光明日報消息,7月29日,教育部學校規劃建設發展中心在京發布《智慧學習工場2020建設標準指引》。會議宣布,從即日起實施智慧學習工場2020建設標準的指引、認定、咨詢和培訓等工作。教育部學校規劃建設發展中心主任陳鋒在會上表示,智慧學習工場是適應科技革命的新機制。在這里,以人工智能為核心推動5G、大數據、VRAR、區塊鏈等技術綜合集成,推動以數字化智能化平臺為中心,靈巧學習、集成化場景、全域感知、數字化評價、智慧管理等有機結合、自我演進,智慧學習工場與智慧學習工場、智慧學習工場與其他產學研和社會組織廣泛互聯,從而推動高等教育和職業教育進入到智慧教育的新時代。[2019/7/30]
2023年上半年,交易所是安全事件發生數量排名第二的類型,上半年共發生11起交易所領域內的安全事件,共造成了7318萬美元的損失。主要被攻擊原因為合約漏洞。
有關交易所的安全事件每個月都有發生。而且由于安全事件損失的金額也不在少數。
用戶要小心處理釣魚和惡意鏈接:避免點擊不信任的鏈接,尤其是通過電子郵件或社交媒體收到的鏈接。
定期檢查賬戶活動;不集中存儲所有資金;更新和保護設備;選擇值得信任的安全公司進行提前審計。
公有鏈(Public Blockchain)簡稱公鏈,是指全世界任何人都可隨時進入讀取、任何人都能發送交易且能獲得有效確認的共識區塊鏈。側鏈是平行于主鏈的一條區塊鏈,可以理解為是區塊鏈的一種擴展協議。以滿足特定的業務需求,例如跨鏈資產交換、私有鏈擴展和特定行業的區塊鏈解決方案。
西歐地區塊鏈指出在2021年之前將增至18億美元:國際數據公司(IDC):預計西歐地區塊鏈指出在2021年之前將增至18億美元。[2018/2/1]
2023年上半年,公鏈/側鏈是安全事件發生數量排名第三的類型。主要被攻擊原因為智能合約漏洞。
選擇可靠的共識機制。
使用安全的加密算法生成和存儲密鑰,使用多重簽名技術增加交易的安全性。
進行定期的安全審計,包括代碼審查、安全性測試和漏洞掃描,以識別潛在的安全漏洞和弱點。
跨鏈橋(Cross-Chain Bridge)是一種允許在不同區塊鏈網絡之間傳輸數字資產的技術解決方案。跨鏈橋通常會在起始鏈上的智能合約中鎖定或銷毀通證,并通過目標鏈上的另一個智能合約解鎖或鑄造通證。跨鏈通信本質上需要在安全、信任和靈活性三個維度上做出權衡。由于這些復雜因素的存在,跨鏈橋成為了Web3領域主要的攻擊對象。
2023年上半年就發生了8次跨鏈橋安全事件,損失金額為1137萬美元。
在2022年,12次跨鏈橋安全事件共造成了約18.9億美元損失,居所有項目類型損失的第一位。相比于去年,跨鏈橋在今年的上半年已經發生了7次安全事件,再加上近日出現的Poly Network 和Multichain的安全事件已出現了10起安全事件,跨鏈橋安全事件有比去年更為嚴重的發展態勢。主要被攻擊原因為智能合約漏洞、閃電貸等。
項目方在設計跨鏈消息傳輸協議時將安全放在第一位。
區塊鏈錢包是區塊鏈中一個重要組成部分,是一種數字貨幣存儲和管理工具,它允許用戶安全地保存、接收和發送各種加密貨幣,如比特幣、以太坊和其他代幣。錢包安全一直是區塊鏈行業的一個熱門話題,一旦錢包受到攻擊,攻擊者可以輕易地竊取用戶的私鑰和助記詞等敏感信息,進而掌握用戶的數字資產。這些數字資產的價值可能非常高,一旦被盜,損失也會非常慘重。因此,為了最大限度地保障用戶的數字資產安全,我們建議用戶采取一些安全措施。
2023年上半年中,錢包被攻擊的安全事件相比于其他類型數量較少,但是,當錢包受到攻擊,損失便是較大的數額。如Atomic與MyAlgo的錢包事件,兩次攻擊事件造成了高達1.09億美元的損失。
事件數量總數排名第三的類型為錢包,該類別發生安全事件的原因大多是私鑰、助記詞泄露。
選擇可信的錢包提供商:選擇一個有良好聲譽和可靠歷史記錄的錢包提供商。確保了解他們的安全實踐,如何保護用戶數據和私鑰等敏感信息。
使用雙重身份驗證:啟用雙重身份驗證可以增加您賬戶的安全性。這種方法需要您在登錄時輸入除用戶名和密碼外的另一種身份驗證方式,例如驗證碼或指紋識別。
不要分享您的私鑰:私鑰是您加密貨幣的所有權證明。不要與任何人分享您的私鑰,包括錢包提供商。如果有人要求您提供私鑰,那么這很有可能是一種詐騙行為。
定期備份您的錢包:定期備份您的錢包可以確保您在錢包丟失或遭受攻擊時可以恢復您的加密貨幣。您可以將備份保存在安全的地方,例如離線設備或硬件錢包中。
小心處理未知的電子郵件或信息:不打開或下載未知來源的電子郵件或信息。這些可能包含惡意軟件或鏈接,可能會導致您的錢包被攻擊。
確保您的計算機和手機設備是安全的:確保您的計算機和手機設備具有最新的防病和安全更新,以保護您的設備免受攻擊。
不要在公共場所使用未知的Wi-Fi網絡,因為這些網絡可能不安全,可能會被黑客用來攻擊您的錢包。
確保您的錢包軟件是最新的:確保您的錢包軟件是最新版本。新版本通常包含安全更新和修復,可以幫助您保護您的錢包免受攻擊。
關注有關錢包安全的最新信息:了解有關錢包安全的最新信息和事件,以幫助您保持對錢包安全的了解,并采取適當的預防措施。
通過對2023年上半年區塊鏈安全事件的整理,發現鏈上應用是半年來被攻擊頻次最高、損失金額最多的項目類型。鏈上應用領域共發生157次安全事件,其中32次都基于合約漏洞進行攻擊。
面對頻出的安全事件,研發者應該進一步遵循安全編碼、審計合約代碼、使用成熟的安全庫等保障用戶權益;而作為使用智能合約的用戶也應該謹慎選擇合約,并在使用前仔細檢查其代碼和安全性,選擇專業的安全公司進行審計。當安全事件發生時,用戶能做到的很有限,只有不斷提高自身的安全意識,提前發現漏洞,解決漏洞,做好防范才能盡可能避免被攻擊。
本報告提供的信息僅供參考和研究,信息來源于公開渠道,作者已經盡力核實準確性和完整性,但不能保證其準確性和完整性,也不承擔因使用或依賴該信息而產生的任何損失或損害的責任。本報告不應視為對任何特定區塊鏈項目或加密貨幣投資的推薦或建議,讀者應該自行進行研究和決策。本報告的內容不能替代讀者的判斷和決策,也不能保證所述情況的持續存在或實現。
金色財經
企業專欄
閱讀更多
金色薦讀
Block unicorn
區塊鏈騎士
金色財經 善歐巴
Foresight News
深潮TechFlow
作者:Animoca Brands 聯創 Yat Siu;翻譯:Odaily 星球日報 Jessica大約五年前.
1900/1/1 0:00:00原文作者:SunnyZ 翻譯:星球日報了解 Web3 玩家的行為偏好,無論是對于優化游戲項目方運營還是調整游戲和收益機制的設計,都非常關鍵.
1900/1/1 0:00:00DeFi數據 1、DeFi代幣總市值:514.63億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量39.
1900/1/1 0:00:00作者:吳天一 “WAGMI”是Web3.0社區的一句“黑話”,為“We All Gonna Make It”的縮寫,最初代表社區成員對項目的認可,現在已經成為Web3.0從業者們的口頭禪.
1900/1/1 0:00:00作者:CZ 來源:Binance官網 親愛的幣安用戶: 值此幣安成立六周年之際,讓我們利用這個機會共同回顧過去,分享我們的故事,并展望未來.
1900/1/1 0:00:00美國司法部宣布了首個涉及對 DEX 運行的智能合約攻擊的刑事案件。身為一家國際科技公司高級安全工程師的 Shakeeb Ahmed 利用他的專業知識,欺詐了在 Solana 上的去中心化交易所及.
1900/1/1 0:00:00