摘要:區塊鏈的“起”與“落”。 2021 年,對區塊鏈行業來說,是跌宕起伏的一年,儘管如此,區塊鏈憑藉其去中心化、開放透明的特性,在行業內外的努力下,仍取得了良好的成績。同時,繼DeFi 之後,全球用戶、媒體對NFT、元宇宙的瘋狂熱潮,將區塊鏈帶到了前所未有的高度。這一年到底發生了什麼?本文將從區塊鏈…
區塊鏈的“起”與“落”。
2021 年,對區塊鏈行業來說,是跌宕起伏的一年,儘管如此,區塊鏈憑藉其去中心化、開放透明的特性,在行業內外的努力下,仍取得了良好的成績。同時,繼DeFi 之後,全球用戶、媒體對NFT、元宇宙的瘋狂熱潮,將區塊鏈帶到了前所未有的高度。這一年到底發生了什麼?本文將從區塊鏈市場發展及典型安全事件切入,帶你一探究竟。
區塊鏈生態安全態勢
1、政策、合規、監管
从国内环境看,一方面政府加大对区块链技术的研发和应用的重视程度,工信部指出到 2025 年区块链等设施服务能力显著增强;另一方面,政府继续收紧对加密货币的监管。9 月,多部门发布了《关于进一步防范和处置虚拟货币交易炒作风险的通知》、发改委等部门联合发布了《关于整治虚拟货币“挖矿”活动的通知》。相关材料显示,2021 年国家层面出台的涉及区块链相关内容的政策文件,内容覆盖高校科研、人才培育、技术应用标准、知识产权、数字农业、航运交通、疫情防控、网络安全、社会救助、数字文化产业等方面。
從國外環境看,各國政府仍對加密貨幣持續關注,對加密貨幣的監管逐步完善、政策也逐步放開。全球反洗錢機構金融行動特別工作組發布加密貨幣最新監管指南;韓國首爾將打造公共服務“元宇宙平台”;美國德州虛擬貨幣法案已正式生效;比特幣正式成為薩爾瓦多法定貨幣;烏克蘭議會通過虛擬資產法案等。
可以看出,全球各政府對區塊鏈的重視程度進一步提升,區塊鏈作為“新基建”的重要組成部分,正在被越來越多的主流機構擁抱。
2、技術、應用、經濟
我國“區塊鏈+產業”同樣穩步發展,各類落地應用項目不斷湧現。全國首個區塊鏈知識產權保護工作站揭牌成立;廣東省發放全國首張公共數據資產憑證。巨頭公司也加入賽道:華為公開“安全芯片及處理方法”專利、騰訊雲區塊鏈發布三款產品、百度新增“區塊鏈系統升級方法、裝置、設備及存儲介質”專利;中國移動通信聯合會元宇宙產業委員會正式成立;中國區塊鏈專利申請量全球第一,佔比約63%;商務部表示推動區塊鍊等新技術標準化應用等。
2021 年,區塊鏈底層技術也實現了關鍵突破。以太坊預計將在2022 年Q2 合併,V 神等人提出EIP-4488 旨在降低以太坊二層擴容解決方案的Gas;以太坊Layer2 擴容方案Arbitrum 將推出基於WASM 的新版本Nitro;8 月5 日以太坊完成倫敦升級。
3、安全事件
区块链技术就是一把双刃剑,其去中心化、匿名性、不可篡改等特性在促进产业进步的同时,引发的区块链安全问题也显著增加,加密货币犯罪五花八门,洗钱、诈骗、盗窃、贩毒、挖矿犯罪等案件频发。
據慢霧科技區塊鏈被黑檔案數據不完全統計,截止發文前,2021 年區塊鏈生態被公開的區塊鏈安全事件共231 起,損失超98 億美元。
(來源:hacked.slowmist.io)
其中各生態DApp、DeFi 等安全事件170 起,交易所安全事件15 起,公鏈安全事件8 起,錢包安全事件3 起,其他類型安全事件35 起。
自2018 年以來,總體損失走勢還是升高的。
下面帶大家來回顧典型事件,同時對每類事件附上慢霧觀點。雖然本文列舉的僅是冰山一角,但具有很大的代表性。
安全事件與觀點
1、公鏈
BSV 遭51% 攻擊
8 月4 日,BSV 疑似遭受到51% 攻擊,近100 個區塊發生重組。
ETC 主網遭遇分叉
9 月4 日,Ethereum Classic (ETC)發推稱,因以太坊客戶端Geth 漏洞導致ETC 主網遭遇分叉。
Solana 的主網Beta 版遭拒絕服務攻擊
9 月14 日,公鏈Solana 的主網Beta 版自北京時間19:52 開始出現不穩定狀況,9 月21 日,Solana 官方發佈網絡中斷初步概述:Solana 網絡離線17 個小時,沒有資金損失,網絡在24 小時內恢復了全部功能。網絡停滯的原因是拒絕服務攻擊。 UTC 時間12:00,Grape Protocol 在Raydium 上啟動IDO,機器人生成的交易使網絡擁堵。這些交易造成了內存溢出,導致許多驗證節點崩潰,迫使網絡變慢並最終停止。
慢霧觀點
公鏈安全漏洞雖造成損失較小,但對整個鏈生態的影響巨大。所以公鏈在上線前一定要經過專業的安全審計。建議公鏈團隊與可信且職業的安全團隊進行深入合作,部署因地制宜的安全建議,將引起安全問題的可能性降到最低,從而保障整個公鏈的安全。
2、交易所
Cryptopia 再次遭黑客入侵
2 月20 日,新西蘭交易所Cryptopia 再次遭黑客入侵,調查顯示,黑客訪問了一個錢包,該錢包自2019 年1 月黑客入侵以來一直處於休眠狀態。該錢包屬於Stakenet,由Cryptopia 的清算人Grant Thornton 控制。根據調查結果,休眠的錢包持有價值約196 萬美元的Xtake,這是Stakenet 的原生代幣。
Liquid 熱錢包遭攻擊
8 月19 日,日本加密交易平台Liquid 稱其熱錢包遭到攻擊。慢霧AML 團隊利用旗下MistTrack 反洗錢追踪系統分析統計,Liquid 共計損失約9,135 萬美元(按事發當天價格計),被盜幣種涉及BTC、ETH、ERC20 代幣、TRX、TRC20 代幣、XRP 等超70 種,幣種之多,數額之高,令人驚嘆。
慢霧觀點
交易所安全問題已經成為交易所和用戶關注的首要問題,甚至成為決定交易所存亡的關鍵。尤其今年第四季度各種交易所接連遭攻擊,損失十分慘重。
交易所頻受攻擊,原因如下:(1)交易所聚集大量資金,一直是黑客覬覦的對象;(2)交易所多數情況下防禦脆弱,容易產生安全漏洞,容易被黑客從薄弱點切入(3)用戶缺乏足夠的安全意識;(4)內部作案。
針對交易所,建議各大交易所健全內部管理與技術機制,通過引入安全審計機制、零信任機制、冷熱資產安全解決方案等來加強對數字資產的安全保障。同時,積極迎接監管。針對用戶,一定要加強安全意識,無論任何時候都不要把私鑰洩露給任何人,同時,認准官方平台,避免釣魚事件的發生。
3、錢包
Ledger 錢包多次發生洩露事件
6 月18 日,比特幣硬件錢包提供商Ledger 提醒用戶稱,近期發生了一系列利用偽造Ledger 硬件錢包騙取用戶資產的新型騙局,部分一年前信息遭到洩露的用戶收到要求用戶更換硬件錢包的包裹,該包裹包括一份偽造的官方信件及一個被篡改過的Ledger 硬件錢包。 Ledger 表示,信中關於「需要更換現有的硬件錢包來保護你的資金」為騙局,附贈的Ledger Nano 也是假的,如用戶按照信中說明輸入種子單詞,用戶的加密資產將會被盜。
多個Chivo 錢包被盜
Chivo 錢包是薩爾瓦多政府為推行比特幣法案而在9 月7 日發布的國家級數字錢包,為此,薩爾瓦多承諾,下載並認證的Chivo 錢包用戶將獲得30 美元的比特幣獎勵。此舉使這個薩爾瓦多官方錢包在1 個月內的用戶量超過200 萬人。然而,在10 月9 日至10 月14 日期間,薩爾瓦多的人權組織Cristosal 收到了755 份關於薩爾瓦多人報告Chivo 錢包身份被盜的通知。
慢霧觀點
雖然今年與錢包本身相關的事件數量有所下降,但因下載假錢包App 被盜的事件數量卻十分龐大。據慢霧11 月份的報告,假錢包App 已致上萬人被盜,損失高達十三億美元。樹立安全意識、掌握正確方法才能真正保護你的資產。首先,認准官方網站,不要點擊除官方外的鏈接;其次,做好錢包備份並妥善保管好私鑰助記詞;最後,時刻保持懷疑之心,天下沒有免費的午餐。
4、DApp、DeFi、NFT、跨鏈
(1)ETH 生態
SushiSwap 再次遭攻擊
1 月27 日,SushiSwap 再次遭遇攻擊,損失81 ETH。本次攻擊和SushiSwap 第一次攻擊類似,都是通過操控交易對的兌換價格來產生獲利。這次的攻擊利用了DIGG 本身沒有對WETH 交易對,而攻擊者創建了這個交易對並操控了初始的交易價格,導致手續費兌換過程中產生了巨大的滑點,攻擊者使用少量的DIGG 和WETH 提供初始流動性即可獲取巨額利潤。
SIL 被盜後追回1215 萬美元
3 月19 日,DeFi 聚合理財服務SIL.Finance 合約出現高危漏洞。後SIL.Finance 發文稱,此次事件是由智能合約權限漏洞引起的,該漏洞繼而觸發了一個通用搶先交易機器人提交一系列交易以獲利。在發現智能合約因存在高危漏洞而無法提現後,經過慢霧等多方36 小時的努力,已經成功追回1215 萬美元。
(2)BSC 生態
Compound 漏洞與提案
9 月30 日,去中心化借貸協議Compound 通過推特確認,在執行62 號提案後,該協議的流動性挖礦出現COMP 代幣分發異常情況,Compound Labs 和社區成員正在進行調查。 Compound 表示,存款和借款資金目前未發現存在風險。 Compound 創始人Robert Leshner 表示,出現的問題看起來是根據62 號提案進行COMP 代幣分發的速率初始設定出錯,導致過多COMP 代幣被分發。 10 月4 日,就在Compound 試圖修補漏洞時,另外一筆價值6880 萬美元的COMP 代幣(共計202472 枚COMP)因為drip() 函數的調用而被打入了已經存在漏洞的流動性挖礦代幣分發合約。
Cream Finance 三遭攻擊
10 月27 日,DeFi 借貸協Cream Finance 遭受攻擊,損失約1.3 億美元。被盜的資金主要是Cream LP 代幣和其他ERC-20 代幣。據悉,這是有史以來第三大DeFi 黑客攻擊。此外,Cream Finance 此前曾多次遭受閃電貸攻擊,2 月份損失3750 萬美元,8 月份又損失1900 萬美元。
(3)EOS 生態
flash.sx 智能合約遭重入攻擊
自5 月14 日11:28 UTC 開始,flash.sx 閃電貸智能合約遭受到”re-entry” 攻擊漏洞,相繼有大約120 萬EOS 和46.2 萬USDT 被盜。據官方消息,EOS Nation 旗下閃電貸被黑客攻擊後,項目方發起提案直接更改了黑客EOS 賬號權限轉回資產。
PIZZA 遭黑客攻擊
12 月8 日下午8 點,黑客賬戶itsspiderman 利用溢出漏洞在eCurve 憑空增發tripool 做市憑證,在PIZZA 質押並藉出協議中的絕大部分代幣。事後黑客創建一百三十餘萬賬戶並將盜竊資產分散。 PIZZA 協議在本次攻擊中的損失約折合500 萬美元。
(4)Polygon 生態
算法穩定幣項目SafeDollar 遭攻擊
6 月28 日,Polygon 上算法穩定幣項目SafeDollar 疑似遭到黑客攻擊,一份未經證實的合約似乎抽走了25 萬美元的USDC 和USDT。
PolyYeld Finance 合約遭利用
收益耕作協議PolyYeld Finance 遭到攻擊,項目合約被利用鑄造了4.9 萬億個YELD 代幣並在二級市場進行傾銷。
(5)HECO 生態
HSO 捲走3 萬HT 跑路
3 月10 日,火幣生態鏈HECO 上的預言機項目HSO 進行IDO 後捲走3 萬HT 跑路,網站、Telegram 均無法打開。後在HECO 核心代碼貢獻團隊星辰實驗室、HECO 技術社區與HECO 白帽安全聯盟等有關各方的全力推動下,已追回24823 枚HT。
XDX Swap 遭攻擊
7 月2 日,Heco 鏈上跨鏈去中心化交易所DDEX 上XDX Swap(DDEX)遭到攻擊,攻擊者獲利85.17 ETH (約17.6 萬美元)並將其全部跨鏈至以太坊。 DDEX 代碼疑似存在後門。在DDEX 及星辰實驗室、HECO 白帽安全聯盟等方面的支持和配合下,XDX Swap 陸續追回涉及此次攻擊事件中的大部分資金,總價值超過500 萬美元。
(6)其他生態
NEAR 生態Ref.Finance 因合約錯誤被利用
8 月15 日,NEAR 生態Ref.Finance 團隊發推稱,UTC 時間8 月14 日下午2 點左右,Ref 團隊注意到REF-NEAR 交易對的異常行為,隨即發現最近所部署合約的修補程序中的一個錯誤,且該錯誤已被多個用戶利用,致使約100 萬枚REF 和58 萬枚NEAR 受到影響。
Solana 生態Solend 遭到黑客攻擊
8 月19 日,Solana 生態借貸協議Solend 發推稱,協議於北京時間8 月19 日20:40 遭到黑客攻擊,攻擊者破解了UpdateReserveConfig 函數中對不安全身份的檢查,使得其可以清算所有賬戶。此外,黑客還將藉入資金的APY 設置為了250%。此期間,有5 名用戶的資金被誤清算。 Solend 表示,本次攻擊沒有造成資金被盜的情況,之後將提高漏洞賞金的規模並建立更好的監控和報警系統。
波卡生態IDO 平台Polkatrain 被套利
4 月5 日,波卡生態IDO 平台Polkatrain 發生事故,據慢霧分析,本次出現問題的合約為Polkatrain 項目的POLT_LBP 合約,該合約有一個swap 函數,並存在一個返佣機制,當用戶通過swap 函數購買PLOT 代幣的時候獲得一定量的返佣,該筆返佣會通過合約裡的_update 函數調用transferFrom 的形式轉發送給用戶。由於_update 函數沒有設置一個池子的最多的返佣數量,也未在返佣的時候判斷總返佣金是否用完了,導致惡意的套利者可通過不斷調用swap 函數進行代幣兌換來薅取合約的返佣獎勵。
Avalanche 鏈上借貸協議Vee.Finance 被盜
9 月20 日,Avalanche 鏈上借貸協議Vee.Finance 團隊注意到多次異常轉賬,經過進一步監控,共有8804.7 ETH 和213.93 BTC 被盜(總價值超3500 萬美元)。穩定幣部分不受此次攻擊影響。
Fantom 鏈上GrimFinance 遭閃電貸攻擊
12 月19 日,Fantom 鏈上複合收益平台GrimFinance 遭遇閃電貸攻擊,損失已超3000 萬美元。攻擊者使用GrimFinance 的保險庫策略中名為「beforeDeposit()」的函數進行攻擊,輸入惡意Token 合約。
(7)跨鏈系統
跨鏈交易協議THORChain 三遭攻擊
6 月29 日,THORChain 遭“假充值” 攻擊,損失近35 萬美元;7 月16 日,THORChain 二次遭“假充值” 攻擊,損失近800 萬美元;7 月23 日,THORChain 再三遭攻擊,損失近800 萬美元。
跨鏈橋Chainswap 被盜影響多個平台
7 月11 日,跨鏈橋項目Chainswap 再次遭到黑客攻擊,在該橋樑部署智能合約的超20 個項目代幣都遭遇黑客盜取,預計總損失為400 萬美元,幾乎釀成DeFi 史上影響範圍最大的一次安全事故。根據Chainswap 調查,由於代幣跨鏈配額代碼中的錯誤,鏈上交換橋配額由簽名節點自動增加,其目的是在無需人工控制的情況下更加去中心化。但是,由於代碼中的邏輯缺陷,這導致了通過允許未列入白名單的無效地址自動增加數量的漏洞。此前在7 月2 日,Chainswap 也曾遭遇黑客攻擊,部分用戶代幣被主動從與ChainSwap 交互的錢包中取出,預計總損失為80 萬美元。
Poly Network 6.1 億美元被盜後被歸還
發生在8 月10 日的Poly Network 攻擊事件可能是史上涉及金額最大的一起網絡安全事件,超過6.1 億美元的加密資產在15 天內被盜並被歸還。整個區塊鏈行業及所有相關方,和Poly Network 一起經歷了這跌宕起伏的過程。目前所有涉及資產已經全部歸還用戶,系統功能已經基本恢復至事件前水平。
(8) NFT
NFT 欺詐蔓延
8 月2 日,一個名為「cryptopunksbot」的騙子在CryptoPunk 的Discord 服務器上發布,為NFT 投資者提供贏得10 個NFT 頭像的機會。 NFT 項目創始人Stazie 因接受了虛假報價的海報,而失去了16 個CryptoPunk,價值至少100 萬美元。隨後欺詐者以149 ETH(385,000 美元)的價格出售了5 個CryptoPunk。
慢霧觀點
自DeFi 誕生以來,就伴隨著無數的風險。儘管現在許多DeFi 項目價值一直在爆炸式的翻倍增長,但被黑事件也愈演愈烈。經慢霧統計,DeFi 通常存在以下攻擊方式:(1)閃電貸攻擊;(2)合約漏洞;(3)兼容性或架構問題;(4)私鑰洩露或前端攻擊;(5)內部作案,跑路。
對項目方來說,想要盡可能的消除漏洞、降低安全風險,就必須做出有效的努力——在項目上線之前,對其進行全面深入的安全審計。同時,建議各DeFi 項目方通過引入多簽機制來加大資產保護的力度。另一方面,各DeFi 項目在進行協議間交互時,需要做好協議之間的兼容性,開發者在移植其他協議的代碼時,需充分了解移植協議的架構以及自己項目的架構設計,防止資金損失情況的發生。對用戶來說,隨著區塊鏈領域的玩法愈發多樣化,用戶在進行投資前認真了解項目背景,查看該項目是否有開源、是否經過審計,在參與項目時需要提高警惕,注意項目風險。
5、其他類型
勒索
5 月7 日,全美最大油氣輸送管道運營商Colonial Pipeline 遭到勒索軟件定向攻擊而被迫暫停營運,之後支付75 枚比特幣,超過4 百萬美元的贖金,才得以讓營運恢復正常。此次勒索攻擊由於涉及到國家級關鍵基礎設施,故而引起了全球的震動和廣泛關注。針對此事件,美國司法部官員表示,已成功追討回超過200 萬美元的贖金。不過,美國政府官員沒有具體說明「如何取得私鑰、收回贖金」的詳細過程,僅表示這項行動展現了美國將不遺餘力應對勒索攻擊。
詐騙
8 月20 日,俄羅斯最大的加密貨幣騙局之一的創始人已入獄,罪名是涉嫌從其投資者那裡騙取超過15 億美元。 Finiko 於2019 年在喀山市成立,並冒充一家合法的BTC 投資公司。 2020 年12 月,Finiko 發布了其原生加密貨幣FNK。根據當地報導,創始人將從投資者那裡拿走BTC 並獎勵他們FNK 代幣。
釣魚
10 月15 日,Sophos 發布的報告稱,加密欺詐應用CryptoRom 通過利用“超級簽名服務”及蘋果開發者企業計劃竊取140 萬美元。迄今為止,與該騙局相關的比特幣地址已發送超過139 萬美元,並且可能還有更多地址與該騙局有關。報告稱,大多數受害者是iPhone 用戶。該報告稱,CryptoRom 繞過App Store 的所有安全檢查,並且每天都保持活躍。報告還表示,蘋果“應該就通過臨時分發或通過企業配置系統安裝應用程序警告用戶,這些應用程序未經蘋果審查。”
慢霧觀點
區塊鏈在大力發展的過程中,各種打著區塊鏈名號的新型投資騙局,也如雨後春筍般層出不窮。以勒索軟件為例,美國財政部金融犯罪執法網絡發布的一份報告指出,2021 上半年發生的與勒索軟件相關的交易,已經達到了5.9 億美元。慢霧在此提醒用戶,不要打開來歷不明的郵件附件,仔細辨別釣魚網站,始終持有懷疑謹慎的態度,有效利用殺毒軟件。
總結
儘管現在許多以BTC 為代表的加密貨幣的市值一直在翻新高,區塊鏈行業當前發展態勢整體越來越好,但加密貨幣犯罪隨之也更猖獗。從統計數據來看,發生安全事件次數較多、金額損失較大的月份主要在4 月、6 月和8 月;從各生態來看,以太坊上損失最多,超13 億美元,其次是BSC 生態;從攻擊領域來看,受攻擊較多的是交易所和DeFi。
對項目方來說,建議健全內部管理與技術機制,內部安全人員及時對安全相關內容查漏補缺。最重要也是最有效的方式——在項目上線之前,對其進行全面深入的安全審計,將引起安全問題的可能性降到最低。
對用戶來說,正確和理性看待區塊鏈,樹立正確的貨幣觀念和投資理念,切實提高風險防範意識。比如在投資前要注意智能合約有沒有開源、平臺本身有沒有安全審計,最重要的是一定要保管好自己的私鑰助記詞,不要洩露給任何人。
最後,期待區塊鏈新的一年能迸發出更大的能量,出現更多的落地應用,創造更大的價值。