解讀之2022 上半年區塊鏈安全態勢及攻擊手法
圖片
我們前幾天發布了《2022 上半年區塊鏈安全及反洗錢分析報告》,引起了熱烈反響。應眾多用戶要求,接下來我們將在「區塊鏈安全與反洗錢報告」話題裡把報告分為四篇文章來進行解讀。
本篇主要聚焦區塊鏈生態安全概覽及攻擊手法。
區塊鏈安全態勢
近兩年來,在疫情持續肆虐、經濟衰退、能源短缺、地緣衝突升級、國際間競爭加劇等種種因素的影響之下,全球社會與經濟發展遭遇了前所未有的挑戰。與此同時,全球區塊鏈行業也經歷著一場不斷加速的變革:區塊鏈技術的效率、安全性和可擴展性得到不斷改善,元宇宙、NFT 等新興領域的興起,使區塊鏈行業正式邁入3.0 時代。
根據慢霧區塊鏈被黑事件檔案庫( SlowMist Hacked )統計,截至6 月30 日,2022 上半年安全事件共187 件,損失高達19.76 億美元。
圖片
(2022 上半年安全事件)
在這些安全事件中,約77% (144 起)源於項目自身存在漏洞被攻擊者利用,損失金額約18.4 億美元,佔安全事件總損失的93%;約21%(39 起) 源於包含Phishing&Rug Pull 的Scams,損失金額約1.3 億美元,佔安全事件總損失的6%。
圖片
(2022 上半年安全事件攻擊原因分佈圖)
圖片
(2022 上半年安全事件攻擊原因損失對比圖)
區塊鏈生態安全概覽
根據被攻擊對象的不同,我們將187 起安全事故分為三部分:公鏈賽道、交易平台和其他。
公鏈賽道
作為區塊鏈行業的基礎設施,公鏈承載了人們對於區塊鏈作為Web3 底層網絡的期望。隨著一代又一代公鏈的崛起,NFT、DeFi、GameFi、元宇宙等生態熱潮也相繼迎來爆發,同時這些項目也促進了公鏈的發展與價值提升,使多鏈世界從理想走向了現實。據Footprint Analytics 的數據,截至6 月累計已收錄的公鏈數量有119 條,對比2021 年6 月收錄的31 條,同比增長約284%。
圖片
(2021 與2022 年6 月公鏈數量對比)
但公鏈的快速發展同時是一把雙刃劍,在促進產業進步的同時,引發的區塊鏈安全問題也顯著增加,我們分別從DeFi、NFT、跨鏈橋三方面解析。
1.DeFi 生態
DeFi 作為世界上最受歡迎的可編程區塊鏈,2022 發展態勢不可小覷,據DeFi Llama 數據顯示,6 月30 日DeFi 總鎖倉價值為1432 億美元,其中ETH 鏈以945.5 億美元的TVL(Total Value Locked)佔據了資金沉澱的半壁江山,其次是BSC 鏈的110.8 億美元。 2021 年以來,許多新興公鏈如Solana、Avalanche 等通過擁抱DeFi 快速發展鏈上生態,也吸引了大量用戶和資金沉澱。 6 月30 日Solana TVL 為26.4 億美元,同比增長77%;Avalanche TVL 為55.4 億美元,同比增長96%。
圖片
(2022 上半年DeFi TVL)
隨著DeFi 熱潮的興起,該領域也自然成為了黑客覬覦的重點對象。根據SlowMist Hacked 統計,截至6 月30 日DeFi 安全事件約100 起,損失超16.3 億美元。其中在BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨鏈橋上發生的安全事件數量分別為47 起、29 起、8 起、5 起、2 起、1 起、7 起,所造成損失分別為1.4 億美元、3.08 億美元、5491 萬美元、6383 萬美元、1310 萬美元、830 萬美元、10.43 億美元。
圖片
(2022 上半年DeFi 安全事件分佈)
2.NFT 生態
基於區塊鏈技術的NFT 也是需要重點關注的對象,隨著一批頭部NFT 項目的崛起和各路名人的參與,NFT 極速發展。根據Dune Analytics 的數據,OpenSea 的交易量在1 月份達到上半年最高峰2.84 億美元,而隨著加密貨幣市場的變化,OpenSea 在6 月份的交易量只有1558 萬美元,下滑94%。在NFT 的熱潮中,目前以太坊生態的NFT 在市值和交易量依舊佔據市場的主流,交易量超90%。除了以太坊外,從近30 天交易量和近7 天交易量這些短期數據來看,Solana,Flow 等生態的NFT 也正在快速發展,且表現亮眼,多鏈時代距離我們越來越近。
圖片
(2022 上半年OpenSea 交易量變化圖)
蓬勃發展的同時意味著賽道發生的安全事故也不在少數,根據SlowMist Hacked 不完全統計,截至6 月30 日NFT 賽道安全事件約48 起,損失超6281 萬美元。其中33.4%(16 起)源於項目自身存在的漏洞被攻擊者利用,20.8%(10 起)源於Rug Pull, 而釣魚攻擊佔了大部分,佔比為45.8%(22 起),多數都是由於Discord/Twitter 等媒體平台被黑後黑客發布釣魚鏈接。
圖片
(2022 上半年NFT 攻擊事件原因分佈圖)
並且隨著時間推移,不法分子的攻擊逐漸猖獗,根據TRM Labs 發布的報告,在5、6 兩個月,由TRM Labs 社區主導的詐騙報告平台Chainabuse 收到了超過100 份關於Discord 黑客攻擊的報告;自5 月以來,NFT 社區損失約2200 萬美元;6 月,黑客在被黑的Discord 中發布NFT 相關的釣魚攻擊同比增加了55%。
3.跨鏈橋
隨著區塊鏈的發展,目前已經進入一個以太坊為核心多鏈並存的局面,鏈與鏈之間的資產轉移、 智能合約的跨鏈交互已成為鏈上活動的日常,跨鏈橋作為區塊鏈基礎設施的地位越發凸顯。根據Dune Analytics 數據,截至6 月30 日以太坊中15 個主要跨鏈橋的鎖定總價值(TVL)約83.9 億美元。目前TVL 最高的是Polygon Bridges(35 億美元),排名第二的是Arbitrum Bridge(18.93 億美元),隨後是Avalanche Bridge(12.41 億美元)。
圖片
(以太坊15 個主要跨鏈橋的TVL)
由於流動資金量大,去中心化程度低,權限幾乎都掌握在多簽錢包中等特性,跨鏈橋也成了黑客眼中的“香餑餑”。根據SlowMist Hacked 統計,截至6 月30 日跨鏈橋安全事件共7 起,損失高達10.43 億美元,佔比DeFi 上半年總損失的64%,佔比上半年總損失的53%。值得注意的是上半年,損失金額上億美元的事件4 起中就有3 起來自跨鏈橋。作為多鏈生態的重要基礎設施,跨鏈橋一方面承擔著巨量的資金流動,為用戶帶來了極大的便利,另一方面在安全性和去中心化水平上面臨許多挑戰,需要項目方提升安全、風控等能力。
圖片
(2022 上半年跨鏈橋安全事件)
交易平台
加密貨幣行業一直處在監管漩渦中,首當其衝的就是加密貨幣交易平台。交易平台發生的安全事故分析如下:以全球交易量最大的平台Binance 為例,自2021 年來,Binance 已遭到數十個國家和地區的監管警告,包括歐洲、美洲、 亞洲在內的多個地區。在全球強力監管信號下,Binance 陸續在西班牙、法國、阿布扎比、迪拜、意大利、巴林等國家或地區獲得了監管許可並進行了註冊,逐步推進其合規化進程。
在上半年,全球共發生4 起交易平台安全事件,損失超7770 萬美元,具體如下:
1 月9 日,LCX 技術團隊在LCX 交易平台上檢測到一個未經授權的訪問,總共約794 萬美元的加密資產被盜。
1 月17 日,Crypto.com 少數用戶遭到未經授權提款,損失約3400 萬美元,包括4,836.26 ETH、443.93 BTC 和約66,200 美元的其他加密貨幣。
2 月8 日,LockBit 勒索軟件團伙稱從加密貨幣交易平台PayBito 竊取了大量客戶數據。
2 月12 日,來自美國南達科他州提供自主退休金賬戶的IRA Financial Trust 對加密交易平台Gemini 提起訴訟,指控稱由Gemini 保管的屬於客戶退休賬戶的3600 萬美元加密資產被盜。
圖片
(2022 上半年交易平台攻擊事件損失對比圖)
慢霧安全團隊建議各大交易平台健全內部管理與技術機制,通過引入安全審計機制、零信任機制、冷熱資產安全解決方案等來加強對數字資產的安全保障。
其他
不法分子看中加密貨幣的匿名性,區塊鏈已成為網絡黑產的新風口,呈現出越來越明顯的組織化與專業化趨勢,“勒索”、“欺詐”及“盜竊”已成為加密貨幣巨大安全威脅。據中國人民銀行支付結算司數據,2021 年涉詐款項的支付方式中,利用加密貨幣進行支付僅次於銀行轉賬,排名第二位,高達7.5 億美元;而2020 年、2019 年僅為1.3、0.3 億美元,逐年大幅增長的趨勢明顯。值得關注的是,加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。 2021 年“殺豬盤”詐騙資金中1.39 億美元使用加密貨幣支付,是2020 年的5 倍、2019 年的25 倍。
攻擊手法概覽
以上187 起安全事件中,攻擊手法主要分為四類:由項目自身設計缺陷和各種合約漏洞引起的攻擊;包含Rug Pull、釣魚攻擊等手法的Scam;由於私鑰洩露引起的資產損失;前端惡意攻擊,這四種主要攻擊手法佔比安全事件總數量的95%。
圖片
(2022 上半年攻擊手法數量對比圖)
圖片
(2022 上半年攻擊手法損失對比圖)
上半年由項目自身設計缺陷和各種合約漏洞引起的攻擊共92 起,造成損失10.6 億美元,其中利用閃電貸引起的攻擊有19 起,造成損失6133 萬美元。因私鑰被盜引起的資產損失發生率約為4%,損失金額卻達到7.2 億美元。隨著Web3 的火熱發展,針對用戶和開發人員的攻擊層出不窮,尤其是針對Discord、Twitter 等媒體平台的釣魚攻擊,黑客通常會在獲取到管理員或者賬戶權限後,偽裝成管理員身份並發布釣魚鏈接。並且這些釣魚網站的製作成本非常低,在對知名NFT 項目進行Copy 後,通過贈送、免費等字眼誘導用戶授權,從而轉移用戶資產。而Rug Pull 則是項目方主動作惡,上半年Rug Pull 事件已達到42 起,大部分發生在BSC 鏈。
總結
儘管2022 年區塊鏈技術正在飛速發展並且逐漸完善,但層出不窮的加密貨幣攻擊事件對區塊鏈生態安全態勢提出了新的挑戰。從統計數據來看,上半年發生安全事件次數較多的月份主要在5、6 月;從各生態來看,BSC 上安全事件發生最多;從賽道來看,損失最多的是跨鏈橋。
圖片
(2022 上半年各月份各生態賽道事件分佈)
對此慢霧安全團隊建議:
對於機構和企業來說,最好能夠建立全面的網絡安全防護系統,防護從各個層次入侵的網絡安全威脅,並通過威脅感知體系快捷獲取病毒木馬、釣魚詐騙、網絡安全預警、漏洞報告在內的安全情報,一旦發生安全威脅能夠及時進行處理。
對於個人用戶來說,遵守以下安全法則及原則,可以避免大部分風險:
兩大安全法則:
零信任。簡單來說就是保持懷疑,而且是始終保持懷疑。
持續驗證。你要相信,你就必須有能力去驗證你懷疑的點,並把這種能力養成習慣。
安全原則:
網絡上的知識,凡事都參考至少兩個來源的信息,彼此佐證,始終保持懷疑。
做好隔離,也就是雞蛋不要放在一個籃子裡。
對於存有重要資產的錢包,不做輕易更新,夠用就好。
所見即所簽。即你看到的內容就是你預期要簽名的內容,當你簽名發出去後,結果就應該是你預期的,絕不是事後拍斷大腿的。
重視系統安全更新,有安全更新就立即行動。
不亂下程序。
在此,十分推薦閱讀並掌握《區塊鏈黑暗森林自救手冊》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)。
區塊鏈發展道阻且長,期望隨著行業的不斷完善,區塊鏈可以迸發出更大的力量,走向更大的舞台。
完整報告下載:
https://www.slowmist.com/report/first-half-of-the-2022-report.pdf
展開全文打開碳鏈價值APP 查看更多精彩資訊