2022 年安全事件共303 件,損失高達37.77 億美元。
撰文:慢霧科技
慢霧科技發布《2022 區塊鏈安全與反洗錢分析年度回顧》報告,聚焦於2022 年區塊鏈行業所發生的重大事件,介紹區塊鏈行業各賽道的安全狀況,延伸並提煉出常見攻擊手法,並披露其中幾種釣魚手法。接著對部分安全事件的被盜資金流向進行分析,並通過歸納總結,公佈一種針對混幣器資金追踪的高級分析方法。
由於篇幅限制,這裡僅羅列分析報告中的關鍵內容,完整內容可通過PDF 下載。
一、背景
本節分為區塊鏈安全及反洗錢兩部分。
區塊鏈安全
根據慢霧區塊鏈被黑事件檔案庫(SlowMist Hacked)統計,2022 年安全事件共303 件,損失高達37.77 億美元(按事發價格計算)。
相比2021 年的97.95 億美元(按事發價格計算)下降約61%,但這並不包括因市場動盪而損失的資產。
其中各生態DeFi、跨鏈橋、NFT 等安全事件255 起,交易所安全事件10 起,公鏈安全事件11 起,錢包安全事件6 起,其他類型安全事件21 起。
區塊鏈反洗錢
匿名性與不可逆是加密貨幣交易的天然屬性,正是這樣的原因,在加密貨幣犯罪頻發的情況下,區塊鏈反洗錢處於一個至關重要的位置,也是阻止黑客成功變現的最后防線。面對黑客無孔不入的威脅,不同的群體也不約而同的「組建」起反洗錢同盟,其中包括交易平台/ 資金管理平台/ 項目方、監管方和區塊鏈安全公司。 2022 上半年這些群體的反洗錢動態如何?在反洗錢分析過程中,始終存在著幾個核心的問題:發起攻擊的手續費來自哪裡?洗錢的資金去了哪裡?詳情見文末的PDF 文件內容。
二、區塊鏈安全現狀
本節分為區塊鏈生態安全概覽、攻擊手法、釣魚/ 騙局手法及損失Top10 安全事件四部分。
區塊鏈生態安全概覽
2022 年最令人訝異的莫過於Terra 事件了。 5 月8 日,加密貨幣市場上出現了史上最具破壞性的一次崩盤。 Terra 網絡的算法穩定幣UST 出現了2.85 億美元的巨額拋售,引發了一系列連鎖反應。 Terra 的原生代幣LUNA 的價格突然毫無徵兆的連續跳崖式暴跌,一天時間,LUNA 市值蒸發了近400 億美元,全生態項目TVL 也幾乎歸零。此次事件或許成為了開啟2022 加密寒冬的死亡按鈕。
根據慢霧區塊鏈被黑事件檔案庫( SlowMist Hacked )統計,2022 年DeFi 安全事件共183 起,損失高達20.75 億美元,佔比2022 年總損失約55%。其中,BNBChian 上發生安全事件約79 起,總損失金額約7.85 億美元,居各鏈平台損失金額第一位。而Ethereum 上發生安全事件約50 起,總損失金額約5.28 億美元,其次是Solana 上發生安全事件約11 起,總損失金額約1.96 億美元。 2022 年跨鏈橋安全事件共16 起,損失高達12.12 億美元,佔比2022 年總損失的32%。 2022 年損失上億的安全事件共10 件,跨鏈橋就佔了4 件,大多是由於私鑰洩露導致。 2022 年NFT 賽道安全事件約56 起,損失超6544 萬美元,其中大部分是由釣魚攻擊導致,佔比約為39%(22 起),其次是Rug Pull 佔比約為21%(12 起),由合約漏洞或自身原因導致佔比30%(17 起)。
攻擊手法概覽
303 起安全事件中,攻擊手法主要分為三類:由項目自身設計缺陷和各種合約漏洞引起的攻擊;包含Rug Pull、釣魚、Scam 類型的手法;由私鑰洩露引起的資產損失。
釣魚/ 騙局手法
此節選取部分SlowMist 於2022 年披露過的釣魚/ 騙局手法。
1、瀏覽器惡意書籤盜取Discord Token
2、零元購NFT 釣魚
3、Redline Stealer 木馬盜幣
4、空白支票eth_sign 釣魚
5、尾號相同空投騙局
6、TransferFrom 零轉賬騙局
損失Top 10 安全事件
此節選取了2022 年損失Top10 的安全事件。
1、Ronin Network 損失超6.1 億美元
2、BNBChain 遭到漏洞利用
3、Wormhole 損失超3 億美元
4、Beanstalk Farms 遭閃電貸和提案攻擊
5、Wintermute 損失1.6 億美元
6、Nomad 橋遭受黑客攻擊
7、Elrond 出現安全漏洞
8、Mango 因價格操縱被提取1 億美元
9、Harmony 損失超1 億美元
10、Qubit 遭攻擊損失8000 萬美元
三、部分安全事件反洗錢分析
工具和方法
1、工具:MistTrack
MistTrack(https://misttrack.io)反洗錢追踪系統是一套由慢霧科技創建的專注於打擊加密貨幣洗錢活動的SaaS 系統,具有資金風險評分模塊、交易行為分析模塊、資金溯源追踪模塊、資金監控模塊等核心功能。
通過標記1 千多個地址實體、2 億多個地址標籤,10 萬多個威脅情報地址,以及超過9000 萬個與惡意活動相關的地址,MistTrack 為反洗錢分析和研究提供了全面的情報數據幫助。通過對任意錢包地址進行交易特徵分析、行為畫像以及追踪調查,MistTrack 在反洗錢分析評估工作中起到至關重要的作用。
2、方法:
從區塊鏈反洗錢資金態勢中我們可以看到很多被黑事件發生後,在ETH/BSC 鏈上的資金都不約而同的流向了一片灰暗之地——Tornado.Cash,Tornado.Cash 已成為ETH/BSC 鏈上反洗錢的主戰場。我們將提出一個針對Tornado.Cash 資金轉出的分析方法。
而在BTC 鏈上,通過區塊鏈反洗錢資金態勢我們可以看到ChipMixer 和Blender 是黑客的常用洗錢平台。 Blender 目前已被美國財政部製裁,ChipMixer 流入洗錢資金量巨大,我們同樣需要提出一個針對ChipMixer 資金轉出的分析方法。
反洗錢分析詳述
本小節使用MistTrack 基礎分析工具對4 起安全事件展開了反洗錢分析,通過反洗錢分析清晰闡述「攻擊手續費來源是什麼」、「錢去了哪裡」的問題,並創造性的提出了一種數據分析方法來分析Tornado.Cash 和ChipMixer 的提款。
四、展望
2023 年在加密貨幣世界中我們還需要關注什麼?
- 監管合規化
- 加強對安全審計的關注
- 擴容繼續升溫,多鍊和諧共存
- 反洗錢與鏈上追踪分析
- 加強對備份的關注
- 零知識證明:擴容與隱私
五、寫在最後
本次報告內容基於我們對區塊鏈行業的理解、慢霧區塊鏈被黑檔案庫SlowMist Hacked 以及反洗錢追踪系統MistTrack 的數據支持。但由於區塊鏈的「匿名」特性,我們在此並不能保證所有數據的絕對準確性,也不能對其中的錯誤、疏漏或使用本報告引起的損失承擔責任。同時,本報告不構成任何投資建議或其他分析的根據。本報告中若有疏漏和不足之處,歡迎大家批評指正。
縱覽整個2022,「動盪」一詞貫穿全年。儘管仍有暴雷的餘震迴盪,儘管我們正在經歷寒冬,但任何事物都無法改變區塊鏈發展的方向,只有如履薄冰,認真做有利於行業發展的事情才能穩固長久。無論如何,我們仍期待著區塊鏈行業在2023 年的發展。
展開全文打開碳鏈價值APP 查看更多精彩資訊
