前言
隨著數字化進程的不斷深入,區塊鏈技術已成為許多領域的重要驅動力,它不僅為金融、醫療、物流等傳統行業帶來了顛覆性的變革,而且也為參與者帶來了更加開放和透明的體驗。然而,隨著區塊鏈技術的廣泛應用,與之相關的安全問題也變得愈發嚴峻。近年來,區塊鏈安全事件頻發,不僅對個人和企業造成了巨大損失,而且也對區塊鏈技術的發展帶來了挑戰。
本報告對2023年上半年的區塊鏈安全事件進行梳理和分析,旨在探究區塊鏈安全存在的隱患,以及分析區塊鏈安全事件的成因,並提出相應的解決方案和建議。我們希望通過這份報告引起各方對區塊鏈安全問題的關注,共同推動區塊鏈技術的安全發展,為數字化世界的未來奠定堅實的基礎。
安全事件經濟損失總覽
2023年上半年共發生主要攻擊事件192起,總損失金額約為9.2億美元。
- 損失金額超過1 億美元的安全事件共4 起:
·Euler Finance閃電貸攻擊事件損失1.97 億美元
·Blockchain for dog nose wrinkles詐騙項目造成損失1.27 億美元
·BonqDAO & AllianceBlock操縱價格造成損失1.2 億美元
·Atomic Wallet錢包被盜造成損失1億美元
- 損失金額在1000萬美元至1億美元區間的事件12 起
- 損失金額在100萬美元至1000萬美元區間的事件40 起。
攻擊手法分析總覽
根據分析安全事件使用的攻擊手法,其中頻率最高的攻擊手法為Rug Pull與合約漏洞,均為32次攻擊。其次為閃電貸攻擊,共發生了20次,佔所有事件數量的14.93%。
在發生數量TOP8的攻擊手段中,閃電貸損失金額最大,共造成2.5億美元的損失。位於其後的是區塊鏈騙局,雖然只發生了七次,但是造成的損失達2.3億美元。
而合約漏洞和Rug Pull雖然發生總數相對較多,佔所有攻擊手法的47.76%,但其造成的損失遠不及前兩者,僅有6649萬美元的損失。這些攻擊手段的高發生率和巨大的損失金額再次凸顯了加密貨幣市場中的風險。儘管區塊鏈技術有著很大的潛力和應用前景,但是它仍然面臨著安全風險和技術挑戰。
Rug Pull事件頻發,其中75%的項目跑路金額在1000萬美元以下、28%的項目跑路金額在100萬美元以下。這類項目通常官網、推特、電報、Github等信息缺失,沒有Roadmap或白皮書,團隊成員信息可疑,項目上線到最後跑路週期不超過三個月。
此類安全事件帶來的損失,不容忽視,需要加強對項目背景的調查,提高對陌生信息的防範意識,以及通過提前預防,從而提高防範能力,避免損失的發生。
安全事件被攻擊項目類型總覽
1 鏈上應用
鏈上應用(On-chain Application),也稱為去中心化應用(Decentralized Application,DApp),是構建在區塊鍊或分佈式賬本技術之上的應用程序。使用區塊鏈的特性和功能進行數據存儲、交易處理和智能合約執行。
- 2023年上半年,鏈上應用共發生157 次安全事件,佔總事件數量的81%。鏈上應用總損失金額達到了7.4億美元,佔總損失金額的79%。鏈上應用為這半年中被攻擊頻次最高、損失金額最多的類型。
- 鏈上應用類型的安全事件在上半年六個月發生的頻率幾近相同,安全事件出現原因的前三分別是Rug Pull、合約漏洞、Twitter 被黑。
建議:
- 項目方在設計、構建項目時充分考慮項目的安全性,在實現功能的同時考慮到校驗功能是否會被繞過、是否存在缺陷,在項目上線前充分進行安全審計。
- 用戶投資鏈上應用前盡量多方考察、慎重決策,謹慎投資。
2 交易所
交易所(Exchange)是指提供數字資產買賣和交易服務的平台或機構。它允許用戶以一種數字資產(如比特幣、以太坊等)交換另一種數字資產,或者以法定貨幣(如美元、歐元等)購買或出售數字資產。
- 2023年上半年,交易所是安全事件發生數量排名第二的類型,上半年共發生11起交易所領域內的安全事件,共造成了7318萬美元的損失。主要被攻擊原因為合約漏洞。
- 有關交易所的安全事件每個月都有發生。而且由於安全事件損失的金額也不在少數。
建議:
- 用戶要小心處理釣魚和惡意鏈接:避免點擊不信任的鏈接,尤其是通過電子郵件或社交媒體收到的鏈接。
- 定期檢查賬戶活動;不集中存儲所有資金;更新和保護設備;選擇值得信任的安全公司進行提前審計。
3 公鏈/側鏈
公有鏈(Public Blockchain)簡稱公鏈,是指全世界任何人都可隨時進入讀取、任何人都能發送交易且能獲得有效確認的共識區塊鏈。側鍊是平行於主鏈的一條區塊鏈,可以理解為是區塊鏈的一種擴展協議。以滿足特定的業務需求,例如跨鏈資產交換、私有鏈擴展和特定行業的區塊鏈解決方案。
- 2023年上半年,公鏈/側鍊是安全事件發生數量排名第三的類型。主要被攻擊原因為智能合約漏洞。
建議:
- 選擇可靠的共識機制。
- 使用安全的加密算法生成和存儲密鑰,使用多重簽名技術增加交易的安全性。
- 進行定期的安全審計,包括代碼審查、安全性測試和漏洞掃描,以識別潛在的安全漏洞和弱點。
4 跨鏈橋
跨鏈橋(Cross-Chain Bridge)是一種允許在不同區塊鍊網絡之間傳輸數字資產的技術解決方案。跨鏈橋通常會在起始鏈上的智能合約中鎖定或銷毀通證,並通過目標鏈上的另一個智能合約解鎖或鑄造通證。跨鏈通信本質上需要在安全、信任和靈活性三個維度上做出權衡。由於這些複雜因素的存在,跨鏈橋成為了Web3領域主要的攻擊對象。
- 2023年上半年就發生了8次跨鏈橋安全事件,損失金額為1137萬美元。
- 在2022年,12次跨鏈橋安全事件共造成了約18.9億美元損失,居所有項目類型損失的第一位。相比於去年,跨鏈橋在今年的上半年已經發生了7次安全事件,再加上近日出現的Poly Network 和Multichain的安全事件已出現了10起安全事件,跨鏈橋安全事件有比去年更為嚴重的發展態勢。主要被攻擊原因為智能合約漏洞、閃電貸等。
建議:
- 項目方在設計跨鏈消息傳輸協議時將安全放在第一位。
5 錢包
區塊鏈錢包是區塊鏈中一個重要組成部分,是一種數字貨幣存儲和管理工具,它允許用戶安全地保存、接收和發送各種加密貨幣,如比特幣、以太坊和其他代幣。錢包安全一直是區塊鏈行業的一個熱門話題,一旦錢包受到攻擊,攻擊者可以輕易地竊取用戶的私鑰和助記詞等敏感信息,進而掌握用戶的數字資產。這些數字資產的價值可能非常高,一旦被盜,損失也會非常慘重。因此,為了最大限度地保障用戶的數字資產安全,我們建議用戶採取一些安全措施。
- 2023年上半年中,錢包被攻擊的安全事件相比於其他類型數量較少,但是,當錢包受到攻擊,損失便是較大的數額。如Atomic與MyAlgo的錢包事件,兩次攻擊事件造成了高達1.09億美元的損失。
- 事件數量總數排名第三的類型為錢包,該類別發生安全事件的原因大多是私鑰、助記詞洩露。
建議:
- 選擇可信的錢包提供商:選擇一個有良好聲譽和可靠歷史記錄的錢包提供商。確保了解他們的安全實踐,如何保護用戶數據和私鑰等敏感信息。
- 使用雙重身份驗證:啟用雙重身份驗證可以增加您賬戶的安全性。這種方法需要您在登錄時輸入除用戶名和密碼外的另一種身份驗證方式,例如驗證碼或指紋識別。
- 不要分享您的私鑰:私鑰是您加密貨幣的所有權證明。不要與任何人分享您的私鑰,包括錢包提供商。如果有人要求您提供私鑰,那麼這很有可能是一種詐騙行為。
- 定期備份您的錢包:定期備份您的錢包可以確保您在錢包丟失或遭受攻擊時可以恢復您的加密貨幣。您可以將備份保存在安全的地方,例如離線設備或硬件錢包中。
- 小心處理未知的電子郵件或信息:不打開或下載未知來源的電子郵件或信息。這些可能包含惡意軟件或鏈接,可能會導致您的錢包被攻擊。
- 確保您的計算機和手機設備是安全的:確保您的計算機和手機設備具有最新的防病毒和安全更新,以保護您的設備免受攻擊。
- 不要在公共場所使用未知的Wi-Fi網絡,因為這些網絡可能不安全,可能會被黑客用來攻擊您的錢包。
- 確保您的錢包軟件是最新的:確保您的錢包軟件是最新版本。新版本通常包含安全更新和修復,可以幫助您保護您的錢包免受攻擊。
- 關注有關錢包安全的最新信息:了解有關錢包安全的最新信息和事件,以幫助您保持對錢包安全的了解,並採取適當的預防措施。
2023 上半年區塊鏈安全事件分析總結
通過對2023年上半年區塊鏈安全事件的整理,發現鏈上應用是半年來被攻擊頻次最高、損失金額最多的項目類型。鏈上應用領域共發生157次安全事件,其中32次都基於合約漏洞進行攻擊。
面對頻出的安全事件,研發者應該進一步遵循安全編碼、審計合約代碼、使用成熟的安全庫等保障用戶權益;而作為使用智能合約的用戶也應該謹慎選擇合約,並在使用前仔細檢查其代碼和安全性,選擇專業的安全公司進行審計。當安全事件發生時,用戶能做到的很有限,只有不斷提高自身的安全意識,提前發現漏洞,解決漏洞,做好防範才能盡可能避免被攻擊。
本報告提供的信息僅供參考和研究,信息來源於公開渠道,作者已經盡力核實準確性和完整性,但不能保證其準確性和完整性,也不承擔因使用或依賴該信息而產生的任何損失或損害的責任。本報告不應視為對任何特定區塊鏈項目或加密貨幣投資的推薦或建議,讀者應該自行進行研究和決策。本報告的內容不能替代讀者的判斷和決策,也不能保證所述情況的持續存在或實現。