2023 區塊鏈安全與反洗錢年度報告

前言

慢霧科技發布《2023 區塊鏈安全與反洗錢年度報告》,我們期望這份報告為讀者提供有益的信息,幫助從業者和用戶更全面地了解區塊鏈安全現狀及解決方案,為促進區塊鏈生態的安全貢獻一份力量。

由於篇幅限制,這裡僅有羅列分析報告中的關鍵內容,完整內容可透過文末PDF 下載。

一、概述

2023 年區塊鏈產業是振奮又動盪的一年。在此背景下,本報告將回顧2023 年區塊鏈產業關鍵監管合規政策及動態,總結2023 年區塊鏈安全事件及反洗錢態勢,對部分洗錢工具進行統計,並對典型安全事件及典型釣魚騙局手法進行詳細剖析,提出預防方案和措施建議。此外,我們還邀請了Web3 反詐騙平台Scam Sniffer 撰寫關於釣魚團夥Wallet Drainers 的內容,同時我們對黑客團夥Lazarus Group 的洗錢手法和獲利資金進行了分析和統計。

二、區塊鏈安全態勢

根據慢霧區塊鏈被黑事件檔案庫(SlowMist Hacked) 統計,2023 年安全事件共464 件,損失高達24.86 億美元。對比2022 年(共303 件,損失約37.77 億美元),損失較去年同期下降34.2%。

  • 區塊鏈安全事件總覽

從專案賽道來看,DeFi 仍然是最常受到攻擊的領域。 2023 年DeFi 安全事件共282 件,佔事件總數的60.77%,損失高達7.73 億美元,對比2022 年(共183 件,損失約20.75 億美元),損失年減62.73%。

(2023 各賽道安全事件分佈及損失)

(2022 與2023 DeFi 安全事件分佈及損失比較圖)

從生態來看,Ethereum 損失最高,達4.87 億美元。其次是Polygon,達1.23 億美元。

(2023 各生態安全事件分佈及損失)

從事件原因來看,跑路事件最多,達117 件,損失約8,300 萬美元。其次為帳號被駭導致的安全事件。

(2023 安全事件手法圖)

  • 典型攻擊事件

此節選取了2023 年損失Top10 的安全事件。詳情請見文末的PDF 文件內容。

(2023 損失Top10 的安全攻擊事件)

  • Rug Pull

根據慢霧區塊鏈被黑事件檔案庫(SlowMist Hacked) 統計,2023 年跑路Rug Pull 事件高達117 起,導致損失約8,300 萬美元。其中,Base 生態損失最高,達3,250 萬美元。其次是BSC 生態,達2,305 萬美元。

(2023 致損前十跑路事件及損失)

(2023 各生態跑路事件分佈及損失)

Rug Pull 是一種騙局,通常是專案方主動作惡,以多種方式發生:例如專案方啟動初始流動性,推高價格後撤回流動性;例如專案方先創建一個加密項目,透過行銷手段吸引加密用戶投資,並在適當的時機毫無徵兆地捲走用戶投資的資金,拋售加密資產,最終銷聲匿跡;比如推出一個網站,在吸引了數十萬存款後關閉;比如項目方在項目中留下了後門代碼。無論如何,任何一種類型的Rug Pull 都會讓投資者遭受損失。

同時,本節介紹了一個由合約儲存引起的極其隱蔽的Rug Pull 案例:在專案代幣沒有任何增發記錄的情況下,惡意用戶使用未被記錄的大量增發代幣捲走了池子中的資金。

  • 詐欺

近年來,加密貨幣市場逐漸變成騙子們實施詐欺的沃土。騙子常常透過假帳號冒充名人、交友殺豬盤、宣傳假的交易平台、龐式騙局等詐騙,甚至隨著科技的發展,騙子還會用人工智慧軟體讓騙局更具說服力。本節將介紹一個主要發生在香港的加密貨幣騙局-JPEX 事件。據相關說法,JPEX 的暴雷可能成為香港史上最大的金融詐欺案。

(JPEX 事件時間軸圖)

  • 釣魚/騙局手法

此節選取我們於2023 年揭露的部分釣魚/騙局手法:

1、WalletConnect 釣魚風險

2、Permit 簽名釣魚

3、假Skype App 釣魚

4.偽裝成轉帳位址的釣魚網址

    5.Telegram 定點詐欺攻擊

    6、Create2 釣魚風險(https://drops.scamsniffer.io/post/wallet-drainers-starts-using-create2-bypass-wallet-security-alert)

    7.SIM 卡交換攻擊

三、反洗錢態勢

本節分為反洗錢及監管動態、安全事件反洗錢、駭客團體畫像及動態、洗錢工具四部分。

  • 反洗錢及監管動態

在2023 年,加密貨幣的世界持續經歷動盪不安。在上一輪加密牛市期間,SBF 和CZ 這兩位產業巨頭的每一個舉動似乎都能對市場產生深遠影響。然而在11 月份,聯邦陪審團以對FTX 的倒閉導致的欺詐和共謀的指控,判定SBF 有罪。僅僅幾週後,幣安接受了指控,支付了43 億美元的罰款,CZ 也同意了放棄對幣安的控制權。隨著加密資產產業在風雨飄搖的「寒冬」與熊市之間跌宕起伏,各國政府和國際組織對此也表現出更為謹慎的態度,各國對於加密貨幣的監管政策仍在逐步形成中。具體政策及執法行動請見文末的PDF。

  • 安全事件反洗錢

1.資金凍結數據

在InMist 情報網合作夥伴的大力支持下,2023 年度SlowMist 協助客戶、合作夥伴及公開被黑事件凍結資金共超過1,250 萬美元。

2、資金歸還數據

2023 年遭受攻擊後仍能全部或部分收回損失資金的事件共有31 起。在這31 起事件中,被盜資金總計約3.84 億美元,其中的2.97 億美元被返還,佔被盜資金的77%。在這31 起事件中,有10 個協議的資金全部退回。

(2023 追回全部被竊資金的事件)

  • 駭客團體畫像及動態

1.黑客團夥Lazarus Group

根據2023 年的公開消息,截止到6 月份,仍然沒有任何重大加密貨幣盜竊案被歸類為北韓駭客Lazarus Group。從鏈上活動來看,北韓駭客Lazarus Group 主要在清洗2022 年盜竊的加密貨幣資金,其中包括2022 年6 月23 日Harmony 跨鏈橋遭受攻擊損失的約1 億美元的資金。北韓駭客Lazarus Group 除了在清洗2022 年偷竊的加密貨幣資金以外,其他的時間也沒有閒著,這個駭客團夥在黑暗中蟄伏著,暗中地進行APT 相關的攻擊活動。這些活動直接導致了從6 月3 日開始的加密貨幣行業的「黑暗101 日」。

在「黑暗101 日」 期間,共計有5 個平台被盜,被盜金額超3 億美元,其中被盜物件多為中心化服務平台。

根據我們的分析,北韓駭客Lazarus Group 的洗錢方式也隨著時間在不斷進化,隔一段時間就會有新型的洗錢方式出現,洗錢方式變化的時間表見文末PDF。

2、釣魚集團Wallet Drainers

註:本小節由Scam Sniffer 傾情撰寫,在此表示感謝。

Wallet Drainer 作為一種加密貨幣相關的惡意軟體,在過去的一年裡取得了顯著的”成功”。這些軟體被部署在釣魚網站上,騙取用戶簽署惡意交易,進而盜取其加密貨幣錢包中的資產。這些釣魚活動以多種形式不斷攻擊普通用戶,導致許多人在無意識地簽署惡意交易後遭受了重大財產損失。在過去一年,Scam Sniffer 監控到這些Wallet Drainers 已經從大約32 萬受害者中盜取了將近2.95 億美金的資產。

值得一提的是,3 月11 號這一天有接近700 萬美金被偷走。大部分是因為USDC 匯率波動,遭遇了假Circle 的釣魚網站。也有大量的被盜接近3 月24 號Arbitrum 的Discord 被駭以及後續的空投。

每次波峰都伴隨著關聯群體性事件。可能是空投,也可能是駭客事件。

隨著ZachXBT 揭露Monkey Drainer 後,他們在活躍了6 個月後宣布退出,然後Venom 接替了他們的大部分客戶。隨後MS, Inferno, Angel, Pink 也都在3 月左右出現。隨著Venom 在4 月左右停止服務,大部分的釣魚團夥轉向了使用其他的服務。依照20% 的Drainer 費用, 他們透過出售服務獲利至少4,700 萬美金。

  • 洗錢工具

1、Sinbad 混幣器

2、Tornado Cash

3、eXch

4、Railgun

四、總結

本報告總結了2023 年區塊鏈產業的關鍵監管合規政策及動態,包括但不限於全球範圍內對於加密貨幣的監管態度以及一系列關鍵的政策變化。同時,我們也總結了2023 年的區塊鏈安全事件和反洗錢動態,對部分洗錢工具進行了分析,對那些典型的安全事件和釣魚騙局進行了說明,並提出了相應的防範和應對措施。希望這份報告能為讀者提供有價值的信息,幫助讀者更全面地了解區塊鏈行業的安全和反洗錢現狀,使每一位行業參與者都能從中受益,為推動區塊鏈生態安全的發展貢獻出一份力量。

五、免責聲明

本報告內容是基於我們對區塊鏈產業的理解、慢霧區塊鏈被黑檔案庫SlowMist Hacked 以及反洗錢追蹤系統MistTrack 的數據支援。但由於區塊鏈的「匿名」特性,我們在此並不能保證所有數據的絕對準確性,也不能對其中的錯誤、疏漏或使用本報告引起的損失承擔責任。同時,本報告不構成任何投資建議或其他分析的根據。本報告若有疏漏和不足之處,歡迎大家批評指正。

導讀此,完整版本,歡迎閱讀並分享:)

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(CN).pdf

Total
0
Shares
Related Posts