2023年悄悄結束,加密市場迎來了虛擬貨幣的一年。 2024年將是受打擊的一年,安全也將達到產業前沿重視。 Fairyproof針對2023年產業的安全維度進行了梳理分析,並發布了全面的、有深度的安全年度報告。與2022年相比,2023年加密市場狀況出現了改善,但安全事件也增加。駭客利用私鑰外洩發動的攻擊造成的加密資產損失達到5.18億美元。此外,Fairyproof還在零知識證明和多方安全計算技術方面佈局清晰,並提出預防安全事故的實踐方案和措施,如跨鏈橋的安全、dApp合約的品質等需要特別關注。
2023年悄悄結束,加密市場也迎來了虛擬貨幣的一年,隨著ETF的推進,2024年將是非常受打擊的一年,同時安全也將達到在業界前沿的重視。在新舊交替程度國際上,Fairyproof針對2023年產業的安全維度進行梳理分析,旨在為受眾提供一份全面的、有深度的安全年度報告,以下是報告的正文。
觀點綜述
相較於2022年,2023年加密市場的狀況出現了明顯改善,加密資產的整體市值出現了顯著的上揚,同時,安全事件的發生次數也出現了大幅增加。
– 在Fairyproof 研究的489 個典型案例中,價值接近12.3 億美元的加密資產被盜。
– 隨著比特幣生態尤其是銘文生態的快速增長,這一生態的安全隱患日逐漸凸顯,2023年出現了13起針對比特幣生態尤其是銘文設施的攻擊。
– 駭客利用私鑰外洩發動的攻擊造成的加密資產損失達到5.18億美元,這個金額佔全部由駭客攻擊導致的損失金額的45.07%。安全穩定妥善保管私鑰至始至終都是所有區塊鏈用戶必須重視的事情。
– 2023年,Fairyproof廣泛研究了零知識證明[1]相關的技術及應用,熟悉掌握了產業主流的解決方案與應用場景。在開發方面,Fairyproof架構了一套完整、模式,可根據使用者需求流程及應用場景快速研發部署解決方案。 ,Fairyproof累積了豐富的經驗,能夠突破將目標問題轉換零知識電路,專業地審計電路、證明的生成、證明的驗證等。此外,Fairyproof也在零知識應用的實現方案上進行了最佳化,研發有了自己的系統,相比現有的流行方案在安全性和去中心化方面更加優秀。
– 2023年,Fairyproof在多方安全計算[2](即MPC)技術方面也有清晰的佈局,同樣確定了自己的一套完整的開發流程和模式,能夠應對客戶需求和場景需要快速開發和部署MPC方案。
背景介紹
在詳細呈現Fairyproof的研究報告結果之前,有必要先對本報告中的相關術語進行解釋、說明。
CCBS
CCBS指涉「中心化加密資產或區塊鏈服務機構」。通常指人為可運作管理的非鏈上服務平台,其核心技術主要依賴傳統的中心化技術,其日常運維活動主要為鏈下活動傳統的加密資產交易所(如Binance)、加密資產發行承兌平台(如Tether)即為此類典型。
閃電貸款(FLASHLOAN)
閃電貸是駭客在攻擊以太坊虛擬機器平台上智慧合約的一種常見且流行的方式。閃電貸是知名的DeFi 應用程式AAVE[3]團隊發明的一種合約呼叫方式。這種合約調用用戶讓借貸任何抵押物便可以直接從支援此功能的DeFi應用中藉出加密資產,只要用戶在一個區塊交易內歸還該資產即可使用該交易有效[4]發起這項功能的發明是為了讓DeFi 使用者更有彈性、更方便的手段進行各種鏈上的金融活動。但後來,閃電貸的改進使得其使用得最多的場景變成了駭客借出ERC- 20[5]在發起閃電貸之前,用戶需要將借出(資產)和歸還(資產、利息及相關手續費)的邏輯地在一個合約中描述中,然後調用該合約發起閃電貸。
跨鏈橋(CROSS-CHAIN BRIDGE)
跨鏈橋是連接多個獨立區塊鏈的基礎設施,它允許應用在不同區塊鏈的代幣在各個區塊鏈之間相互流通。
隨著越來越多的區塊鏈產生了自己的生態、應用和加密資產,這些應用和資產對跨區塊鏈通訊和交易的需求顯著增長。這也使得跨鏈橋成為駭客眼中熱門的攻擊對象。
報告重點
Fairyproof詳細研究了2023年發生的489起典型安全事件,在本報告中對這些事件造成的損失金額、成因等多種因素進行了統計分析,並給出了相應的防範建議和措施。
2023安全事件的統計及分析
Fairyproof研究團隊詳細研究了2023年較為突出的489起安全事件,從遭受攻擊的目標和造成攻擊的根源兩個方面列舉了其統計結果並進行了分析研究。
2023年一整年,這489起安全事件的加密資產損失達12.3億美元,Tradingview顯示的主流加密資產達1.62兆美元。損失資產佔總市值的比例為0.08%。
根據受害對象劃分的安全事故
Fairyproof研究的安全事件依其受害對象可分為以下四類:
中心化加密資產或區塊鏈服務機構(CCBS,以下所指CCBS即為此概念) 區塊鏈(Blockchains) 去中心化應用程式(dApps) 跨鏈橋(Cross-chain Bridges)
本報告所指的CCBS安全事件是指遭受攻擊或損害的對象為CCBS系統。在這些事件中,CCBS所保管的資產被竊或可運作的服務被迫中斷。
區塊鏈安全事件是指區塊鏈主網、側鏈或附屬區塊鏈主網的第二層擴展系統受到攻擊或損害。通常在這些事件中,駭客從系統內、系統外或兩個方面都發動攻擊,導致系統軟體或硬體遺失,資產損失。
dApp安全事件是指dApp受到攻擊而無法正常運作,從而使駭客有機會盜取dApp中管理的加密資產。
跨鏈橋安全事件是指跨鏈橋受到攻擊,導致其無法正常運作,甚至導致其經手交易的加密資產被盜。
Fairyproof對總共489個起事件依照上述四類進行了劃分,其劃分分佈圖如下所示:
由可知,dApp安全事件的數量佔總數的88.34%。其中20起為CCBS安全事件,26起為區塊鏈安全事件,432起為Dapp安全事件。
區塊鏈安全事件
涉及區塊鏈的安全事件可以進一步解讀為以下三類:
區塊鏈主網(區塊鏈主網) 側鏈(Side chain) 第二層擴充系統(Layer 2解)
區塊鏈主網也被稱為Layer 1,它是獨立的區塊鏈,有自己的網路、協議、共識和驗證者。區塊鏈主網可以驗證交易、數據和區塊,所有這些驗證工作都是由自己的驗證者完成並取得最終的一致性。比特幣和以太坊就是典型的區塊鏈主網。
側鏈是與區塊鏈主網相容的一條獨立的區塊鏈。它也有自己的想法和驗證者,但它會以某種方式(如參與者指定)[6])和區塊鏈主網鏈接,
第二擴展層系統是依賴區塊鏈主網的系統,它需要區塊鏈主網提供安全和最終的一致性[7]它主要是為了解決區塊鏈主網的可擴展性,能夠以外部的費用、外部的價格處理交易為目的。自2021年以來,依附於以太坊的第二層擴展系統得到了快速的發展。
側鏈和第二層擴展系統都是為了解決區塊鏈主網的可擴展性。兩者的主要差異在於,側鏈不依賴區塊鏈主網提供安全性和一致性,但第二層擴展系統卻需要。
2023年共有26起與區塊鏈有關的安全事件。下圖展示了區塊鏈主網、側鏈和第二層擴展系統各所佔的比例。
由此可看出,區塊鏈主網和第二層擴展分別佔84.62%(22件)和15.38%(4件),並沒有發生較嚴重的側鏈事件。 4起第二層涉及以太坊層擴展為Metis [8]、零客聯通 [9]、波巴 [10]和仲裁 [11]而涉及區塊鏈主網的事件中混合所遭受的攻擊損失為最大,其他針對主網項目的攻擊則主要為社交攻擊,並沒有造成太大的資產損失。
DAPP安全事件
在432起涉及dApps的安全事件中,有45起是路,263起被連累,124起直接被攻擊。直接針對dApp的攻擊通常涉及三個面向:Dapp的前端、後台和智慧合約。 ,我們將124起直接被攻擊的事件分為以下三類:
dApp前端dApp後台dApp 合約
在dApp前端受攻擊的事件中,駭客透過主要漏洞發動攻擊,盜取資產或癱瘓其服務。
在dApp後台受攻擊的事件中,駭客主要透過後台漏洞發動攻擊,例如劫持底層和合約的通信,劫持資產或癱瘓服務。
在dApp合約受攻擊的事件中,駭客主要透過抵押漏洞發動攻擊,盜取資產或癱瘓其服務。
下圖展示了這三類受攻擊事件的比例:
由上圖,合約、後台和前端受攻擊所示的事件比例分別為95.16%、0%和4.84%。總共124起事件中,6起為前端受攻擊,118起為合約受攻擊。
我們進一步研究了各類事件所造成的加密資產損失金額。其中前端受攻擊導致的損失達23.8萬美元,一致性受攻擊導致的損失達5.42億美元。
顯然,合約安全仍然是最大的問題。而在批量漏洞中,邏輯缺陷、私鑰洩漏、閃電貸攻擊、重入攻擊為典型的漏洞。
我們研究了118起涉及合約受到攻擊的安全事件,得到以下比例圖:
上圖所示,邏輯缺陷導致合約安全事件涉及最高,其次為閃電貸攻擊。邏輯缺陷中通常包括缺少參數驗證、缺少權限驗證等。 53起事件為邏輯缺陷,28起事件為閃電貸。
下圖展示了各個漏洞造成的損失金額比:
由上圖可知,邏輯缺陷造成的損失金額在所有類別中排第一位,53起安全事件造成了2.86億美元的損失,佔總金額的比例為52.83%;私鑰洩漏造成的損失排第二, 6起事件造成了1.74億美元的損失,佔32.1%;重入攻擊造成的損失金額排第三,10起安全事件造成了2906萬美元的損失,佔5.36%。
基於成因劃分的安全事故
根據造成區塊鏈安全事故的成因,我們將事故分為三類:
由駭客攻擊引起跑路其它
我們的研究結果如下圖所示:
由上圖所示,駭客攻擊和跑路導致的安全事故分別為88.75%(434起)和9.2%(45起)。
我們研究了這些所造成的損失,如下圖所示:
由上圖所示,駭客攻擊和跑路導致的損失金額分別約為93.04%和3.87%,前期導致了11.5億美元的損失,前期導致了4776萬美元的損失。這顯示2023年,駭客攻擊仍然是產業安全面臨的主要威脅。
駭客攻擊事件
我們研究了駭客攻擊事件,如下圖所示:
由上圖所示,駭客攻擊dApp、CCBS 和區塊鏈的事件分別為89.38%(387 起)、4.62%(20)和6%(26 起)。
我們研究了各類事件造成的損失金額,如下圖所示:
駭客對dApp、CCBS和區塊鏈攻擊所導致的資產損失分別為58.95%、24.03%和17.02%,具體損失金額分別為6.94億美元、2.83億美元和2億美元。
跑路活動
2023年發生的跑路事件主要發生在dApp專案。總計45起跑路事件造成的損失金額達4776萬美元。該損失金額相比駭客攻擊造成的損失金額小部分。
研究發現
從我們的統計來看,2023年駭客最偏好攻擊的目標仍然是dApp項目,對dApp的攻擊事件遠超其他任何對象,所造成的資產損失卻高居首位,達到6.94億美元,佔所有攻擊事件總金額比例為58.95%。這顯示目前dApp的安全狀況存在相當大的隱憂,是目前區塊鏈生態安全需要關注的重點問題。
對於整個區塊鏈生態來說,駭客仍然是最大的安全威脅,無論從其造成的安全事件數量還是從其造成的資產損失來看都是如此,駭客攻擊造成的安全事件數量佔整個安全事件數量的比例超過88.75%,造成損失的資產損失金額佔全部損失金額的比例超過93.04%,遠超跑路事件對生態造成的威脅。
2023年,駭客對第二層擴展系統的攻擊無論在數量上或在損失金額上都低於2022年。我們認為第二層擴展技術更加成熟,以及在安全性上得到了更多的重視結果。
一個典型的dApp包括三個部分:介面、後台和智能合約。當駭客攻擊一個dApp時,會攻擊其中一部分或同時攻擊多個部分。根據我們的統計數據,對智能合約的攻擊無論數量或金額都遠超對前端和後台的攻擊。這表明智能合約仍然是駭客攻擊dApp時觸發的攻擊目標。
2023年發生的典型跑路事件皆為dApp專案。這顯示dApp跑路仍是使用者考慮跑路風險時要防範的重點。
在智能合約受到駭客攻擊的事件中,邏輯缺陷引發的攻擊事件次數和導致的損失金額均高居榜首,遠超過其他類別。
探索與思考
越來越多的創業團隊已經並且正在規劃湧向零知識論證相關的應用領域,包括基於我們以太坊的ZK第二層擴展方案、基於ZK的社交應用等。認為隨著這些應用的爆發和支撐,對基於ZK系統的開發和審計需求將迅速增長。
預防安全事故的實踐方案和措施
本節,我們將根據2023年所發生的安全事故的特點總結一些有利於區塊鏈開發者和用戶管理及防範區塊鏈風險的方案和措施。我們建議無論是區塊鏈開發者或用戶在積極平時的操作和工作中需要落實和實踐這些方案及措施,最大限度地保護專案安全和加密資產安全。
註:「區塊鏈開發者」既指區塊鏈專案本身的開發工程師,也指和區塊鏈系統相關或延申系統(如加密資產等)的開發者。 「區塊鏈用戶」是指所有參與區塊鏈系統活動(如管理、運作、維護等)或加密資產交易等的用戶。
對區塊鏈開發者
跨鏈橋的開發者需要高度關注跨鏈橋的安全。跨鏈橋方案一般包括上鍊操作和下鍊操作兩部分。而鏈下操作相對而言更容易受到駭客的攻擊,因此跨鏈橋需要特別注意鏈下操作的安全性和可靠性。
儘管2023年對第二層攻擊擴展造成的損失金額相對跨鏈橋而言不算大,但其安全性同樣值得重視。因為接下來,第二層擴展方案的發展與落地將會出現井噴,此方案安全性的研究將是面臨的重大挑戰。
在區塊鏈應用中,當部署專案並穩定運行一段時間後,將專案中掌握關鍵操作的權限轉移到多簽錢包或DAO組織來進行管理是非常必要的步驟。
當駭客發現智能合約的漏洞時,往往會藉助閃電貸對合約進行攻擊。這些可能被利用的漏洞通常包括重入漏洞、邏輯缺陷(例如缺乏權限驗證、錯誤的價格演算法)等。嚴謹的防範和處理這些漏洞對智慧合約開發者來說時刻需要高度重視,甚至需要排在重點的重點。
我們的統計數據也顯示越來越多的駭客會透過社群媒體軟體(如Discord、Twitter等)發動釣魚攻擊。這種現像在整個2022年普遍存在。大量用戶造成了損失。專案方需要相容對社群媒體實施嚴格、全面的管理,採用相應的安全方案保證其社群媒體運作的安全性和穩定性,防止被駭客利用。
區塊鏈用戶
越來越多的用戶開始參與各類區塊鏈生態的活動,並持有各類區塊鏈生態的資產。在這個過程中,跨鏈交易活動也再迅速成長。當用戶參與跨鏈交易時,用戶需要與跨鏈橋進行交互,而跨鏈橋卻是駭客經常關注的攻擊目標。當用戶在發起跨鏈交易前,需要詳細調查並了解相應使用跨鏈橋的安全狀況和營運狀況,確保跨鏈橋的安全、穩定、可靠。
當使用者和dApp 進行互動時,必須高度關注其智慧合約的品質和安全,同時也需要關注dApp 介面的安全。對前置的一些不明來歷、高度存疑的資訊、提示、對話等要小心處理,不要輕鬆點擊或跟隨其指引進行操作。
我們強烈建議用戶在和任何區塊鏈項目互動前或投資區塊鏈項目前,要仔細檢查並閱讀該項目的審計報告。對沒有審計報告或可疑報告的項目,要詳細參與。
我們建議用戶盡量使用冷錢包打包簽錢包管理大額資產或不用於頻繁交易的資產。隨時小心熱錢包的安全運行,並確保安裝熱錢包的硬體平臺本身是安全、可靠且穩定的。
用戶需要對區塊鏈專案的團隊背景進行充分的調查和了解。對團隊背景模糊、信用缺失的團隊要小心。對此類專案要小心其可能發生的跑路風險。對使用仔細的中心化交易所,使用者更要關注其背景和信用,仔細從多個第三方資料來源查證這些交易所的背景、資訊、數據,確保交易所能夠長久持續的安全運作。
參考資料
[1] 零知識證明。 https://en.wikipedia.org/wiki/Zero-knowledge_proof
[2] MPC。 https://en.wikipedia.org/wiki/Secure_multi-party_computation
[3] 啊維。 https://aave.com/
[4] 閃電貸款.. https://aave.com/flash-loans/
[5] ERC-20 代幣標準。 https://ethereum.org/en/developers/docs/standards/tokens/erc-20/
[6] 側鏈。 https://ethereum.org/en/developers/docs/scaling/sidechains/
[7] 第2 層。 https://academy.binance.com/en/glossary/layer-2
[8] 梅蒂斯。 https://www.metis.io/
[9] zk連結。 https://zk.link/
[10] 波巴。 https://boba.network/
[11] 仲裁。 https://arbitrum.io/
資訊來源:0x資訊編譯自網際網路。版權歸作者Fairyproof Tech所有,未經許可,不得轉載!