由於篇幅限制,本文僅羅列分析報告中的關鍵內容,完整內容可透過文末PDF 下載。
一、概述
2024 年,區塊鏈產業在安全與創新的交鋒中前進。在這個背景下,本報告回顧了2024 年區塊鏈產業關鍵監管合規政策及反洗錢動態,總結了2024 年區塊鏈安全事件並對典型詐欺手法進行了梳理。此外,我們也邀請了Web3 反詐騙平台ScamSniffer 撰寫關於釣魚Wallet Drainers 的內容,同時,我們對北韓駭客的洗錢手法和獲利情況進行了分析和統計。我們期望這份報告為讀者提供有益的信息,幫助從業者和用戶更全面地了解區塊鏈安全現狀及解決方案,為促進區塊鏈生態的安全發展貢獻一份力量。
二、區塊鏈安全態勢
根據慢霧區塊鏈被黑事件檔案庫(SlowMist Hacked) 統計,2024 年共發生安全事件410 起,損失高達20.13 億美元。對比2023 年(共464 件,損失約24.86 億美元),損失年減19.02%。
註:本報告數據基於事件發生時的代幣價格,由於幣價波動和部分未公開事件的損失未納入統計等因素,實際損失應高於統計結果。
(https://hacked.slowmist.io/statistics/?c=all&d=2024)
區塊鏈安全事件總覽
從專案賽道來看,DeFi 仍然是最常受到攻擊的領域。 2024 年DeFi 安全事件共339 件,佔總安全事件數的82.68%,損失高達10.29 億美元,對比2023 年(共282 件,損失約7.73 億美元),損失較去年同期上升33.12%。
(2024 各賽道安全事件分佈及損失)
(2023 與2024 DeFi 安全事件分佈及損失比較圖)
從生態來看,Ethereum 損失最高,達4.65 億美元。其次是BSC,達8,735 萬美元。
(2024 各生態安全事件分佈及損失)
從事件原因來看,合約漏洞導致的安全事件最多,達99 件,導致損失約2.14 億美元。其次為帳號被駭導致的安全事件。
(2024 安全事件手法圖)
典型攻擊事件
此節選取了2024 年損失Top10 的安全攻擊事件。詳情請見文末的PDF 文件內容。
(2024 損失Top10 的安全攻擊事件)
Rug Pull
Rug Pull 是一種騙局,其本質是惡意項目方造勢吸引用戶投資,等到時機成熟便“拉毯子”,捲款跑路。根據慢霧區塊鏈被黑事件檔案庫(SlowMist Hacked) 統計,2024 年Rug Pull 事件高達58 起,導致損失約1.06 億美元。其中,zkSync 生態損失最高,達3,695 萬美元,BSC 生態發生了最多的跑路事件,達28 起。
(2024 損失Top10 的跑路事件)
(2024 各生態跑路事件分佈及損失)
隨著Meme 幣熱潮的到來,許多用戶在投機和FOMO 情緒驅使下,忽略了潛在風險。有些發幣方甚至不需要向用戶描繪願景或提供白皮書,僅憑一個概念或口號,便能炒作出熱度吸引用戶購買代幣。低廉的作惡成本導致跑路事件層出不窮。用戶資金被惡意專案方Rug 後,往往面臨漫長且困難的追回過程。對此,慢霧安全團隊建議使用者在參與專案之前,充分了解專案的背景和團隊訊息,謹慎選擇投資項目,以避免潛在風險。
釣魚
註:本小節著重分析EVM 相容鏈上的Wallet Drainer 攻擊,由ScamSniffer 傾情撰寫,在此表示感謝。
Wallet Drainer 是一種部署在釣魚網站上,透過誘導用戶簽署惡意交易來盜取加密資產的攻擊方式。 2024 年,此類攻擊造成約4.94 億美元損失,較去年同期成長67%。雖然受害者數量僅增加3.7%(達33.2 萬個地址),但單次攻擊損失顯著增加,最大單筆被盜金額達5,548 萬美元。
(2024 年Wallet Drainer 攻擊的關鍵資料指標)
1. 重要節點
-
Pink 退出(5 月底):市佔28%,份額被Inferno 吸收。
-
Angel 接手Inferno(10 月底):Angel 市佔率下降,Inferno 維持40-45% 市佔。
2. 市場格局演變
-
Q1-Q2:三大主導(Angel:42%,Pink:28%,Inferno:22%)
-
Q3:雙頭競爭(Inferno:43%,Angel:25%)
-
Q4:新格局(Inferno 及Angel:45%,Acedrainer:20%,其他全新Drainer:25%)
截至2024 年,基於釣魚簽名的已知損失達7.9 億美元。儘管下半年此類攻擊有所減少,但這可能預示著攻擊者正在轉向其他攻擊方式,例如惡意軟體等更具隱蔽性的手段。隨著Web3 生態的發展,保護使用者資產安全的挑戰依然存在。無論攻擊方式如何變化,持續的安全意識和防護能力建構始終是保護資產安全的關鍵。
詐欺
此節選取我們於2024 年揭露的部分詐欺手法:
1. 挖礦詐騙
2. 套利詐騙
3. 空投詐騙
4. 盜X 行騙
5. 貔貅盤
6. 惡意木馬
三、反洗錢態勢
本節分為反洗錢及監管動態、反洗錢資料、北韓駭客、混幣工具四部分。
反洗錢及監管動態
2024 年,加密貨幣的監管環境發生了重大發展,其中最突出的是歐盟實施了MiCA 法規,美國推動了穩定幣立法。執法方面,今年世界各地推出了更嚴格的措施來打擊非法活動,穩定幣監管、跨境加密政策和針對加密領域主要參與者的執法行動取得了顯著進展,具體政策及執法行動見文末的PDF 。
反洗錢數據
1. 資金凍結數據
-
在InMist 情報網合作夥伴的大力支持下,2024 年度慢霧(SlowMist) 協助客戶、合作夥伴及公開被黑事件凍結資金共計超過1.12 億美元。
-
2024 年Tether 凍結了約5.4 億美元的USDT;2024 年Circle 凍結了約1,336 萬美元的USDC。
(https://dune.com/misttrack/2024)
2. 資金歸還數據
2024 年發生了410 起安全事件,在遭受攻擊後能全部或部分收回損失資金的事件共有24 起,根據已披露的數據,共計約1.66 億美元被返還,佔總安全損失(約20.13 億美元)的8.25%。
北韓駭客
2024 年,北韓駭客組織涉嫌多起網路竊盜案,導致數億美元的加密貨幣被盜。以下是北韓駭客組織犯下的重要事件清單(資料來源SlowMist Hacked):
本節著重分析北韓駭客的攻擊手法,並以慢霧(SlowMist) 跟進的BingX 事件為例介紹北韓駭客的洗錢方法。
混幣工具
1. Tornado Cash
(https://dune.com/misttrack/2024)
2. eXch
(https://dune.com/misttrack/2024)
3. Railgun
Railgun 已實施私人無罪證明(PPOI),利用零知識證明確保用戶能夠在不損害隱私的情況下驗證其資金與非法活動無關。這項創新在隱私和合規性之間取得了關鍵的平衡,使惡意行為者更難利用該平台洗錢。
四、總結
2024 年,區塊鏈產業在持續創新與變革的浪潮中面臨新的機會與挑戰;種種安全事件與反洗錢動態為我們提供了深刻的警示,也促使我們更加重視產業規範與技術保障;透過對2024 年區塊鏈安全事件和洗錢案例的分析,我們希望能喚起各方對產業安全的重視。
未來,隨著監管框架逐步完善以及技術手段的不斷升級,我們有理由相信,區塊鏈產業將朝著更安全、透明和合規的方向邁進。希望這份報告能為讀者提供有價值的信息,幫助讀者更全面地了解區塊鏈產業的安全和反洗錢現狀,也期待我們共同努力,為建立一個更安全、穩定和可信的區塊鏈生態貢獻力。
五、免責聲明
本報告內容基於我們對區塊鏈產業的理解、慢霧區塊鏈被黑檔案庫SlowMist Hacked 以及反洗錢追蹤系統MistTrack 的數據支援。但由於區塊鏈的「匿名」特性,我們在此並不能保證所有數據的絕對準確性,也不能對其中的錯誤、疏漏或使用本報告引起的損失承擔責任。同時,本報告不構成任何投資建議或其他分析的根據。本報告若有疏漏和不足之處,歡迎大家批評指正。導讀到此,完整版本的連結如下,也可直接點擊閱讀原文跳轉,歡迎閱讀並分享:)
中文:https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(CN).pdf
英文:https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(EN).pdf