慢霧：全方位回顧2022年區塊鏈安全生態_DISC

回顧過去的一年，我們看到加密領域出現了很多新場景，新應用和新變化。玩家也在逐漸增多，但是安全問題也一直困擾著行業的發展。因此，慢霧整理了?2022?年行業中出現的那些重大的安全時間，并進行了相應的分析和解讀。

根據慢霧區塊鏈被黑事件檔案庫統計，?2022年安全事件共295件，損失高達37.28億美元。相比2021年的97.95億美元下降約62%?，但這并不包括因市場動蕩而損失的資產。

DeFi、跨鏈橋、NFT等安全事件245起，交易所安全事件10起，公鏈安全事件11起，錢包安全事件5起，其他類型安全事件24起。

從時間上來看，?5?月和?10?月攻擊事件數量最高，達到?38?件。3?月損失金額最高，達到約?7?億美元。

Terra事件了。5月8日，加密貨幣市場上出現了史上最具破壞性的一次崩盤。Terra網絡的算法穩定幣UST出現了2.85億美元的巨額拋售，引發了一系列連鎖反應。Terra的原生代幣?LUNA的價格突然毫無征兆的連續跳崖式暴跌，一天時間，Luna市值蒸發了近400億美元，全生態項目TVL也幾乎歸零。此次事件或許成為了開啟2022加密寒冬的死亡按鈕。DeFi/跨鏈橋

據?DeFiLlama?數據顯示，截止12月底，DeFi總鎖倉價值約為398億美元，同比巨降?75%?。Ethereum以占比整個DeFiTVL的58.5%?占據主導地位，緊隨其后的是TRON，TVL為43億美元，BNBChain(?BNB?)為42億美元。有趣的是，?2022年5月，Ethereum的?TVL在DeFi中的占比減少了35%?，而?TRON的TVL占比增長了47%?。

根據?SlowMistHacked?統計，?2022年BNBChian上發生安全事件約90起，總損失金額約7.85億美元，居各鏈平臺損失金額第一位。而Ethereum上發生安全事件約50起，總損失金額約5.28億美元，其次是Solana上發生安全事件約11起，總損失金額約1.96億美元。

慢霧：Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道，據慢霧消息，Grafana發布嚴重安全提醒，其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128)，目前PoC在互聯網上公開，已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺，用戶配置連接的數據源之后，Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上，配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時，這可能會使Grafana賬戶被接管和認證繞過。其中，Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況，請注意風險，并將Grafana升級到最新版本。[2023/6/25 21:58:31]

據DuneAnalytics的數據，以太坊跨鏈橋的鎖定總價值約83.9億美元，對比上半年降低了約31%?。目前TVL最高的是PolygonBridges，排名第二的是ArbitrumBridges，隨后是OptimismBridges。跨鏈橋允許用戶將加密資產從一條鏈轉移到另一條鏈，主要解決多鏈擴展問題。然而，跨鏈橋智能合約中的大量資金加上缺少安全審計，引來了黑客的目光。

根據?SlowMistHacked?統計，?2022年跨鏈橋安全事件共15起，損失高達12.1億美元，占比?2022?年總損失的32.45%?。

總而言之，對項目方來說，想要盡可能的消除漏洞、降低安全風險，就必須做出有效的努力——在項目上線之前，對其進行全面深入的安全審計。同時，建議各項目方通過引入多簽機制來加大資產保護的力度。另一方面，各項目在進行協議間交互或移植其他協議的代碼時，需充分了解移植協議的架構以及自己項目的架構設計，做好協議之間的兼容性，防止資金損失情況的發生。對用戶來說，隨著區塊鏈領域的玩法愈發多樣化，用戶在進行投資前認真了解項目背景，查看該項目是否有開源、是否經過審計，在參與項目時需要提高警惕，注意項目風險。

慢霧：警惕Web3錢包WalletConnect釣魚風險:金色財經報道，慢霧安全團隊發現 Web3 錢包上關于 WalletConnect 使用不當可能存在被釣魚的安全風險問題。這個問題存在于使用移動端錢包 App 內置的 DApp Browser + WalletConnect 的場景下。

慢霧發現，部分 Web3 錢包在提供 WalletConnect 支持的時候，沒有對 WalletConnect 的交易彈窗要在哪個區域彈出進行限制，因此會在錢包的任意界面彈出簽名請求。[2023/4/17 14:08:53]

NFTScan?數據顯示，在以太坊上的NFT全年交易次數達1.98億次，明顯高于2020年和2021年。而在BNBChain上的NFT全年交易次數達3.45億次，在Polygon上的NFT全年交易次數達7.93億次。

另一方面，根據?SlowMistHacked?不完全統計，?2022年NFT賽道安全事件約56起，損失超6543萬美元，其中大部分是由釣魚攻擊導致，占比約為40%?，其次是RugPull，占比約為21%?。

錢包/交易平臺

2月8日，美國司法部發布公告稱，已經查獲了價值36億美元的比特幣，這些比特幣與2016年加密貨幣交易所Bitfinex的黑客事件有關。34歲的IlyaLichtenstein和其31歲的妻子HeatherMorgan在紐約被捕，兩人被指控共謀洗錢和詐騙罪。這也是美國司法部有史以來最大規模的金融扣押。

11?月?6?日，幣安創始人?CZ?發推稱決定清算賬面上所有剩余的?FTT，由此引發兩大交易所之間的對峙。盡管?AlamedaCEO?和FTXCEOSBF?接連發推試圖穩固用戶信心并辟謠此前曝光的消息，但還是引發?FTX在流動性枯竭后迅速破產。最終，FTX?暴雷，SBF?被捕。中心化交易所的不透明再度引發人們的信任危機，缺乏審慎監管的問題越發凸顯。無論是對消費者更嚴格的保護，還是對機構更明確的規則，監管的腳步都將愈發清晰。

慢霧：PREMINT攻擊者共竊取約300枚NFT，總計獲利約280枚ETH:7月18日消息，慢霧監測數據顯示，攻擊PREMINT的兩個黑客地址一共竊取了大約300枚NFT，賣出后總計獲利約280枚ETH。此前報道，黑客在PREMINT網站植入惡意JS文件實施釣魚攻擊，從而盜取用戶的NFT等資產。[2022/7/18 2:19:58]

在FTX暴雷后，硬件錢包的銷量大幅增長，用戶量最多的錢包MetaMask月活用戶達3000萬。根據?Finbold?數據顯示，基于排名前21個加密貨幣存儲APP應用，在2022年1月至2022年10月期間，Android和iOS設備上的加密錢包下載量已經達到約1.0206億次。雖然這個數字低于2021年牛市期間的1.7785億次下載量，但比除2021年之外的任何一年都高。按月細分數據顯示，加密錢包下載量年初呈下降趨勢，但在Terra/Luna崩潰以及FTX暴雷后均出現較大幅度增長。

其他

區塊鏈技術不可逆、匿名性特征在有效保護隱私的同時，也為網絡犯罪提供了“保護傘”。隨著元宇宙、NFT等概念受到熱捧，加密貨幣盜竊事件、欺詐事件時有發生，很多不法分子打著區塊鏈旗號發行所謂的虛擬資產，實施詐騙，黑灰產的先進與專業度已經遠超想象。

據中國人民銀行支付結算司數據，?2021?年涉詐款項的支付方式中，利用加密貨幣進行支付僅次于銀行轉賬，排名第二位，高達7.5億美元；而2020年、?2019年僅為1.3、?0.3億美元，逐年大幅增長的趨勢明顯。值得關注的是，加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。2021年“殺豬盤”詐騙資金中1.39億美元使用加密貨幣支付，是2020年的5倍、?2019年的25倍。

根據美國聯邦貿易委員會(FTC)發布的一份報告，在自?2021?年年初以來的一年多時間里，已有超過?4.6?萬人報告自己遭遇了加密貨幣騙局，損失總額超過?10?億美元。根據報告，最常見的加密貨幣騙局類型是投資相關欺詐，在總金額?10?億美元中占?5.75?億美元，最常向詐騙者支付的加密貨幣包括BTC、USDT和ETH。

慢霧：Polkatrain 薅羊毛事故簡析:據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。[2021/4/5 19:46:39]

二、攻擊手法

295起安全事件中，攻擊手法主要分為三類：由項目自身設計缺陷和各種合約漏洞引起的攻擊；包含RugPull、釣魚、Scam類型的手法；由私鑰泄露引起的資產損失。

2022年最常見的攻擊手法是由項目自身設計缺陷和各種合約漏洞引起，約92起，造成損失10.6億美元，占總數量的?40.5%?。其中較為主要的是利用閃電貸引起的攻擊，約19起，造成損失6133萬美元，其他包括重入問題、價格操縱、驗證問題等等。

因私鑰被盜引起的資產損失發生率約為6%?，損失金額卻達到7.46億美元，僅次于合約漏洞利用，因私鑰被盜的事件中，損失最大的來自?Ronin?事件，其次是Harmony，都是來自跨鏈橋。

在Web3世界，用戶的安全意識往往是參差不齊，這也導致了針對用戶的釣魚攻擊花樣多多且頻繁發生。例如，攻擊者利用惡意手段將各項目的官方媒體平臺占為己有或者偽造官方媒體號并發布釣魚?Mint、AirDrop?鏈接，還時不時轉發真正的官方號內容來混肴視聽。例如，利用搜索引擎上的廣告宣傳虛假網站或者與官方域名高度相似的域名及內容來以假亂真；例如通過偽造的郵件、吸引人的贈品活動來引你入局；又例如利用新用戶信息差提供假?APP?下載鏈接。無論如何，提高安全意識才是最必要的，同時，一旦發現自己中招，第一時間轉移資產，及時止損并保留證據，必要時尋求業內安全機構的幫助。

聲音 | 慢霧：ETC 51%雙花攻擊所得的所有ETC已歸還完畢:據慢霧區消息，ETC 51%攻擊后續：繼Gate.io宣稱攻擊者歸還了價值10萬美金的ETC后，另一家被成功攻擊的交易所Yobit近日也宣稱收到了攻擊者歸還的122735 枚 ETC。根據慢霧威脅情報系統的深度關聯分析發現：攻擊者于UTC時間2019年1月10日11點多完成了攻擊所獲的所有ETC的歸還工作，至此，持續近一周的 ETC 51% 陰云已散。[2019/1/16]

其次，最令人憎惡的則是RugPull。RugPull?通常指項目的開發者放棄項目，帶著資金逃跑，更多是項目方主動作惡。它可以以多種方式發生：比如當開發者啟動初始流動性，推高價格，然后撤回流動性項目方先創建一個加密項目，通過各種營銷手段吸引加密用戶投資，并在合適的時機毫無征兆地卷走用戶投資的資金，拋售加密資產，最終銷聲匿跡，投資該項目的用戶也將蒙受巨大損失。再比如推出一個網站，但在吸引了數十萬存款后關閉。2022年RugPull事件達到50起，損失約1.88億美元，常發生于BSC生態及NFT領域。

2022?年其他較為新型的手法為前端惡意攻擊、DNS?攻擊以及?BGP?劫持；最為奇葩的則是人為配置操作失誤導致的資產損失。

三、釣魚/騙局手法

此節只選取部分SlowMist曾披露過的釣魚/騙局手法。

瀏覽器惡意書簽盜取DiscordToken

現在的瀏覽器都有自帶的書簽管理器，在提供便利的同時卻也容易被攻擊者利用。通過精心構造惡意的釣魚頁面可以讓你收藏的書簽中插入一段JavaScript代碼，有了這個幾乎可以做任何事情，包括通過Discord封裝好的webpackChunkdiscord_app前端包進行信息獲取。當Discord用戶點擊時，惡意JavaScript代碼就會在用戶所在的Discord域內執行，盜取DiscordToken，攻擊者獲得項目方的DiscordToken后就可以直接自動化接管項目方的Discord賬戶相關權限。攻擊者拿到了Token等同于登錄了Discord賬號，可以做登錄Discord的任何同等操作，比如建立一個Discordwebhook機器人，在頻道里發布公告等虛假消息進行釣魚。下面是演示受害者點擊了釣魚的書簽：

下面是演示攻擊者編寫的JavaScript代碼獲取Token等個人信息后，通過DiscordServer的webhook接收到。

可以看到，在用戶登錄Web端Discord的前提下，假設受害者在釣魚頁面的指引下添加了惡意書簽，在Discord?Web端登錄時，點擊了該書簽，觸發惡意代碼，受害者的Token等個人信息便會通過攻擊者設置好的Discordwebhook發送到攻擊者的頻道上。

“零元購”NFT釣魚

例如下圖釣魚網站，簽名內容為

Maker：用戶地址

Taker：0xde6135b63decc?47?d?5?a?5?d?47834?a?7?dd?241?fe?61945?a

Exchange：0x7f268357A8c2552623316e2562D90?e?64?2bB?538?E?5??

這是一種較為常見的NFT釣魚方式，即騙子能夠以0ETH購買你所有授權的NFT。也就是說，這是欺騙用戶簽名NFT的銷售訂單，NFT是由用戶持有的，一旦用戶簽名了此訂單，騙子就可以直接通過OpenSea購買用戶的NFT，但是購買的價格由騙子決定，也就是說騙子不花費任何資金就能“買”走用戶的NFT。

此外，簽名本身是為攻擊者存儲的，不能通過Revoke.Cash或Etherscan等網站取消授權來廢棄簽名的有效性，但可以取消你之前的掛單授權，這樣也能從根源上避免這種釣魚風險。

RedlineStealer木馬盜幣

這種攻擊主要是通過Discord邀請用戶參與新的游戲項目內測，打著“給予優惠”等幌子，或是通過群內私聊等方式發一個程序讓你下載，一般是發送壓縮包，解壓出來是一個大概800M左右的exe文件，一旦你在電腦上運行，它會掃描你電腦上的文件，然后過濾包含Wallet等關鍵詞的文件上傳到攻擊者服務器，達到盜取加密貨幣的目的。

RedLineStealer是一種惡意木馬軟件，?2020年3月被發現，在地下論壇上單獨出售。該惡意軟件從瀏覽器中收集保存的憑據、自動完成數據和信用卡等信息。在目標機器上運行時，會搜集如用戶名、位置數據、硬件配置和已安裝的安全軟件等詳細信息。新版本的RedLine增加了竊取加密貨幣的能力，能夠自動掃描本地計算機已安裝的數字貨幣錢包信息，并上傳到遠端控制機。該惡意軟件具有上傳和下載文件、執行命令以及定期發回有關受感染計算機的信息的能力。常常針對加密貨幣錢包目錄、錢包文件進行掃描：

空白支票eth_sign釣魚

連接錢包后并點擊Claim后，彈出一個簽名申請框，同時MetaMask顯示了一個紅色提醒警告，而光從這個彈窗上無法辨別要求簽名的到底是什么內容。其實這是一種非常危險的簽名類型，基本上就是以太坊的“空白支票”。通過這個釣魚，騙子可以使用您的私鑰簽署任何交易。

這種eth_sign方法可以對任意哈希進行簽名，那么自然可以對我們簽名后的bytes?32數據進行簽名。因此攻擊者只需要在我們連接DApp后獲取我們的地址對我們賬戶進行分析查詢，即可構造出任意數據讓我們通過eth_sign進行簽名。

除此之外，還有一種釣魚：在你拒絕上述的sign后，它會在你的MetaMask自動顯示另一個簽名框，趁你沒注意就騙到你的簽名。而看看簽名內容，使用了SetApprovalForAll方法，同時Approvedasset的目標顯示為AllofyourNFT，也就是說，一旦你簽名，騙子就可以毫無節制地盜走你的所有NFT。

這種釣魚方式對用戶會有很強的迷惑性，以往我們碰到的授權類釣魚在MetaMask會給我直觀的展示出攻擊者所要我們簽名的數據。而當攻擊者使用eth_sign方法讓用戶簽名時，MetaMask展示的只是一串bytes?32的哈希。

尾號相同TransferFrom零轉賬騙局

用戶的地址轉賬記錄中不斷出現陌生地址轉賬0USDT，而這筆交易均是通過調用TransferFrom函數完成的。究其原因主要是代幣合約的TransferFrom函數未強制要求授權轉賬數額必須大于0?，因此可以從任意用戶賬戶向未授權的賬戶發起轉賬0的交易而不會失敗。惡意攻擊者利用此條件不斷地對鏈上活躍用戶發起TransferFrom操作，以觸發轉賬事件。

除了?0?USDT?轉賬騷擾，還伴隨著攻擊者針對交易規模較大頻率較高的用戶不斷空投小額數量的Token，攻擊者地址尾數和用戶地址尾數幾乎一樣，通常為后幾位，用戶去復制歷史轉賬記錄中的地址時一不小心就復制錯，導致資產損失。

以上只是舉例了一些常見的攻擊手法和場景，實際上道高一尺魔高一丈，黑客的攻擊手法永遠都在推陳出新，我們能做的就是不斷提高自己的見識。

對于個人用戶來說，遵守以下安全法則及原則，可以避免大部分風險：

兩大安全法則：

零信任。簡單來說就是保持懷疑，而且是始終保持懷疑。

持續驗證。你要相信，你就必須有能力去驗證你懷疑的點，并把這種能力養成習慣。

安全原則：

網絡上的知識，凡事都參考至少兩個來源的信息，彼此佐證，始終保持懷疑。

做好隔離，也就是雞蛋不要放在一個籃子里。

對于存有重要資產的錢包，不做輕易更新，夠用就好。所見即所簽。即你看到的內容就是你預期要簽名的內容，當你簽名發出去后，結果就應該是你預期的，絕不是事后拍斷大腿的。

重視系統安全更新，有安全更新就立即行動。

不亂下程序。

Tags：NFTSCORDISCSCOAPENFT幣最新銷毀SCORPFIN價格DisCas Visionprayblesscoin

聚幣