本篇主要聚焦區塊鏈生態安全概覽及攻擊手法。
區塊鏈安全態勢
近兩年來,在疫情持續肆虐、經濟衰退、能源短缺、地緣沖突升級、國際間競爭加劇等種種因素的影響之下,全球社會與經濟發展遭遇了前所未有的挑戰。與此同時,全球區塊鏈行業也經歷著一場不斷加速的變革:區塊鏈技術的效率、安全性和可擴展性得到不斷改善,元宇宙、NFT 等新興領域的興起,使區塊鏈行業正式邁入 3.0 時代。
根據慢霧區塊鏈被黑事件檔案庫( SlowMist Hacked )統計,截至 6 月 30 日,2022 上半年安全事件共 187 件,損失高達 19.76 億美元。
(2022 上半年安全事件)
在這些安全事件中,約 77% (144 起)源于項目自身存在漏洞被攻擊者利用,損失金額約 18.4 億美元,占安全事件總損失的 93%;約 21%(39 起) 源于包含 Phishing&Rug Pull 的 Scams,損失金額約 1.3 億美元,占安全事件總損失的 6%。
(2022 上半年安全事件攻擊原因分布圖)
(2022 上半年安全事件攻擊原因損失對比圖)
區塊鏈生態安全概覽
根據被攻擊對象的不同,我們將 187 起安全事故分為三部分:公鏈賽道、交易平臺和其他。
報告:以太坊DeFi市場活躍錢包數量自2月中旬下降近40%:金色財經報道,DappRadar報告顯示,以太坊DeFi市場上活躍錢包數量從2月中旬至今下降了近40%,主要DeFi協議(例如Synthetix和Curve)24小時活躍用戶數也下降了10%到15%。但在過去30天內,Uniswap的用戶增加了22%,1inch的用戶增加了35%。[2021/3/8 18:26:20]
公鏈賽道
作為區塊鏈行業的基礎設施,公鏈承載了人們對于區塊鏈作為 Web3 底層網絡的期望。隨著一代又一代公鏈的崛起,NFT、DeFi、GameFi、元宇宙等生態熱潮也相繼迎來爆發,同時這些項目也促進了公鏈的發展與價值提升,使多鏈世界從理想走向了現實。據 Footprint Analytics 的數據,截至 6 月累計已收錄的公鏈數量有 119 條,對比 2021 年 6 月收錄的 31 條,同比增長約 284%。
(2021 與 2022 年 6 月公鏈數量對比)
但公鏈的快速發展同時是一把雙刃劍,在促進產業進步的同時,引發的區塊鏈安全問題也顯著增加,我們分別從?DeFi、NFT、跨鏈橋三方面解析。
DeFi 生態
DeFi 作為世界上最受歡迎的可編程區塊鏈,2022 發展態勢不可小覷,據 DeFi Llama 數據顯示,6 月 30 日 DeFi 總鎖倉價值為 1432 億美元,其中 ETH 鏈以 945.5 億美元的 TVL(Total Value Locked)占據了資金沉淀的半壁江山,其次是 BSC 鏈的 110.8 億美元。2021 年以來,許多新興公鏈如 Solana、Avalanche 等通過擁抱 DeFi 快速發展鏈上生態,也吸引了大量用戶和資金沉淀。6 月 30 日 Solana TVL 為 26.4 億美元,同比增長 77%;Avalanche TVL 為 55.4 億美元,同比增長 96%。
NFT報告:以太坊和WAX幾乎占每日活躍錢包和交易量的100%:10月26日,DappRadar發布第三季度NFT和市場類別行業報告。報告顯示,以太坊和WAX幾乎占每日活躍錢包和交易量的100%;以太坊是2020年第三季度總交易量最大的區塊鏈;以太坊分別產生了NFT和市場類別交易量的96%和92%;在以太坊區塊鏈上運行的關于活躍和交易量貢獻最大的dapp是加密朋克(CryptoPunks)和Rarible;與此同時,GoPepe和AtomicMarket是WAX協議中活躍激增的最大貢獻者。[2020/10/26]
(2022 上半年 DeFi TVL)
隨著 DeFi 熱潮的興起,該領域也自然成為了黑客覬覦的重點對象。根據 SlowMist Hacked 統計,截至 6 月 30 日 DeFi 安全事件約 100 起,損失超 16.3 億美元。其中在 BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨鏈橋上發生的安全事件數量分別為 47 起、29 起、8 起、5 起、2 起、1 起、7 起,所造成損失分別為 1.4 億美元、3.08 億美元、5491 萬美 元、6383 萬美元、1310 萬美元、830 萬美元、10.43 億美元。
(2022 上半年 DeFi 安全事件分布)
NFT 生態
報告:2020年區塊鏈相關專利數量飆升,阿里巴巴居首:Kisspatent團隊的一項研究顯示,阿里巴巴集團是2020年最大的區塊鏈專利持有者,其專利數量是IBM的10倍,緊隨其后的是金融機構BoA。再之后是IBM、萬事達卡、nChain和沃爾瑪。報告指出,區塊鏈專利在今年“猛增”,到2020年迄今為止,相關專利發布量超過2019年全年。Kisspatent研究員D’vorah Graeser博士指出:“純區塊鏈公司往往沒有申請專利,財富500強企業才申請。”值得注意的是,CSW所在的nChain是“唯一一家純區塊鏈公司”。Kisspatent強調,nChain的專利聲明是基于其新聞稿中所公布的信息,但“可能包括許多尚未公布的專利,另外,他們可能將在多個國家提交的國際申請作為單獨的專利申請進行計算。”
需指出的是,Graeser的名單似乎不完整,因為沒有包括像Rechain、微眾銀行和騰訊等公司。Chinadaily.com顯示,IBM擁有240項區塊鏈專利,Rechain 279項,微眾銀行282項,nChain 402項.此外據其統計,騰訊迄今已有724項相關專利。阿里巴巴仍以1505項專利居首位。(Bitcoin.com)[2020/9/20]
基于區塊鏈技術的 NFT 也是需要重點關注的對象,隨著一批頭部 NFT 項目的崛起和各路名人的參與,NFT 極速發展。根據 Dune Analytics 的數據,OpenSea 的交易量在 1 月份達到上半年最高峰 2.84 億美元,而隨著加密貨幣市場的變化,OpenSea 在 6 月份的交易量只有 1558 萬美元,下滑 94%。在 NFT 的熱潮中,目前以太坊生態的 NFT 在市值和交易量依舊占據市場的主流,交易量超 90%。除了以太坊外,從近 30 天交易量和近 7 天交易量這些短期數據來看,Solana,Flow 等生態的 NFT 也正在快速發展,且表現亮眼,多鏈時代距離我們越來越近。
HUSD 6月審計報告:美元儲備近1.15億美元 累計發行16億美元:最新審計報告顯示,截至美東時間6月30日,合規穩定幣HUSD循環流通量為114,905,850.54,美元儲備為114,905,850.54美元。截至目前,HUSD累計發行量已經超過16億美元。HUSD是Stable Universal基于以太坊發行的合規穩定幣,與美元1:1錨定。[2020/7/13]
(2022 上半年 OpenSea 交易量變化圖)
(2022 上半年 NFT 攻擊事件原因分布圖)
并且隨著時間推移,不法分子的攻擊逐漸猖獗,根據 TRM Labs 發布的報告 ,在 5、6 兩個月,由 TRM Labs 社區主導的詐騙報告平臺 Chainabuse 收到了超過 100 份關于 Discord 黑客攻擊的報告;自 5 月以來,NFT 社區損失約 2200 萬美元;6 月,黑客在被黑的 Discord 中發布 NFT 相關的釣魚攻擊同比增加了 55%。
跨鏈橋
隨著區塊鏈的發展,目前已經進入一個以太坊為核心多鏈并存的局面,鏈與鏈之間的資產轉移、 智能合約的跨鏈交互已成為鏈上活動的日常,跨鏈橋作為區塊鏈基礎設施的地位越發凸顯。根據 Dune Analytics 數據,截至 6 月 30 日以太坊中 15 個主要跨鏈橋的鎖定總價值(TVL)約 83.9 億美元。目前 TVL 最高的是 Polygon Bridges(35 億美元),排名第二的是 Arbitrum Bridge(18.93 億美 元),隨后是 Avalanche Bridge(12.41 億美元)。
報告顯示:吉爾吉斯斯坦的法律體系支持區塊鏈及加密貨幣:據btcmanager,吉爾吉斯斯坦共和國可能是區塊鏈最友好的國家之一,這得益于其寬松的態度??。根據吉爾吉斯斯坦國際金融中心發展機構要求,法律公司John Tiner&Partners3月12日發布的報告“吉爾吉斯斯坦區塊鏈技術的法律地位”表明,吉爾吉斯斯坦的法律環境為區塊鏈行業和加密貨幣投資者提供了更多創業機會。吉爾吉斯斯坦沒有立法阻止區塊鏈技術相關的實施。因此,該國不干涉區塊鏈行業,并且旨在鼓勵加密貨幣領域的創新。該文件進一步指出,開采加密貨幣或直接或通過ICO進行投資并不屬于該國任何法律的非法行為。唯一的限制是投資者必須遵守當地稅法。吉爾吉斯斯坦共和國與其他國家相比,允許個人積極參與加密貨幣業務的立法已經到位。[2018/4/13]
(以太坊 15 個主要跨鏈橋的 TVL)
由于流動資金量大,去中心化程度低,權限幾乎都掌握在多簽錢包中等特性,跨鏈橋也成了黑客眼中的“香餑餑”。根據 SlowMist Hacked 統計,截至 6 月 30 日跨鏈橋安全事件共 7 起,損失高達 10.43 億美元,占比 DeFi 上半年總損失的 64%,占比上半年總損失的 53%。值得注意的是上半年,損失金額上億美元的事件 4 起中就有 3 起來自跨鏈橋。作為多鏈生態的重要基礎設施,跨鏈橋一方面承擔著巨量的資金流動,為用戶帶來了極大的便利,另一方面在安全性和去中心化水平上面臨許多挑戰,需要項目方提升安全、風控等能力。
(2022 上半年跨鏈橋安全事件)
交易平臺
加密貨幣行業一直處在監管漩渦中,首當其沖的就是加密貨幣交易平臺。交易平臺發生的安全事故分析如下:以全球交易量最大的平臺 Binance 為例,自 2021 年來,Binance 已遭到數十個國家和地區的監管警告,包括歐洲、美洲、 亞洲在內的多個地區。在全球強力監管信號下,Binance 陸續在西班牙、法國、阿布扎比、迪拜、意大利、巴林等國家或地區獲得了監管許可并進行了注冊,逐步推進其合規化進程。
在上半年,全球共發生 4 起交易平臺安全事件,損失超 7770 萬美元,具體如下:
1 月 9 日,LCX 技術團隊在 LCX 交易平臺上檢測到一個未經授權的訪問,總共約 794 萬美 元的加密資產被盜。
1 月 17 日,Crypto.com 少數用戶遭到未經授權提款,損失約 3400 萬美元,包括 4,836.26 ETH、443.93 BTC 和約 66,200 美元的其他加密貨幣。
2 月 8 日,LockBit 勒索軟件團伙稱從加密貨幣交易平臺 PayBito 竊取了大量客戶數據。
2 月 12 日,來自美國南達科他州提供自主退休金賬戶的 IRA Financial Trust 對加密交易 平臺 Gemini 提起訴訟,指控稱由 Gemini 保管的屬于客戶退休賬戶的 3600 萬美元加密資產被盜。
(2022 上半年交易平臺攻擊事件損失對比圖)
慢霧安全團隊建議各大交易平臺健全內部管理與技術機制,通過引入安全審計機制、零信任機制、冷熱資產安全解決方案等來加強對數字資產的安全保障。
其他
不法分子看中加密貨幣的匿名性,區塊鏈已成為網絡黑產的新風口,呈現出越來越明顯的組織化與專業化趨勢,“勒索”、“欺詐”及“盜竊”已成為加密貨幣巨大安全威脅。據中國人民銀行支付結算司數據 ,2021 年涉詐款項的支付方式中,利用加密貨幣進行支付僅次于銀行轉賬,排名第二位,高達 7.5 億美元;而 2020 年、2019 年僅為 1.3、0.3 億美元,逐年大幅增長的趨勢明顯。值得關注的是,加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。2021 年“殺豬盤”詐騙資金中 1.39 億美元使用加密貨幣支付,是 2020 年的 5 倍、2019 年的 25 倍。
攻擊手法概覽
以上 187 起安全事件中,攻擊手法主要分為四類:由項目自身設計缺陷和各種合約漏洞引起的攻擊;包含 Rug Pull、釣魚攻擊等手法的 Scam;由于私鑰泄露引起的資產損失;前端惡意攻擊,這四種主要攻擊手法占比安全事件總數量的 95%。
(2022 上半年攻擊手法數量對比圖)
(2022 上半年攻擊手法損失對比圖)
總結
盡管 2022 年區塊鏈技術正在飛速發展并且逐漸完善,但層出不窮的加密貨幣攻擊事件對區塊鏈生態安全態勢提出了新的挑戰。從統計數據來看,上半年發生安全事件次數較多的月份主要在 5、6 月;從各生態來看,BSC 上安全事件發生最多;從賽道來看,損失最多的是跨鏈橋。
(2022 上半年各月份各生態賽道事件分布)
對此慢霧安全團隊建議:
對于機構和企業來說,最好能夠建立全面的網絡安全防護系統,防護從各個層次入侵的網絡安全威脅,并通過威脅感知體系快捷獲取病木馬、釣魚詐騙、網絡安全預警、漏洞報告在內的安全情報,一旦發生安全威脅能夠及時進行處理。
對于個人用戶來說,遵守以下安全法則及原則,可以避免大部分風險:
兩大安全法則:
零信任。簡單來說就是保持懷疑,而且是始終保持懷疑。
持續驗證。你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。
安全原則:
網絡上的知識,凡事都參考至少兩個來源的信息,彼此佐證,始終保持懷疑。
做好隔離,也就是雞蛋不要放在一個籃子里。
對于存有重要資產的錢包,不做輕易更新,夠用就好。
所見即所簽。即你看到的內容就是你預期要簽名的內容,當你簽名發出去后,結果就應該 是你預期的,絕不是事后拍斷大腿的。
重視系統安全更新,有安全更新就立即行動。
不亂下程序。
在此,十分推薦閱讀并掌握 《區塊鏈黑暗森林自救手冊》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)。
區塊鏈發展道阻且長,期望隨著行業的不斷完善,區塊鏈可以迸發出更大的力量,走向更大的舞臺
在白話之前的推文《肖風博士贊不絕口的Cosmos和波卡兩大跨鏈技術項目》中提到了跨鏈技術,其中跨鏈技術的實現模式之一就是哈希鎖定,今天大白就給大家詳細講解一下什么是哈希鎖定.
1900/1/1 0:00:001.DeFi代幣總市值:528.81億美元 DeFi總市值 數據來源:coingecko2.過去24小時去中心化交易所的交易量39.
1900/1/1 0:00:00作為區塊鏈技術的早期奉獻者,布萊恩·阿姆斯特朗(Brian Armstrong)已帶領 Coinbase Global Inc.成為美國最大的加密貨幣交易所.
1900/1/1 0:00:00原文標題:《紅杉、BVP、A16Z 轉型...風投基金進入 Web3 所必備的 RIA 牌照是什么?》 撰文:阿法兔 2022 年 6 月.
1900/1/1 0:00:00撰寫:Adam Cochran對于跨鏈橋,我認為有兩種正確的解決方案:更加復雜和去中心化——可能更接近協議的原生級別。 速度更慢且成本更高.
1900/1/1 0:00:00Osmosis推出一項名為“增壓流動性”的新功能:金色財經報道,Cosmos鏈上最大的去中心化交易所 (DEX) 協議Osmosis推出一項名為“增壓流動性”的新功能.
1900/1/1 0:00:00