2023年上半年區塊鏈安全分析報告_TRA

作者：比特叢林

隨著數字化進程的不斷深入，區塊鏈技術已成為許多領域的重要驅動力，它不僅為金融、醫療、物流等傳統行業帶來了顛覆性的變革，而且也為參與者帶來了更加開放和透明的體驗。然而，隨著區塊鏈技術的廣泛應用，與之相關的安全問題也變得愈發嚴峻。近年來，區塊鏈安全事件頻發，不僅對個人和企業造成了巨大損失，而且也對區塊鏈技術的發展帶來了挑戰。

本報告對2023年上半年的區塊鏈安全事件進行梳理和分析，旨在探究區塊鏈安全存在的隱患，以及分析區塊鏈安全事件的成因，并提出相應的解決方案和建議。我們希望通過這份報告引起各方對區塊鏈安全問題的關注，共同推動區塊鏈技術的安全發展，為數字化世界的未來奠定堅實的基礎。

2023年上半年共發生主要攻擊事件192起，總損失金額約為9.2億美元。

損失金額超過 1 億美元的安全事件共 4 起：

·Euler Finance閃電貸攻擊事件損失 1.97 億美元

·Blockchain for dog nose wrinkles詐騙項目造成損失 1.27 億美元

·BonqDAO & AllianceBlock操縱價格造成損失 1.2 億美元

三箭資本聯創預測2023年加密行業事件：SBF將認罪；Genesis和Grayscale或將面臨集體訴訟等:12月26日消息，三箭資本聯合創始人Kyle Davies預測2023年加密行業事件：SBF將認罪，約100人被起訴，但SBF 2023年不會在監獄服刑；Genesis和Grayscale或將面臨集體訴訟，SEC將以關聯子公司之間的不當行為對DCG提起刑事訴訟；幣安將繼續獲得市場份額；Tether將保持錨定；迪拜和新加坡仍是全球加密中心；BTC和ETH生產區塊，加密沒有死。[2022/12/26 22:08:25]

·Atomic Wallet錢包被盜造成損失1億美元

損失金額在1000萬美元至1億美元區間的事件 12 起

損失金額在100萬美元至1000萬美元區間的事件 40 起。

根據分析安全事件使用的攻擊手法，其中頻率最高的攻擊手法為Rug Pull與合約漏洞，均為32次攻擊。其次為閃電貸攻擊，共發生了20次，占所有事件數量的14.93%。

澳大利亞證券交易所宣布CHESS區塊鏈升級推遲至2023年4月之后:5月11日消息，澳大利亞證券交易所（ASX）證實，其區塊鏈交易后網絡將進一步推遲發布，該網絡最初定于2021年4月上線。

自2017年以來，ASX一直與DLT專業公司Digital Asset合作，以利用區塊鏈平臺取代其CHESS交易后結算系統。

去年3月，ASX確認將該系統的推出時間延遲一年至2023年4月，理由是新冠疫情危機對市場波動的影響，以及用戶對更多測試和額外功能的需求。后者被證明存在問題，ASX將通知用戶Digital Asset的下一個軟件發布時間，但未指明具體問題。

在一份最新的聲明中，ASX表示：“ASX現在確認，2023年4月上線（區塊鏈交易后網絡）的計劃不再可行。”但仍然致力于該項目，新的上線日期將在Digital Asset進一步更新和項目里程碑時間確定后公布（包括行業測試、運營準備、市場彩排和實施）。（Finextra）[2022/5/11 3:07:10]

在發生數量TOP8的攻擊手段中，閃電貸損失金額最大，共造成2.5億美元的損失。位于其后的是區塊鏈騙局，雖然只發生了七次，但是造成的損失達2.3億美元。

而合約漏洞和Rug Pull雖然發生總數相對較多，占所有攻擊手法的47.76%，但其造成的損失遠不及前兩者，僅有6649萬美元的損失。這些攻擊手段的高發生率和巨大的損失金額再次凸顯了加密貨幣市場中的風險。盡管區塊鏈技術有著很大的潛力和應用前景，但是它仍然面臨著安全風險和技術挑戰。

1inch Network聯合創始人：2022年DeFi衍生品市場將提供更多流動性，受到更多關注:1月3日消息，1inch Network聯合創始人 Anton Bukov 接受采訪時表示，在過去兩年中，現貨市場交易量大幅增長。預計到2022 年，去中心化衍生品市場將受到做市商和其他專業參與者的更多關注。由于傳統市場缺乏流動性，DeFi將有機會填補這一空白。[2022/1/3 8:21:53]

Rug Pull事件頻發，其中75%的項目跑路金額在1000萬美元以下、28%的項目跑路金額在100萬美元以下。這類項目通常官網、推特、電報、Github等信息缺失，沒有Roadmap或白皮書，團隊成員信息可疑，項目上線到最后跑路周期不超過三個月。

此類安全事件帶來的損失，不容忽視，需要加強對項目背景的調查，提高對陌生信息的防范意識，以及通過提前預防，從而提高防范能力，避免損失的發生。

鏈上應用（On-chain Application），也稱為去中心化應用（Decentralized Application，DApp），是構建在區塊鏈或分布式賬本技術之上的應用程序。使用區塊鏈的特性和功能進行數據存儲、交易處理和智能合約執行。

動態 | ElectraPay將從2020年1月開始進行Beta測試:金色財經報道，12月30日，Electra項目宣布正在尋找商家對其旗艦產品ElectraPay進行Beta測試。加密貨幣支付網關ElectraPay的首個試點項目將在2020年1月開始。在ElectraPay的初始階段，所有交易都將通過Woocommerce插件進行。不過將很快增長到包括Shopify、BigCommerce和其他流行的商業軟件。與傳統的支付競爭對手相比，ElectraPay不僅僅是一個在錢包之間發送加密貨幣的插件。它是一個完整的環境，基本上允許用戶充當自己的銀行，在做出是否持有、交換或出售其Electras的決定時保持絕對權威，同時遵守反洗錢法律。[2020/1/1]

2023年上半年，鏈上應用共發生 157 次安全事件，占總事件數量的 81%。鏈上應用總損失金額達到了 7.4億 美元 ，占總損失金額的 79%。鏈上應用為這半年中被攻擊頻次最高、損失金額最多的類型。

鏈上應用類型的安全事件在上半年六個月發生的頻率幾近相同，安全事件出現原因的前三分別是Rug Pull、合約漏洞、Twitter 被黑。

建議：

項目方在設計、構建項目時充分考慮項目的安全性，在實現功能的同時考慮到校驗功能是否會被繞過、是否存在缺陷，在項目上線前充分進行安全審計。

動態 | 趙長鵬和比特幣開發者達成一致 暗示2020年或支持隔離見證:10月2日，比特幣開發者Udi Wertheimer給幣安創始人趙長鵬發推文稱，若是幣安支持完整的隔離見證（bech32地址進行隔離見證存取款+允許生成新存款地址，以避免地址重復使用），那么2019年剩下時間，將會把讓個人資料頭像改為幣安logo。對此，趙長鵬回應稱，“2020年第一季度末怎么樣？”隨后，Udi Wertheimer稱，2019年開始隔離見證和新地址部分，當幣安添加閃電存款時，將在2020年第一季度開始使用。對此，趙長鵬回應“讓我們先開始做第一部分。”最后，Udi Wertheimer回應稱，一旦segwit（隔離見證） +新地址生成功能啟用，將第一時間將頭像換成幣安logo。[2019/10/3]

用戶投資鏈上應用前盡量多方考察、慎重決策，謹慎投資。

交易所（Exchange）是指提供數字資產買賣和交易服務的平臺或機構。它允許用戶以一種數字資產（如比特幣、以太坊等）交換另一種數字資產，或者以法定貨幣（如美元、歐元等）購買或出售數字資產。

2023年上半年，交易所是安全事件發生數量排名第二的類型，上半年共發生11起交易所領域內的安全事件，共造成了7318萬美元的損失。主要被攻擊原因為合約漏洞。

有關交易所的安全事件每個月都有發生。而且由于安全事件損失的金額也不在少數。

用戶要小心處理釣魚和惡意鏈接：避免點擊不信任的鏈接，尤其是通過電子郵件或社交媒體收到的鏈接。

定期檢查賬戶活動；不集中存儲所有資金；更新和保護設備；選擇值得信任的安全公司進行提前審計。

公有鏈(Public Blockchain)簡稱公鏈，是指全世界任何人都可隨時進入讀取、任何人都能發送交易且能獲得有效確認的共識區塊鏈。側鏈是平行于主鏈的一條區塊鏈，可以理解為是區塊鏈的一種擴展協議。以滿足特定的業務需求，例如跨鏈資產交換、私有鏈擴展和特定行業的區塊鏈解決方案。

2023年上半年，公鏈/側鏈是安全事件發生數量排名第三的類型。主要被攻擊原因為智能合約漏洞。

選擇可靠的共識機制。

使用安全的加密算法生成和存儲密鑰，使用多重簽名技術增加交易的安全性。

進行定期的安全審計，包括代碼審查、安全性測試和漏洞掃描，以識別潛在的安全漏洞和弱點。

跨鏈橋（Cross-Chain Bridge）是一種允許在不同區塊鏈網絡之間傳輸數字資產的技術解決方案。跨鏈橋通常會在起始鏈上的智能合約中鎖定或銷毀通證，并通過目標鏈上的另一個智能合約解鎖或鑄造通證。跨鏈通信本質上需要在安全、信任和靈活性三個維度上做出權衡。由于這些復雜因素的存在，跨鏈橋成為了Web3領域主要的攻擊對象。

2023年上半年就發生了8次跨鏈橋安全事件，損失金額為1137萬美元。

在2022年，12次跨鏈橋安全事件共造成了約18.9億美元損失，居所有項目類型損失的第一位。相比于去年，跨鏈橋在今年的上半年已經發生了7次安全事件，再加上近日出現的Poly Network 和Multichain的安全事件已出現了10起安全事件，跨鏈橋安全事件有比去年更為嚴重的發展態勢。主要被攻擊原因為智能合約漏洞、閃電貸等。

項目方在設計跨鏈消息傳輸協議時將安全放在第一位。

區塊鏈錢包是區塊鏈中一個重要組成部分，是一種數字貨幣存儲和管理工具，它允許用戶安全地保存、接收和發送各種加密貨幣，如比特幣、以太坊和其他代幣。錢包安全一直是區塊鏈行業的一個熱門話題，一旦錢包受到攻擊，攻擊者可以輕易地竊取用戶的私鑰和助記詞等敏感信息，進而掌握用戶的數字資產。這些數字資產的價值可能非常高，一旦被盜，損失也會非常慘重。因此，為了最大限度地保障用戶的數字資產安全，我們建議用戶采取一些安全措施。

2023年上半年中，錢包被攻擊的安全事件相比于其他類型數量較少，但是，當錢包受到攻擊，損失便是較大的數額。如Atomic與MyAlgo的錢包事件，兩次攻擊事件造成了高達1.09億美元的損失。

事件數量總數排名第三的類型為錢包，該類別發生安全事件的原因大多是私鑰、助記詞泄露。

選擇可信的錢包提供商：選擇一個有良好聲譽和可靠歷史記錄的錢包提供商。確保了解他們的安全實踐，如何保護用戶數據和私鑰等敏感信息。

使用雙重身份驗證：啟用雙重身份驗證可以增加您賬戶的安全性。這種方法需要您在登錄時輸入除用戶名和密碼外的另一種身份驗證方式，例如驗證碼或指紋識別。

不要分享您的私鑰：私鑰是您加密貨幣的所有權證明。不要與任何人分享您的私鑰，包括錢包提供商。如果有人要求您提供私鑰，那么這很有可能是一種詐騙行為。

定期備份您的錢包：定期備份您的錢包可以確保您在錢包丟失或遭受攻擊時可以恢復您的加密貨幣。您可以將備份保存在安全的地方，例如離線設備或硬件錢包中。

小心處理未知的電子郵件或信息：不打開或下載未知來源的電子郵件或信息。這些可能包含惡意軟件或鏈接，可能會導致您的錢包被攻擊。

確保您的計算機和手機設備是安全的：確保您的計算機和手機設備具有最新的防病和安全更新，以保護您的設備免受攻擊。

不要在公共場所使用未知的Wi-Fi網絡，因為這些網絡可能不安全，可能會被黑客用來攻擊您的錢包。

確保您的錢包軟件是最新的：確保您的錢包軟件是最新版本。新版本通常包含安全更新和修復，可以幫助您保護您的錢包免受攻擊。

關注有關錢包安全的最新信息：了解有關錢包安全的最新信息和事件，以幫助您保持對錢包安全的了解，并采取適當的預防措施。

通過對2023年上半年區塊鏈安全事件的整理，發現鏈上應用是半年來被攻擊頻次最高、損失金額最多的項目類型。鏈上應用領域共發生157次安全事件，其中32次都基于合約漏洞進行攻擊。

面對頻出的安全事件，研發者應該進一步遵循安全編碼、審計合約代碼、使用成熟的安全庫等保障用戶權益；而作為使用智能合約的用戶也應該謹慎選擇合約，并在使用前仔細檢查其代碼和安全性，選擇專業的安全公司進行審計。當安全事件發生時，用戶能做到的很有限，只有不斷提高自身的安全意識，提前發現漏洞，解決漏洞，做好防范才能盡可能避免被攻擊。

本報告提供的信息僅供參考和研究，信息來源于公開渠道，作者已經盡力核實準確性和完整性，但不能保證其準確性和完整性，也不承擔因使用或依賴該信息而產生的任何損失或損害的責任。本報告不應視為對任何特定區塊鏈項目或加密貨幣投資的推薦或建議，讀者應該自行進行研究和決策。本報告的內容不能替代讀者的判斷和決策，也不能保證所述情況的持續存在或實現。

金色財經

企業專欄

閱讀更多

金色薦讀

Block unicorn

區塊鏈騎士

金色財經 善歐巴

Foresight News

深潮TechFlow

Tags：區塊鏈TRA數字資產加密貨幣區塊鏈的核心是什么TheForce.Trade數字資產評估加密貨幣市值前十位排名

瑞波幣