報告解讀之 2022 上半年區塊鏈安全態勢_EFI

本篇主要聚焦區塊鏈生態安全概覽及攻擊手法。

區塊鏈安全態勢

近兩年來，在疫情持續肆虐、經濟衰退、能源短缺、地緣沖突升級、國際間競爭加劇等種種因素的影響之下，全球社會與經濟發展遭遇了前所未有的挑戰。與此同時，全球區塊鏈行業也經歷著一場不斷加速的變革：區塊鏈技術的效率、安全性和可擴展性得到不斷改善，元宇宙、NFT等新興領域的興起，使區塊鏈行業正式邁入3.0時代。

根據慢霧區塊鏈被黑事件檔案庫統計，截至6月30日，2022上半年安全事件共187件，損失高達19.76億美元。

在這些安全事件中，約77%源于項目自身存在漏洞被攻擊者利用，損失金額約18.4億美元，占安全事件總損失的93%；約21%源于包含Phishing&RugPull的Scams，損失金額約1.3億美元，占安全事件總損失的6%。

區塊鏈生態安全概覽

根據被攻擊對象的不同，我們將187起安全事故分為三部分：公鏈賽道、交易平臺和其他。

公鏈賽道

Polygon Q4報告：基于Polygon的活躍錢包數Q4創歷史新高:金色財經報道，Polygon發布Q4運營報告，報告稱，基于Polygon的活躍錢包數呈上升趨勢，Q4 創歷史新高 1100 萬+，較去年 Q4 增長 115%，活躍錢包總數達到 2.06 億（較 2021 年增長 58%）。

盡管2022下半年主要的交易量大幅下降，但 Polygon 網絡保持了月交易量超過 8000 萬美元的健康水平。另一方面，Binance 的交易量從年初下降到 6800 萬美元左右，不到其一半，Avalanche 一直穩定到 4 月，但到 12 月下降到 280 萬美元。

此外，盡管市場放緩，但 Polygon 上的游戲和 DeFi dApp 并未出現大幅下滑。9 月份游戲錢包的激增可歸因于 Animoca Brands 推出的免費游戲Benji Bananas，該游戲去年增加了 140 萬+ 活躍錢包并處理了 400 萬+ 交易。[2023/2/25 12:28:50]

作為區塊鏈行業的基礎設施，公鏈承載了人們對于區塊鏈作為Web3底層網絡的期望。隨著一代又一代公鏈的崛起，NFT、DeFi、GameFi、元宇宙等生態熱潮也相繼迎來爆發，同時這些項目也促進了公鏈的發展與價值提升，使多鏈世界從理想走向了現實。據FootprintAnalytics的數據，截至6月累計已收錄的公鏈數量有119條，對比2021年6月收錄的31條，同比增長約284%。

《CF40中國智能金融發展報告2020》：用新加密、區塊鏈等技術提升智能金融監管能力:金色財經報道，《CF40中國智能金融發展報告2020》近日發布，該報告為中國金融四十人論壇（CF40）重點課題項目“中國智能金融發展報告”2020年的研究成果，由肖鋼牽頭。在智能金融監管方面，《報告》建議運用新加密技術、區塊鏈等技術，提高金融機構向監管部門披露信息的效率，降低監管成本、提高監管效率以及監管透明度。（清華大學經濟管理學院官方公眾號）[2021/10/7 20:10:32]

但公鏈的快速發展同時是一把雙刃劍，在促進產業進步的同時，引發的區塊鏈安全問題也顯著增加，我們分別從?DeFi、NFT、跨鏈橋三方面解析。

DeFi生態

DeFi作為世界上最受歡迎的可編程區塊鏈，2022發展態勢不可小覷，據DeFiLlama數據顯示，6月30日DeFi總鎖倉價值為1432億美元，其中ETH鏈以945.5億美元的TVL占據了資金沉淀的半壁江山，其次是BSC鏈的110.8億美元。2021年以來，許多新興公鏈如Solana、Avalanche等通過擁抱DeFi快速發展鏈上生態，也吸引了大量用戶和資金沉淀。6月30日SolanaTVL為26.4億美元，同比增長77%；AvalancheTVL為55.4億美元，同比增長96%。

隨著DeFi熱潮的興起，該領域也自然成為了黑客覬覦的重點對象。根據SlowMistHacked統計，截至6月30日DeFi安全事件約100起，損失超16.3億美元。其中在BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨鏈橋上發生的安全事件數量分別為47起、29起、8起、5起、2起、1起、7起，所造成損失分別為1.4億美元、3.08億美元、5491萬美元、6383萬美元、1310萬美元、830萬美元、10.43億美元。

報告：歐洲成為世界最大的加密經濟體 交易額超過1萬億美元:金色財經報道，根據區塊鏈分析公司Chainalysis的最新研究報告，中歐、北歐和西歐地區(CNWE)已成為世界上最活躍的加密貨幣區塊，在過去一年中接收了價值超過1萬億美元的數字資產。CNWE地區在2020年7月至2021年6月期間占全球加密活動的25%。DeFi已成為歐洲加密經濟的主要催化劑，大型機構的交易份額也顯著增加。歐洲在該類別的交易額從2020年7月的14億美元增至2021年6月的463億美元。Chainalysis將加密交易描述為涉及貿易、投資和商業交易的任何事物。（cointelegraph）[2021/9/28 17:12:58]

NFT生態

基于區塊鏈技術的NFT也是需要重點關注的對象，隨著一批頭部NFT項目的崛起和各路名人的參與，NFT極速發展。根據DuneAnalytics的數據，OpenSea的交易量在1月份達到上半年最高峰2.84億美元，而隨著加密貨幣市場的變化，OpenSea在6月份的交易量只有1558萬美元，下滑94%。在NFT的熱潮中，目前以太坊生態的NFT在市值和交易量依舊占據市場的主流，交易量超90%。除了以太坊外，從近30天交易量和近7天交易量這些短期數據來看，Solana，Flow等生態的NFT也正在快速發展，且表現亮眼，多鏈時代距離我們越來越近。

報告：中國2020年國區塊鏈產業規模達到27.8億元，增速為33.7%:7月14日消息，近日，賽迪顧問數字經濟產業研究中心發布了《2020-2021年中國區塊鏈產業發展研究年度報告》，對2020年全球以及中國區塊鏈產業發展情況進行了分析，同時對未來兩年中國區塊鏈產業趨勢給出了判斷。賽迪指出，2020年，在新冠肺炎疫情影響下，全球區塊鏈產業規模的增速明顯放慢，產業總體規模達到28.1億美元。在中國，2020年國區塊鏈產業規模達到27.8億元，增速為33.7%，超過全球區塊鏈產業增速，成為全球區塊鏈產業發展潛力最大的國家之一。中國非數字貨幣類區塊鏈企業基數大、創新力強，而且這些企業大部分以聯盟鏈為底層架構，技術上比較成熟。但目前產業鏈下行業端用戶的滲透率有待提高，隨著制造業提質增效的需求進一步增加，預計未來行業端用戶部署區塊鏈解決方案的需求將逐漸增多，市場空間將進一步放大。[2021/7/14 0:50:26]

蓬勃發展的同時意味著賽道發生的安全事故也不在少數，根據SlowMistHacked不完全統計，截至6月30日NFT賽道安全事件約48起，損失超6281萬美元。其中33.4%源于項目自身存在的漏洞被攻擊者利用，20.8%源于RugPull，而釣魚攻擊占了大部分，占比為45.8%，多數都是由于Discord/Twitter等媒體平臺被黑后黑客發布釣魚鏈接。

并且隨著時間推移，不法分子的攻擊逐漸猖獗，根據TRMLabs發布的報告，在5、6兩個月，由TRMLabs社區主導的詐騙報告平臺Chainabuse收到了超過100份關于Discord黑客攻擊的報告；自5月以來，NFT社區損失約2200萬美元；6月，黑客在被黑的Discord中發布NFT相關的釣魚攻擊同比增加了55%。

動態 | Robinhood報告其加密交易服務“性能下降”:據美國股票和加密交易平臺Robinhood官方消息，該平臺加密交易服務“性能下降”。Robinhood表示，如果用戶注意到投資組合價值下降，那是因為該平臺在解決此問題時暫時在對投資組合進行估值時禁用了加密貨幣。在問題獲得解決后，用戶的投資組合價值將再次準確顯示。隨著比特幣的價格在15分鐘內下降超過1700美元，此前Coinbase的網站和API也一度短暫地無法訪問。[2019/6/27]

跨鏈橋

隨著區塊鏈的發展，目前已經進入一個以太坊為核心多鏈并存的局面，鏈與鏈之間的資產轉移、智能合約的跨鏈交互已成為鏈上活動的日常，跨鏈橋作為區塊鏈基礎設施的地位越發凸顯。根據DuneAnalytics數據，截至6月30日以太坊中15個主要跨鏈橋的鎖定總價值約83.9億美元。目前TVL最高的是PolygonBridges，排名第二的是ArbitrumBridge，隨后是AvalancheBridge。

由于流動資金量大，去中心化程度低，權限幾乎都掌握在多簽錢包中等特性，跨鏈橋也成了黑客眼中的“香餑餑”。根據SlowMistHacked統計，截至6月30日跨鏈橋安全事件共7起，損失高達10.43億美元，占比DeFi上半年總損失的64%，占比上半年總損失的53%。值得注意的是上半年，損失金額上億美元的事件4起中就有3起來自跨鏈橋。作為多鏈生態的重要基礎設施，跨鏈橋一方面承擔著巨量的資金流動，為用戶帶來了極大的便利，另一方面在安全性和去中心化水平上面臨許多挑戰，需要項目方提升安全、風控等能力。

交易平臺

加密貨幣行業一直處在監管漩渦中，首當其沖的就是加密貨幣交易平臺。交易平臺發生的安全事故分析如下：以全球交易量最大的平臺Binance為例，自2021年來，Binance已遭到數十個國家和地區的監管警告，包括歐洲、美洲、亞洲在內的多個地區。在全球強力監管信號下，Binance陸續在西班牙、法國、阿布扎比、迪拜、意大利、巴林等國家或地區獲得了監管許可并進行了注冊，逐步推進其合規化進程。

在上半年，全球共發生4起交易平臺安全事件，損失超7770萬美元，具體如下：

1月9日，LCX技術團隊在LCX交易平臺上檢測到一個未經授權的訪問，總共約794萬美元的加密資產被盜。

1月17日，Crypto.com少數用戶遭到未經授權提款，損失約3400萬美元，包括4,836.26ETH、443.93BTC和約66,200美元的其他加密貨幣。

2月8日，LockBit勒索軟件團伙稱從加密貨幣交易平臺PayBito竊取了大量客戶數據。

2月12日，來自美國南達科他州提供自主退休金賬戶的IRAFinancialTrust對加密交易平臺Gemini提起訴訟，指控稱由Gemini保管的屬于客戶退休賬戶的3600萬美元加密資產被盜。

慢霧安全團隊建議各大交易平臺健全內部管理與技術機制，通過引入安全審計機制、零信任機制、冷熱資產安全解決方案等來加強對數字資產的安全保障。

其他

不法分子看中加密貨幣的匿名性，區塊鏈已成為網絡黑產的新風口，呈現出越來越明顯的組織化與專業化趨勢，“勒索”、“欺詐”及“盜竊”已成為加密貨幣巨大安全威脅。據中國人民銀行支付結算司數據，2021年涉詐款項的支付方式中，利用加密貨幣進行支付僅次于銀行轉賬，排名第二位，高達7.5億美元；而2020年、2019年僅為1.3、0.3億美元，逐年大幅增長的趨勢明顯。值得關注的是，加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。2021年“殺豬盤”詐騙資金中1.39億美元使用加密貨幣支付，是2020年的5倍、2019年的25倍。

攻擊手法概覽

以上187起安全事件中，攻擊手法主要分為四類：由項目自身設計缺陷和各種合約漏洞引起的攻擊；包含RugPull、釣魚攻擊等手法的Scam；由于私鑰泄露引起的資產損失；前端惡意攻擊，這四種主要攻擊手法占比安全事件總數量的95%。

上半年由項目自身設計缺陷和各種合約漏洞引起的攻擊共92起，造成損失10.6億美元，其中利用閃電貸引起的攻擊有19起，造成損失6133萬美元。因私鑰被盜引起的資產損失發生率約為4%，損失金額卻達到7.2億美元。隨著Web3的火熱發展，針對用戶和開發人員的攻擊層出不窮，尤其是針對Discord、Twitter等媒體平臺的釣魚攻擊，黑客通常會在獲取到管理員或者賬戶權限后，偽裝成管理員身份并發布釣魚鏈接。并且這些釣魚網站的制作成本非常低，在對知名NFT項目進行Copy后，通過贈送、免費等字眼誘導用戶授權，從而轉移用戶資產。而RugPull則是項目方主動作惡，上半年RugPull事件已達到42起，大部分發生在BSC鏈。

總結

盡管2022年區塊鏈技術正在飛速發展并且逐漸完善，但層出不窮的加密貨幣攻擊事件對區塊鏈生態安全態勢提出了新的挑戰。從統計數據來看，上半年發生安全事件次數較多的月份主要在5、6月；從各生態來看，BSC上安全事件發生最多；從賽道來看，損失最多的是跨鏈橋。

對此慢霧安全團隊建議：

對于機構和企業來說，最好能夠建立全面的網絡安全防護系統，防護從各個層次入侵的網絡安全威脅，并通過威脅感知體系快捷獲取病木馬、釣魚詐騙、網絡安全預警、漏洞報告在內的安全情報，一旦發生安全威脅能夠及時進行處理。

對于個人用戶來說，遵守以下安全法則及原則，可以避免大部分風險：

兩大安全法則：

零信任。簡單來說就是保持懷疑，而且是始終保持懷疑。

持續驗證。你要相信，你就必須有能力去驗證你懷疑的點，并把這種能力養成習慣。

安全原則：

網絡上的知識，凡事都參考至少兩個來源的信息，彼此佐證，始終保持懷疑。

做好隔離，也就是雞蛋不要放在一個籃子里。

對于存有重要資產的錢包，不做輕易更新，夠用就好。

所見即所簽。即你看到的內容就是你預期要簽名的內容，當你簽名發出去后，結果就應該是你預期的，絕不是事后拍斷大腿的。

重視系統安全更新，有安全更新就立即行動。

不亂下程序。

在此，十分推薦閱讀并掌握《區塊鏈黑暗森林自救手冊》。

區塊鏈發展道阻且長，期望隨著行業的不斷完善，區塊鏈可以迸發出更大的力量，走向更大的舞臺

Tags：區塊鏈NFTEFI加密貨幣區塊鏈幣幣交易元宇宙app官方版下載nftRACEFI加密貨幣是什么意思視頻

XRP