2022年,區塊鏈行業迎來新的發展時期,但各類安全風險也在不斷升級。
成都鏈安新推出的《安全研究季報》欄目,將為大家盤點每季度全球區塊鏈安全態勢。
今天,跟著我們一起來回顧,2022年Q1區塊鏈安全生態都發生了什么。
2022年Q1區塊鏈安全生態概覽
安全事件造成的損失高達約12億美元
2022年第一季度,根據成都鏈安監測到的數據統計,攻擊類安全事件造成的損失高達約12億美元,較去年同期的1.3億美元上漲約9倍。同時也比2021年的任何一個季度損失的金額都要高。
2022年3月,Ronin攻擊事件造成6.25億美元資金被盜,超越2021年8月PolyNetwork被攻擊的6.1億美元,登上Defi黑客攻擊損失榜第一位。當然,不是每個項目都能像PolyNetwork一樣能夠追回資金。截止本報告撰寫時,Ronin的黑客依舊在分批次進行洗錢。
從鏈平臺來看
Ethereum和BNB依舊是被攻擊頻次最高的兩條鏈,但高攻擊頻次并不意味著高損失金額。2022年第一季度,我們監測到Solana鏈典型攻擊事件2起,損失金額卻高達3億7400萬美元,遠遠多于BNBChain上的損失。
從資金流向來看
80%的情況下,黑客都會最終將盜取資金轉入Tornado.Cash進行混幣。有10%的情況,黑客會將資金暫時留在自己的地址,有時要等待幾個月,甚至幾年才對贓款進行轉移。有少部分黑客會主動歸還盜取資金。
從攻擊手法來看
合約漏洞利用和閃電貸攻擊是黑客最常使用的手段。50%的攻擊手法為合約漏洞利用。
趙長鵬:2023年將關注合規、教育等4件事:金色財經報道,Binance首席執行官趙長鵬在社交媒體發文稱,希望讓2023年保持簡單,花更多的時間在更少的事情上,以便知道該做什么和不該做什么,2023年將重點關注四件事:1、教育,2、合規,3、產品和服務,4、忽略FUD、虛假新聞和攻擊等。CZ還表示,加密行業中沒有安全就沒有產品,而且永遠不要以金錢為目標。[2023/1/3 22:23:05]
從審計情況來看
在被攻擊的項目中,70%的項目經過了第三方安全公司的審計。然而在剩余30%未經審計的項目中,因攻擊事件遭受的損失卻占了整個損失金額的60%以上。
從項目類型來看
DEFI項目依舊是黑客攻擊的熱點領域,占了總共被攻擊項目數量的60%。而跨鏈橋雖然被攻擊的次數不多,但涉及的金額卻巨大。
Q1發生典型攻擊事件超30起
跨鏈橋類項目損失慘重
2022年第一季度,區塊鏈領域共發生典型安全事件約30起。總損失金額約為12億美元,與去年同期相比增長了823%。
在前20排名里,損失金額最高的Ronin為6.25億,約是金額最低的BuildFinance的558倍。
從統計圖表可以看到,Ronin和Wormhole兩個項目的損失金額達到了9億5000萬美元,占2022年Q1總損失金額的80%。值得注意的是,這兩者均為跨鏈橋類項目。
歐科云鏈鏈上大師《2021年度數據報告》:DAO時代開啟,NFT、DeFi與鏈游2022年將加速融合:日前,歐科云鏈鏈上大師正式發布了《2021年度數據報告》。在《元宇宙的樂高組件:NFT+GameFi,2022六大趨勢前瞻》一章中,報告綜合分析了NFT與GameFi過去一年的市場與數據表現,并提出了“以太坊與比特幣的市值差將收窄”、“多鏈格局更加成熟,應用鏈冒頭,跨鏈橋需求大增,Layer 2迎來蓬勃發展”、“機構擁抱DeFi,監管愈發重視DeFi合規”、“NFT、鏈游融入元宇宙,加速擴張”、“DAO時代開啟”、“大型公司將逐步接納Web 3.0”等六項展望。
歐科云鏈鏈上大師《2021年度數據報告》基于上萬個鏈上數據指標,內容涵蓋比特幣、以太坊、公鏈、DeFi、NFT與GameFi等多個方向,在回顧2021年加密市場重要事件與創新的同時,就2022年加密產業前景發表了多個前瞻性觀點。[2022/1/7 8:32:21]
被攻擊項目類型方面
DeFi仍為黑客攻擊的重點領域
2022年第一季度,區塊鏈領域,DeFi項目仍為黑客攻擊的重點領域,共發生19起安全事件,約60%的攻擊發生在DeFi領域。
此外,針對NFT的攻擊事件在2022年第一季度有所上升,跨鏈橋項目被攻擊了4次,造成的損失卻高達9億5000萬美元,占到2022年一季度損失金額的80%,跨鏈橋安全事件頻發,涉及金額巨大。
交易員:比特幣將成為2021年的特斯拉:兩名交易員周二表示,比特幣明年的回歸可能呈指數級增長。此前比特幣突破1.9萬美元,上漲近3.5%,收于2017年來的歷史高點。比特幣今年到目前為止已經上漲了166%,受到看漲情緒的提振,部分原因是金融科技公司,包括貝寶(Paypal)和進入加密的SquareTradingAnalysis.com創始人托德·戈登在采訪中表示:“很難賦予比特幣內在的基本價值,因為比特幣的供應非常有限。”[2020/11/25 22:01:58]
鏈平臺損失金額方面
Ethereum損失金額占比最高
2022年第一季度,Ethereum和Solana鏈上攻擊損失金額排名前2,分別為6億5448萬和3億7400萬美元。
Ethereum被攻擊的頻次也是最多的,占到了總頻次的45%;排名第二的是BNBChain,占比19%。
Solana鏈上的兩次攻擊事件都造成了巨額損失:Wormhole損失3億2600萬美元,Cashio損失4800萬美元。兩者的攻擊手法同為合約漏洞利用。
鏈平臺損失金額占比
此外,一些TVL排名靠前的公鏈在2022年第一季度未檢測到重大安全事件,如:Terra、Avalanche、Tron等。
日本2021稅制改革請愿書:對加密貨幣交易利潤征收20%申報稅:日本加密資產商業協會(JCBA)和日本加密貨幣交易協會(JVCEA)在2021年度稅制改革之際,共同匯總了關于稅制改革的請愿書。請愿書包含的要點包括:對于交易加密資產獲得的利潤,征收20%的申報稅,并要求從未來三年衍生交易相關收入中扣除損失;引入每年20萬日元以內的小額免稅制度等。(coinpost)[2020/8/3]
攻擊手法分析
合約漏洞利用和閃電貸最常見
2022年第一季度,區塊鏈安全生態領域,約50%的攻擊方式為合約漏洞利用,24%的攻擊方式為閃電貸。
有12%的攻擊為私鑰泄露、釣魚攻擊和社會工程學攻擊。此類攻擊源于項目方沒有保管好私鑰或警惕性不足。
被黑客利用的合約漏洞中,最常見的漏洞為重入漏洞,其次分別為業務邏輯不當、call注入攻擊和驗證不當或不足;其中絕大部分漏洞都可以通過安全審計盡早發現和修復。
典型安全事件分析
案例一:TreasureDAO被攻擊事件
背景:
3月3日,TreasureDAONFT交易市場被曝發現漏洞,導致100多個NFT被盜。然而在事件發生幾小時后,攻擊者卻開始歸還被盜NFT。
詳情:
交易發起者通過合約的buyItem函數傳入了數值為0的_quantity參數,從而無需費用就能購買TokenID為5490的ERC-721代幣。
動態 | 比特幣鏈上活動激增 礦工費2020年迄今已增長89%:本周比特幣的區塊鏈活動也繼續增長,達到了過去兩個月以來的最高水平。根據Arcane Research最新周報,比特幣的區塊鏈活躍度回到了去年11月的水平,在2020年激增了90%,這一發展有效地將其7天平均轉移價值推至60億美元。此外,礦工費用也呈現上升趨勢。報告指出,礦工費用到2020年為止上漲了89%。盡管市場上的價格走勢對區塊鏈活動有存在反饋循環,但后者好轉是健康的跡象。2019年,盡管BTC價格經歷了動蕩的一年,但其鏈上活動屢創新高,今年的其它幾個指標也保持了良好勢頭。(AMBCrypto)[2020/1/20]
項目合約的buyItem函數代碼
從代碼上來看,合約的buyItem函數在傳入_quantity參數后,并沒有做代幣類型判斷,直接將_quantity與_pricePerItem相乘計算出了totalPrice,因此safeTransferFrom函數可以在ERC-20代幣支付數額只有0的情況下,調用合約的buyItem函數來進行代幣購買。
然而在調用buyItem函數時,函數只對購買代幣類型進行了判斷,并沒有對代幣數量進行非0判斷,導致ERC-721類型的代幣可以在無視_quantity數值的情況下直接購買,從而實現了漏洞攻擊。
建議:
本次安全事件主要原因是ERC-1155代幣和ERC-721代幣混用導致的邏輯混亂,ERC-721代幣并沒有數量的概念,但是合約卻使用了數量來計算代幣購買價格,最后在代幣轉賬時也沒有進行分類討論。
建議開發者在開發多種代幣的銷售販賣合約時,需要根據不同代幣的特性來進行不同情況的業務邏輯設計。
案例二:BuildFinance項目遭遇治理攻擊
背景:
2月15日,DAO組織BuildFinance表示遭遇惡意治理攻擊,攻擊者通過獲得足夠多的投票成功了控制其Token合約。
詳情:
在2020年9月4日的一筆交易中,BuildFinance合約創建者通過setGovernance函數將治理權限轉移。通過查找內部的Storage,發現權限轉移給了0x38bce4b地址。繼續跟進0x38bce4b地址,發現是一個Timelock合約,而合約中可以調用setGovernance函數的只有executeTransaction函數。
BuildFinance被攻擊流程
繼續跟進發現,在2021年1月25日,0x38bce4b地址調用executeTransaction函數將權限轉移到了0x5a6ebe地址。2022年2月11日,由于投票設置的閾值較低導致提案通過,0x5a6ebe地址的治理權限變更為了0xdcc8A38A地址。在獲取到治理權限后,攻擊者惡意鑄幣并耗盡了交易池的流動性。
建議:
DAO合約應該設置合適的投票閾值,實現真正的去中心化治理,避免很少的投票數量就使得提案通過并成功執行,建議可以參考openzeppelin官方提供的治理合約的實現。
案例三:Ronin6億美元盜幣案?
背景:
3月23日,SkyMavis的Ronin驗證器節點和AxieDAO驗證器節點遭到破壞,攻擊者使用被黑的私鑰來偽造假提款,獲利約6.25億美元。而RoninNetwork直到3月29日才發現自己遭受到了攻擊。
詳情:
SkyMavis的Ronin鏈目前由9個驗證節點組成。為了識別存款事件或取款事件,需要九個驗證者簽名中的五個。攻擊者設法控制了SkyMavis的四個Ronin驗證器和一個由AxieDAO運行的第三方驗證器。此后Ronin官方表示,所有證據都表明這次攻擊或與社會工程學相關。
Ronin黑客洗錢過程
建議:
1、注意簽名服務器的安全性;
2、簽名服務在相關業務下線時,應及時更新策略,關閉對應的服務模塊,并且可以考慮棄用對應的簽名賬戶地址;
3、多簽驗證時,多簽服務之間應該邏輯隔離,獨立對簽名內容進行驗證,不能出現部分驗證者能夠直接請求其它驗證者進行簽名而不用經過驗證的情況;
4、項目方應實時監控項目資金異常情況。
被盜資金流向分析
Tornado.Cash或為黑客洗錢慣用途徑
80%的情況里,黑客在得手后,會立刻或幾天內將盜取資金轉入Tornado.Cash進行混幣。
10%的情況里,黑客會暫時將贓款留在自己地址,等待幾個月至幾年才將資金轉出。例如去年12月被盜的交易所AscendEX,黑客等到今年2月、3月才開始進行分批次洗錢。而今年Ronin的攻擊者目前依然在進行頻繁的洗錢操作。
有少部分黑客會歸還盜取資金。Cashio的攻擊者在盜取4800萬美元的資金后,公開留言表示將向價值在10萬美元以下賬戶進行退還,并聲稱“我的目的只是從不需要的人那里拿錢,而不是從需要的人那里拿錢”。
目前Tornado.cash依舊為黑客慣用的洗錢途徑。
項目審計情況分析
30%未經審計的項目損失金額占總量的60%
項目審計情況:
70%的被攻擊項目經過了第三方安全公司的審計;
30%未審計的項目,損失金額達7.2億美元,占第一季度總損失金額的60%;
項目上線之前的審計依舊重要。在未審計的項目中,50%的攻擊手法都為合約漏洞利用。因此,盡早審計和及時修復代碼漏洞,可以避免上線后項目被攻擊造成的嚴重損失。
項目審計情況及總損失金額
2022年Q1結語
安全事件頻發,涉及金額大幅增加
2022年第一季度,區塊鏈領域攻擊類安全事件造成的損失高達約12億美元,比2021年的任何一個季度損失的金額都要高。跨鏈橋項目被盜取金額巨大,DeFi項目被攻擊頻次最高,這兩個領域今后或許也是黑客重點盯上的攻擊目標。
項目方應及時關注資金異常情況,成都鏈安可以讓項目方和用戶及時發現風險交易,從而快速采取措施。例如立刻暫停相關服務,或告知用戶取消授權等,避免后續更大的損失。
項目安全審計依舊重要,約50%的攻擊方式為合約漏洞利用,這其中絕大多數漏洞都可以通過安全審計及早發現和修復。
上方為BTC價格長期走勢,下方為趨勢擺動指數走勢,我們可以看到目前該指數處于下滑狀態,不過距離下方0軸還有較大一段距離,通過研究歷史可以發現,該指數一旦跌至0軸下方.
1900/1/1 0:00:00隨著Arbitrum和Optimism等第二層協議繼續被開發和采用,以太坊擴展解決方案變得越來越普遍.
1900/1/1 0:00:00金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態。本文是項目周刊,帶您一覽本周主流項目以及明星項目的進展.
1900/1/1 0:00:00與權益證明的合并將是迄今為止對以太坊最深刻的升級,其重要性僅次于創世區塊。這將是讓世界看到一個主要的、分散的系統如何在實際上消除其碳足跡的例子.
1900/1/1 0:00:00上方為BTC長期走勢,下方為動量指數曲線,從圖中可以看出,目前該指數自去年上半年BTC見一頂后便觸及上方壓制線從高位回落,到目前整體仍是震蕩下滑的狀態,即便去年11月BTC再創新高.
1900/1/1 0:00:00通過威廉姆指數可以看出,歷史上每次該指數從高位回落至下方水平線以下,意味著BTC到達這一輪熊市的大底區域,例如2011年、2014年和2018年熊市.
1900/1/1 0:00:00