慢霧科技發布《2022區塊鏈安全與反洗錢分析年度回顧》報告,聚焦于2022年區塊鏈行業所發生的重大事件,介紹區塊鏈行業各賽道的安全狀況,延伸并提煉出常見攻擊手法,并披露其中幾種釣魚手法。接著對部分安全事件的被盜資金流向進行分析,并通過歸納總結,公布一種針對混幣器資金追蹤的高級分析方法。
由于篇幅限制,這里僅羅列分析報告中的關鍵內容,完整內容可通過文末PDF下載。
一、背景
本節分為區塊鏈安全及反洗錢兩部分。
區塊鏈安全
根據慢霧區塊鏈被黑事件檔案庫統計,2022年安全事件共303件,損失高達37.77億美元。
相比2021年的97.95億美元下降約61%,但這并不包括因市場動蕩而損失的資產。
meme代幣Pond0X發行混亂導致投資者損失數百萬美元:金色財經報道,meme代幣Pond0x(PNDX)的推出已給投資者帶來了數百萬美元的損失。來自Maestrobots交易應用程序的數據顯示,該代幣由Not Larva Labs匿名創始人“Pauly”于 7月28日推出,價格一度達到0.36美元,然后在五分鐘內跌至接近零。一些用戶通過Maestrobots或Team Unibot等機器人交易應用程序在Uniswap上購買了代幣,從而提高了其價格。與此同時,其他用戶使用網絡應用程序鑄造代幣并將其出售到市場上以獲取利潤。
根據memecoin持有者RuneCrypto的一份報告,Pond0x開發團隊涉嫌對代幣的發行處理不當,導致他們損失高達 220 萬美元,另一位用戶報告說,PNDX 的轉賬功能有缺陷,允許用戶從任何其他用戶轉賬。[2023/7/29 16:05:43]
其中各生態DeFi、跨鏈橋、NFT等安全事件255起,交易所安全事件10起,公鏈安全事件11起,錢包安全事件6起,其他類型安全事件21起。
NFT平臺X2Y2反擊Tyler Hobbs的QQL黑名單:金色財經報道,NFT市場X2Y2聲稱,被稱為QQL的項目 \"像音樂行業一樣\",阻止了用戶的交易對象。
該市場的回應是在QQL Mint Pass(一個由Fidenza的Tyler Hobbs共同創建成功的NFT項目)的代碼阻止了用戶與之交易之后作出的。
QQL鑄幣通在昨天的首次亮相中產生了價值1700萬美元的NFTs。該項目允許某人從軟件工程師Dandelion Wist和Fidenza的Tyler Hobbs創造的QQL生成算法中鑄造官方藝術品,該算法預計將向公眾發布。該項目在其智能合約代碼中寫道,阻止X2Y2的委托錢包,有效禁止與市場的交易。
X2Y2在其主題中澄清,它不是Twitter上其他人建議的0%版稅平臺,而是用戶自己可以選擇執行(或不執行)版稅。(the block)[2022/9/30 22:41:51]
Celsius拒絕向潛在投資者披露財務數據,從而失去高達60億美元的流動性救助:金色財經消息,著名投資者、BnkToTheFuture 首席執行官Simon Dixon 在一次YouTube 采訪中表示,他積累了高達 60 億美元的投資者流動性,能夠幫助解決 Celsius 的流動性問題,但在 Celsius 拒絕向潛在投資者展示其財務記錄后,導致交易破裂。Dixon 還建議 Celsius 首席執行官 Alex Mashinsky 對公司的財務狀況保持透明,并公開概述復蘇計劃,也遭到了Mashinsky的拒絕。Simon Dixon 表示,“你不追求 一輪有利可圖的投資的唯一原因是發生了其他事情”。[2022/7/13 2:09:05]
區塊鏈反洗錢
匿名性與不可逆是加密貨幣交易的天然屬性,正是這樣的原因,在加密貨幣犯罪頻發的情況下,區塊鏈反洗錢處于一個至關重要的位置,也是阻止黑客成功變現的最后防線。面對黑客無孔不入的威脅,不同的群體也不約而同的“組建”起反洗錢同盟,其中包括交易平臺/資金管理平臺/項目方、監管方和區塊鏈安全公司。2022年這些群體的反洗錢動態如何?在反洗錢分析過程中,始終存在著幾個核心的問題:發起攻擊的手續費來自哪里?洗錢的資金去了哪里?詳情見文末的PDF文件內容。
Layer2隱私跨鏈協議Zecrey與YINFinance達成合作,將允許用戶進行跨鏈收益資產管理:6月22日消息,基于ZKRollup的Layer2隱私跨鏈協議Zecrey與去中心化流動性管理協議YIN Finance達成合作,將通過集成允許YIN Finance用戶實現BNB Chain、Polygon、Arbitrum等不同鏈上的收益資產管理,同時YIN Finance旗下DAO操作系統VolcanoX計劃利用Zecrey的私人支付解決方案來管理DAO系統的資產分配。
注:Zecrey是一個基于ZK Rollup的Layer2隱私跨鏈協議,可實現不同公鏈(以太坊、Near、Solana、BNBChain等)的數字資產的跨鏈聚合和管理。3月份,Zecrey完成400萬美元天使輪融資,Spartan Group與Shima Capital領投。[2022/6/22 1:24:00]
二、區塊鏈安全現狀
本節分為區塊鏈生態安全概覽、攻擊手法、釣魚/騙局手法及損失Top10安全事件四部分。
比特幣全網未確認交易數量為14278筆:金色財經消息,BTC.com數據顯示,目前比特幣全網未確認交易數量為14278筆,全網算力為218.37 EH/s,24小時交易速率為2.80交易/秒,目前全網難度為31.25 T,預測下次難度下調1.11%至30.90 T,距離調整還剩9天17小時。[2022/5/16 3:17:29]
區塊鏈生態安全概覽
2022年最令人訝異的莫過于Terra事件了。5月8日,加密貨幣市場上出現了史上最具破壞性的一次崩盤。Terra網絡的算法穩定幣UST出現了2.85億美元的巨額拋售,引發了一系列連鎖反應。Terra的原生代幣LUNA的價格突然毫無征兆的連續跳崖式暴跌,一天時間,LUNA市值蒸發了近400億美元,全生態項目TVL也幾乎歸零。此次事件或許成為了開啟2022加密寒冬的死亡按鈕。
根據慢霧區塊鏈被黑事件檔案庫統計,2022年DeFi安全事件共183起,損失高達20.75億美元,占比2022年總損失約55%。其中,BNBChian上發生安全事件約79起,總損失金額約7.85億美元,居各鏈平臺損失金額第一位。而Ethereum上發生安全事件約50起,總損失金額約5.28億美元,其次是Solana上發生安全事件約11起,總損失金額約1.96億美元。2022年跨鏈橋安全事件共16起,損失高達12.12億美元,占比2022年總損失的32%。2022年損失上億的安全事件共10件,跨鏈橋就占了4件,大多是由于私鑰泄露導致。2022年NFT賽道安全事件約56起,損失超6544萬美元,其中大部分是由釣魚攻擊導致,占比約為39%,其次是RugPull占比約為21%,由合約漏洞或自身原因導致占比30%。
攻擊手法概覽
303起安全事件中,攻擊手法主要分為三類:由項目自身設計缺陷和各種合約漏洞引起的攻擊;包含RugPull、釣魚、Scam類型的手法;由私鑰泄露引起的資產損失。
釣魚/騙局手法
此節選取部分SlowMist于2022年披露過的釣魚/騙局手法。
1、瀏覽器惡意書簽盜取DiscordToken
2、“零元購”NFT釣魚
3、RedlineStealer木馬盜幣
4、空白支票eth_sign釣魚
5、尾號相同空投騙局
6、TransferFrom零轉賬騙局
損失Top10安全事件
此節選取了2022年損失Top10的安全事件。
1、RoninNetwork損失超6.1億美元
2、BNBChain遭到漏洞利用
3、Wormhole損失超3億美元
4、BeanstalkFarms遭閃電貸和提案攻擊
5、Wintermute損失1.6億美元
6、Nomad橋遭受黑客攻擊
7、Elrond出現安全漏洞
8、Mango因價格操縱被提取1億美元
9、Harmony損失超1億美元
10、Qubit遭攻擊損失8000萬美元
三、部分安全事件反洗錢分析
工具和方法
1、工具:MistTrack
MistTrack反洗錢追蹤系統?是一套由慢霧科技創建的專注于打擊加密貨幣洗錢活動的SaaS系統,具有資金風險評分模塊、交易行為分析模塊、資金溯源追蹤模塊、資金監控模塊等核心功能。
通過標記1千多個地址實體、2億多個地址標簽,10萬多個威脅情報地址,以及超過9000?萬個與惡意活動相關的地址,MistTrack為反洗錢分析和研究提供了全面的情報數據幫助。通過對任意錢包地址進行交易特征分析、行為畫像以及追蹤調查,MistTrack?在反洗錢分析評估工作中起到至關重要的作用。
2、方法:
從區塊鏈反洗錢資金態勢中我們可以看到很多被黑事件發生后,在ETH/BSC鏈上的資金都不約而同的流向了一片灰暗之地——Tornado.Cash,Tornado.Cash已成為ETH/BSC鏈上反洗錢的主戰場。我們將提出一個針對Tornado.Cash資金轉出的分析方法。
而在BTC鏈上,通過區塊鏈反洗錢資金態勢我們可以看到ChipMixer和Blender是黑客的常用洗錢平臺。Blender目前已被美國財政部制裁,ChipMixer流入洗錢資金量巨大,我們同樣需要提出一個針對ChipMixer資金轉出的分析方法。
反洗錢分析詳述
本小節使用MistTrack基礎分析工具對4起安全事件展開了反洗錢分析,通過反洗錢分析清晰闡述“攻擊手續費來源是什么”、“錢去了哪里”的問題,并創造性的提出了一種數據分析方法來分析Tornado.Cash和ChipMixer的提款。
四、展望
2023年在加密貨幣世界中我們還需要關注什么?
監管合規化
加強對安全審計的關注
擴容繼續升溫,多鏈和諧共存
反洗錢與鏈上追蹤分析
加強對備份的關注
零知識證明:擴容與隱私
五、寫在最后
本次報告內容基于我們對區塊鏈行業的理解、慢霧區塊鏈被黑檔案庫SlowMistHacked以及反洗錢追蹤系統MistTrack的數據支持。但由于區塊鏈的“匿名”特性,我們在此并不能保證所有數據的絕對準確性,也不能對其中的錯誤、疏漏或使用本報告引起的損失承擔責任。同時,本報告不構成任何投資建議或其他分析的根據。本報告中若有疏漏和不足之處,歡迎大家批評指正。
縱覽整個2022,“動蕩”一詞貫穿全年。盡管仍有暴雷的余震回蕩,盡管我們正在經歷寒冬,但任何事物都無法改變區塊鏈發展的方向,只有如履薄冰,認真做有利于行業發展的事情才能穩固長久。無論如何,我們仍期待著區塊鏈行業在2023年的發展。
導讀到此,完整版本,歡迎閱讀并分享:)
https://www.slowmist.com/report/2022-Blockchain-Security-and-AML-Analysis-Annual-Report(CN).pdf
緊接著臺北區塊鏈周,NFTTaipei在今日于三創生活園區盛大展開。活動首個節目便邀請到以太坊創辦人VitalikButerin及MaskNetwork創辦人SujiYan進行爐邊談話,談及了零.
1900/1/1 0:00:00最近流行幾張圖,展示了各條公鏈的開發者數,日活數據等等,讓我們直觀地看到了各條公鏈/項目之間的數據差異.
1900/1/1 0:00:00MarsBitCryptoDaily2023年1月3日 一、?今日要聞 三名GeminiEarn用戶已針對Genesis和DCG提起集體訴訟據CoinDesk報道.
1900/1/1 0:00:00AztecNetwork一直在隱私和Zero-KnowledgeRollup的交匯處進行創新。Paradigm在2021年12月領投了Aztec1,?700萬美元的A輪融資,而a16z最近領投了.
1900/1/1 0:00:00DAO2.0特別是在加入Dash的治理機制和智能合約后,隨著下一階段的區塊鏈協議,如Ethereum、EOS和Tezos的出現而誕生.
1900/1/1 0:00:00注:本文來自@elliotrades推特,MarsBit整理如下:2022年揭露了關于加密貨幣的4個基本事實: ?美聯儲控制市場 ?隱藏的杠桿是有的 ?去中心化為王 ?固定收益率是一個騙局 我.
1900/1/1 0:00:00