速讀慢霧 2022 區塊鏈安全及反洗錢年度報告_MIST

慢霧科技發布《2022區塊鏈安全與反洗錢分析年度回顧》報告，聚焦于2022年區塊鏈行業所發生的重大事件，介紹區塊鏈行業各賽道的安全狀況，延伸并提煉出常見攻擊手法，并披露其中幾種釣魚手法。接著對部分安全事件的被盜資金流向進行分析，并通過歸納總結，公布一種針對混幣器資金追蹤的高級分析方法。

由于篇幅限制，這里僅羅列分析報告中的關鍵內容，完整內容可通過?PDF下載。

一、背景

本節分為區塊鏈安全及反洗錢兩部分。

區塊鏈安全

根據慢霧區塊鏈被黑事件檔案庫統計，2022年安全事件共303件，損失高達37.77億美元。

相比2021年的97.95億美元下降約61%，但這并不包括因市場動蕩而損失的資產。

Near Foundation對Cosmose完成戰略投資:金色財經報道，Cosmose AI 宣布正在與 Near 合作，Near 是與以太坊競爭的區塊鏈協議之一。兩人正在建立一個支付系統，允許用戶以低交易費用使用加密貨幣購物，為買賣雙方節省資金。作為合作伙伴關系的一部分，支持協議生態系統開發的 Near 非營利機構Near Foundation已對 Cosmose 進行了戰略投資。該輪融資金額未公開，將公司的估值從 2020 年 A 輪融資時的 1 億美元提升至 5 億美元。[2023/4/24 14:23:23]

其中各生態DeFi、跨鏈橋、NFT等安全事件255起，交易所安全事件10起，公鏈安全事件11起，錢包安全事件6起，其他類型安全事件21起。

區塊鏈反洗錢

匿名性與不可逆是加密貨幣交易的天然屬性，正是這樣的原因，在加密貨幣犯罪頻發的情況下，區塊鏈反洗錢處于一個至關重要的位置，也是阻止黑客成功變現的最后防線。面對黑客無孔不入的威脅，不同的群體也不約而同的「組建」起反洗錢同盟，其中包括交易平臺/資金管理平臺/項目方、監管方和區塊鏈安全公司。2022上半年這些群體的反洗錢動態如何？在反洗錢分析過程中，始終存在著幾個核心的問題：發起攻擊的手續費來自哪里？洗錢的資金去了哪里？詳情見文末的PDF文件內容。

疑似Bitkeep黑客地址現有約500萬美元穩定幣，目前仍有資金持續進入:12月26日消息，鏈上數據顯示，疑似Bitkeep黑客地址（0x36225a2721DCb124F3E185d3c177049813b279ba）目前有4977381.18枚BSC-USD和0.54枚DAI，總價值約合498萬美元，目前仍有資金持續進入。

此外，Supremacy安全團隊在推特上表示，北京時間11點，BitKeep黑客正在通過SideShift和FixedFloat進行混幣，目前已轉出652 BNB和236010枚穩定幣（USDT、DAI）。

金色財經此前報道，多名Bitkeep用戶在其官方Telegarm群中稱其資金被盜，BitKeep團隊稱用戶資金被盜疑似因下載了被黑客劫持的APK版本。[2022/12/26 22:08:14]

二、區塊鏈安全現狀

本節分為區塊鏈生態安全概覽、攻擊手法、釣魚/騙局手法及損失Top10安全事件四部分。

Ooki DAO正在考慮應對美國CFTC的訴訟:金色財經報道，Ooki DAO已經開始在社區內討論如何應對美國商品期貨交易委員會（CFTC）最近對DAO提起的訴訟。DAO成員現在正在討論對CFTC訴訟的適當回應。其中一個涉及將資金分配給DAO成員的法律顧問。

Ooki社區也在醞釀為可能提出的法律挑戰籌集額外資金的想法。發起這些討論的DAO成員提出的一個可能途徑是在Gitcoin上提交一個撥款提案，為法律辯護籌集資金。此外，NFTs也被確定為DAO法律辯護的另一個可能的籌款途徑。社區正在討論發布NFT的可能性，以便為這項工作籌集資金。

此前消息，CFTC在美國加州北區地方法院對OokiDAO提起訴訟，指控其非法經營期貨交易所。（The Block）[2022/9/29 6:02:17]

區塊鏈生態安全概覽

2022年最令人訝異的莫過于Terra事件了。5月8日，加密貨幣市場上出現了史上最具破壞性的一次崩盤。Terra網絡的算法穩定幣UST出現了2.85億美元的巨額拋售，引發了一系列連鎖反應。Terra的原生代幣LUNA的價格突然毫無征兆的連續跳崖式暴跌，一天時間，LUNA市值蒸發了近400億美元，全生態項目TVL也幾乎歸零。此次事件或許成為了開啟2022加密寒冬的死亡按鈕。

阿根廷Neobank Uala推出加密貨幣交易服務:金色財經報道，由喬治索羅斯支持的阿根廷銀行Neobank Uala已為其在阿根廷的用戶推出了加密貨幣交易服務。忠誠度最高的公司客戶現在可以通過 Uala 的平臺交易、購買和出售比特幣和以太幣。預計該服務將在未來幾周內擴展到所有客戶。[2022/11/8 12:32:40]

根據慢霧區塊鏈被黑事件檔案庫統計，2022年DeFi安全事件共183起，損失高達20.75億美元，占比2022年總損失約55%。其中，BNBChian上發生安全事件約79起，總損失金額約7.85億美元，居各鏈平臺損失金額第一位。而Ethereum上發生安全事件約50起，總損失金額約5.28億美元，其次是Solana上發生安全事件約11起，總損失金額約1.96億美元。2022年跨鏈橋安全事件共16起，損失高達12.12億美元，占比2022年總損失的32%。2022年損失上億的安全事件共10件，跨鏈橋就占了4件，大多是由于私鑰泄露導致。2022年NFT賽道安全事件約56起，損失超6544萬美元，其中大部分是由釣魚攻擊導致，占比約為39%，其次是RugPull占比約為21%，由合約漏洞或自身原因導致占比30%。

Arrington Capital為Moonbeam生態系統推出1億美元的成長基金:金色財經報道，管理超過16億美元的加密投資公司Arrington Capital與Moonbeam基金會合作，為Polkadot的 EVM 兼容 Moonbeam 平行鏈設立了一個新的 1 億美元生態系統基金。Arrington Moonbeam 增長基金將為 Moonbeam 網絡上的新公司和協議提供資金，針對廣泛的垂直領域，包括DeFi市場、NFT和游戲。該基金已經為兩個未披露的項目部署了資金。

Moonbeam 于 1 月啟動，目前有 100 個項目正在運行或準備啟動。據該網絡稱，在前五個月，Moonbeam 用戶完成了超過 650 萬筆交易，開發人員部署了超過 5,000 個智能合約。

上個月，該公司從其網站上清理了一個新的 1 億美元基金，該基金與 Terra 收益生成協議 Anchor 相關，該協議因受危機影響的美元穩定幣而遭受重大損失。Arrington表示，移除是由于需求減少。（Coindesk）[2022/6/9 4:12:12]

攻擊手法概覽

303起安全事件中，攻擊手法主要分為三類：由項目自身設計缺陷和各種合約漏洞引起的攻擊；包含RugPull、釣魚、Scam類型的手法；由私鑰泄露引起的資產損失。

釣魚/騙局手法

此節選取部分SlowMist于2022年披露過的釣魚/騙局手法。

1、瀏覽器惡意書簽盜取DiscordToken

2、零元購NFT釣魚

3、RedlineStealer木馬盜幣

4、空白支票eth_sign釣魚

5、尾號相同空投騙局

6、TransferFrom零轉賬騙局

損失Top10安全事件

此節選取了2022年損失Top10的安全事件。

1、RoninNetwork損失超6.1億美元

2、BNBChain遭到漏洞利用

3、Wormhole損失超3億美元

4、BeanstalkFarms遭閃電貸和提案攻擊

5、Wintermute損失1.6億美元

6、Nomad橋遭受黑客攻擊

7、Elrond出現安全漏洞

8、Mango因價格操縱被提取1億美元

9、Harmony損失超1億美元

10、Qubit遭攻擊損失8000萬美元

三、部分安全事件反洗錢分析

工具和方法

1、工具：MistTrack

MistTrack反洗錢追蹤系統?是一套由慢霧科技創建的專注于打擊加密貨幣洗錢活動的SaaS系統，具有資金風險評分模塊、交易行為分析模塊、資金溯源追蹤模塊、資金監控模塊等核心功能。

通過標記1千多個地址實體、2億多個地址標簽，10萬多個威脅情報地址，以及超過9000?萬個與惡意活動相關的地址，MistTrack為反洗錢分析和研究提供了全面的情報數據幫助。通過對任意錢包地址進行交易特征分析、行為畫像以及追蹤調查，MistTrack?在反洗錢分析評估工作中起到至關重要的作用。

2、方法：

從區塊鏈反洗錢資金態勢中我們可以看到很多被黑事件發生后，在ETH/BSC鏈上的資金都不約而同的流向了一片灰暗之地——Tornado.Cash，Tornado.Cash已成為ETH/BSC鏈上反洗錢的主戰場。我們將提出一個針對Tornado.Cash資金轉出的分析方法。

而在BTC鏈上，通過區塊鏈反洗錢資金態勢我們可以看到ChipMixer和Blender是黑客的常用洗錢平臺。Blender目前已被美國財政部制裁，ChipMixer流入洗錢資金量巨大，我們同樣需要提出一個針對ChipMixer資金轉出的分析方法。

反洗錢分析詳述

本小節使用MistTrack基礎分析工具對4起安全事件展開了反洗錢分析，通過反洗錢分析清晰闡述「攻擊手續費來源是什么」、「錢去了哪里」的問題，并創造性的提出了一種數據分析方法來分析Tornado.Cash和ChipMixer的提款。

四、展望

2023年在加密貨幣世界中我們還需要關注什么？

監管合規化加強對安全審計的關注擴容繼續升溫，多鏈和諧共存反洗錢與鏈上追蹤分析加強對備份的關注零知識證明：擴容與隱私

五、寫在最后

本次報告內容基于我們對區塊鏈行業的理解、慢霧區塊鏈被黑檔案庫SlowMistHacked以及反洗錢追蹤系統MistTrack的數據支持。但由于區塊鏈的「匿名」特性，我們在此并不能保證所有數據的絕對準確性，也不能對其中的錯誤、疏漏或使用本報告引起的損失承擔責任。同時，本報告不構成任何投資建議或其他分析的根據。本報告中若有疏漏和不足之處，歡迎大家批評指正。

縱覽整個2022，「動蕩」一詞貫穿全年。盡管仍有暴雷的余震回蕩，盡管我們正在經歷寒冬，但任何事物都無法改變區塊鏈發展的方向，只有如履薄冰，認真做有利于行業發展的事情才能穩固長久。無論如何，我們仍期待著區塊鏈行業在2023年的發展。

Tags：區塊鏈ISTBEAMIST區塊鏈可以看著是什么FISTXAUTBEAR價格mist幣怎么質押

歐易交易所app下載