黑客攻击事件频率与市场行情走势呈现出一定的关联性
出品:成都链安 x Footprint
封面:Photo by h heyerlein on Unsplash
2022 上半年 Web3 安全态势综述
2022 年上半年,Web3 领域共监测到主要安全事件约 79 起,因各类攻击造成的损失达到了 19 亿 1287 万美元。
我们可以从以下这组数据看到上半年的 Web3 安全领域的整体概况:
上半年发生 7 起跨链桥攻击事件,共损失 11 亿 3599 万美元;
- 53% 的攻击方式为合约漏洞利用;
- 约 26.6% 的攻击方式为闪电贷;
- 上半年共发生 5 起损失过亿的安全事件;
- 整个 DeFi 市场 TVL 从 1 月初的 2760 亿美元跌到了 6 月末的 800 亿美元,下跌 71%;
- 黑客通过 Tornado Cash 共洗钱 11 亿 4070 万美元;
- 约 71% 的攻击发生在 DeFi 领域。
在第一季度和第二季度的安全报告中,我们已经从各个维度展示和分析了区块链安全领域的总体态势,包括总损失金额、被攻击项目类型、各链平台损失金额、攻击手法、资金流向、项目审计情况等。
数据一
2022 年上半年,共发生了 7 起跨链桥攻击事件
2022 年上半年,共发生了 7 起跨链桥攻击事件,共计损失金额约 11 亿 3599 万美元,占了上半年总损失金额的 59%。
数据二
53% 的攻击方式为合约漏洞利用
2022 上半年共监测到因合约漏洞造成的主要攻击案例 42 次,约 53% 的攻击方式为合约漏洞利用。
通过统计,2022 上半年共监测到因合约漏洞造成的主要攻击案例 42 次,总损失达到了 6 亿 4404 万美元。
在所有被利用的漏洞中,逻辑或函数设计不当被黑客利用次数最多,其次为验证问题、重入漏洞。
单次损失金额最高的是签名验证漏洞。2022 年 2 月 3 日,Solana 跨链桥项目 Wormhole 遭到攻击,累计损失约 3.26 亿美元。黑客利用了 Wormhole 合约中的签名验证漏洞,这个漏洞允许黑客伪造 sysvar 帐户来铸造 wETH。
单次金额损失第二的漏洞是重入漏洞。2022 年 4 月 30 日,Fei Protocol 官方的 Rari Fuse Pool 遭受闪电贷加重入攻击,总共造成了 8034 万美元的损失。
在审计过程中最常见出现的总体来说分为四大类:1.ERC721/ERC1155 重入攻击;2. 逻辑漏洞;3. 鉴权缺失;4. 价格操控。
根据 Beosin 鹰眼区块链安全态势感知平台所感知的安全事件统计,审计过程中出现的漏洞几乎都实际场景中被黑客利用过,其中合约逻辑漏洞利用仍然为主要部分。
数据三
2022 年上半年,使用闪电贷进行攻击的案例达到了 21 次
今年上半年使用闪电贷进行黑客攻击的案例总计 21 次,占比 26.6%,涉及金额高达 3 亿 3291 万美元。其中上半年影响较大的攻击手法主要有闪电贷加治理攻击,闪电贷加价格操纵攻击,闪电贷加重入攻击等。
- 2022 年 4 月 17 日,算法稳定币项目 Beanstalk Farms 遭到闪电贷加治理攻击,黑客获利 7600 万美元,协议损失达 1 亿 8200 万美元。
- 2022 年 4 月 28 日 ,多链衍生品平台 DEUS Finance 遭遇闪电贷加价格操纵攻击,造成了约 1570 万美元的损失。
- 2022 年 4 月 30 日,Fei Protocol 官方的 Rari Fuse Pool 遭受闪电贷加重入攻击,黑客获利 28380 ETH,价值约 8000 万美元。
闪电贷攻击频出不穷,那么项目方应该如何防范或者减缓闪电贷攻击呢?我们这里提出几条可能的建议:
要求关键交易跨越两个区块
如果一个资本密集型交易需要跨越至少两个区块,用户需要至少在两个区块时间段取出贷款,那么闪电贷攻击将会失效。但是要达到这一效果,两个区块之间用户价值必须锁定,以防止其偿还贷款。
时间加权平均定价(TWAP)
在价格操纵案例中,建议使用时间加权平均价格(TWAP)来跨多个区块计算流动性池中的价格。因为整个攻击交易序列需要在同一个区块内处理,但如果不操纵整个区块链就无法操纵 TWAP,从而可以避免闪电贷导致的瞬时价格异常。
更高频率的价格更新机制
同样在价格操作案例中,可以适当增加流动性池向预言机查询并更新价格的频率,随着更新次数的增加,池中代币的价格会更新得更快,并使价格操纵无效。
更严格的治理逻辑
在涉及到项目治理时,应该多方面考虑治理逻辑的严谨性,避免出现 Beanstalk Farms 那样的逻辑漏洞,一旦有个微小的漏洞,就有可能通过闪电贷无限放大,最后造成巨大的损失。
业务逻辑设计和实现时确保安全可靠
项目方在进行业务逻辑的设计和开发人员进行开发实现时,应充分考虑业务逻辑的完整性和安全性,注意极端情况。必要时,应找专业的审计机构进行审计和研究,防范各种可能的风险。
数据四
上半年共发生 5 起损失过亿的安全事件
2022 年上半年,共发生了 5 起损失过亿的安全事件,分别为:
- RoninNetwork: 6.25 亿美元
- Wormhole: 3.26 亿美元
- Beanstalk Farms: 1.82 亿美元
- Elrond: 1.13 亿美元
- Harmony: 1 亿美元
这 5 起黑客攻击事件造成的总损失就达到了 13.46 亿美元,占 2022 年上半年总损失金额的 70%。
在 Q2 的季报里,我们看到了一些项目在被攻击后 TVL 直接归零,后续也没有再重启。那么这些损失过亿的项目被攻击后都如何了呢?
Ronin: 损失 6.25 亿美元,资产已转入 Tornado Cash
3 月 29 日,Axie Infinity 的以太坊侧链 Ronin Network 遭到黑客攻击,损失约 6.25 亿美元。Ronin 侧链由 9 个验证器节点组成,要确认存款或取款,需要五个验证者签名。攻击者设法控制了 Sky Mavis 的四个 Ronin 验证器和一个由 Axie DAO 运行的第三方验证器。
攻击发生之后,Ronin 攻击者将部分盗取资金转入 Huobi、FTX、Binance、Crypto.com 等交易所,但各大交易所均发文表示将全力协助追回被盗资金。
随后,攻击者对被盗资产分散到了多个地址,并分批次通过 Tornado Cash 进行清洗。5 月 20 日,Ronin 攻击者将最后一笔盗取资金转入 Tornado Cash,所有资产清洗完成。此时的 ETH 单价已从 3,330 美元下降到了约 2,000 美元,黑客实际获利比攻击时少了 1.6 亿美元。
使用链必追-虚拟货币案件智能研判平台对被盗资金进行分析,可以看到最终所有被盗资金都流向了 Tornado Cash。
Harmony:4.2 万枚 ETH 转入 Tornado Cash
6 月 24 日,Harmony 跨链桥 Horizon Bridge 遭到攻击,损失金额逾 1 亿美元。
6 月 26 日,Harmony 创始人表示,Horizon 被攻击并非因为智能合约漏洞,而是由私钥泄露导致。资金从跨链桥的以太坊一侧被盗。虽然 Harmony 对私钥进行了加密存储,但攻击者还是解密了其中部分私钥并签名了一些未经授权的交易。
Harmony 表示已经开始联合执法部门和所有交易平台对黑客进行全球追查。与此同时,Harmony 也将黑客盗币返还让利的金额从最初的 100 万美元提升至 1000 万美元。然而黑客还是通过 Tornado Cash 对赃款进行了洗钱。
截止到 6 月 30 日,通过链必追-虚拟货币案件智能研判平台对被盗资金进行分析,可以看到黑客已将约 4.2 万枚 ETH(价值约 4620 万美元)转移至 Tornado Cash。
数据五
整个 DeFi TVL 从 1 月初的 2798 亿美元跌到了 6 月末的 824 亿美元,下跌 70.5%
整个 DeFi TVL 从 1 月初的 2798 亿美元跌到了 6 月末的 824 亿美元,半年下跌 70.5%。其中,TVL 在 5 月和 6 月累计跌幅就达到了 63.2%,光是 5 月 5 日至 5 月 13 日几天内就跌去了 44.5%。
从攻击活动损失金额和攻击次数综合来看,3 月、4 月为黑客活跃程度最高的月份,同样 3 月、4 月的 TVL 也处在半年的相对高点。5 月 TVL 骤降,黑客攻击频次和盗取金额随之大幅降低。6 月 TVL 持续降低,黑客活跃度较 5 月有所增加,但相对于 3、4 月仍是低位。
1 月 TVL 虽然处于半年来最高位,但黑客活跃程度却相对较低。通过比对 2021 年 1 月的数据,我们发现 2021 年 1 月因黑客活动造成的损失约为 25 万美元,也处于全年相对的低位。因此,2022 年 1 月黑客活跃度较低的原因或是因为 1 月是历来黑客活动的淡季。
抛开淡季的因素,黑客攻击事件与市场行情走势是有一定关联性的。链上资金的增加会吸引更多黑客的目光。
除了 DeFi 以外,NFT、GameFi 等各大赛道上半年也出现了明显的周期波动。其中 GameFi 的市值走势与加密货币市值走势(以 BTC 为例)大致趋同,均在五六月份出现了比较明显的市值缩水。而 NFT 的交易量在 2 月达到了今年上半年以来的最高峰,随后持续走低,直至上半年结束时都处于比较低迷的状态。
数据六
黑客通过 Tornado Cash 共洗钱 11 亿 4070 万美元
2022 年上半年,约有 11 亿 4070 万美元的被盗资金被黑客转进了 Tornado Cash,约占总损失金额的 60%。约有 6 亿 3536 万美元的被盗资金暂时还存放在黑客地址。
数据统计显示,2022 年上半年共有 95000 枚以太坊(约合 23 亿 4000 万美元)存入了 Tornado Cash。也就是说,存入 Tornado Cash 里的资金至少有 48.7% 都来源于黑客。这还是在假设剩余所有人使用 Tornado Cash 作为交易隐私工具的情况下。事实上还有相当一部分人使用 Tornado Cash 进行加密货币犯罪交易,此类数据不在本报告的统计范围之内。
虽然混币技术增强了链上交易的匿名性和隐私性,但也被滥用于洗钱等犯罪,混币技术增加了犯罪资产的链上追踪难度。但是黑客采用 Tornado Cash 进行洗钱过程中,也会暴露出一些数据痕迹。通过对黑客所有转到 Tornado 的地址和金额进行金额聚合,同时对单位时间内所有从 Tornado Cash 转出的目的地址和金额进行金额聚合,进而对混币充币金额与混币提币金额进行关联匹配,从而达到黑客入金地址与出金地址关联进行违法资金的追踪。
成都链安同时致力于全链条打击虚拟货币犯罪能力建设体系,提供全链条打击虚拟货币犯罪的服务+产品,在虚拟货币反洗钱和监管方面很有经验,曾协助执法机构完成数起进入 Tornado Cash 案件的技术支持。
数据七
约 71% 的攻击发生在 DeFi 领域
根据数据显示,2022 年上半年,整个区块链生态共发生 79 起较大的安全事件,其中涉及 DeFi 安全的共有 56 起,占比 71%;损失金额达 5.5 亿美元。在 web3.0 世界里,DeFi 已经成为黑客攻击的重灾区。
那么,DeFi 为何成为了 web3.0 世界里黑客攻击的重灾区呢?
第一,DeFi 活跃度高。作为区块链最火的领域,DeFi 从诞生开始就备受关注。活跃度高,参与的项目和用户自然也越多,也就更容易被黑客列为攻击目标。
第二,资金量大。统计数据显示,截止 6 月 30 日,DeFi 总锁仓量高达 824 亿美元。虽然今年以来,加密行业市值缩水,DeFi 的 TVL 也大量下滑,在加密行业整体市值下跌的大背景下,DeFi 相对来说仍保持着巨额资金。如此巨大的资金量,则无疑是对黑客最好的吸引。
第三,DeFi 业务逻辑复杂。如今,DeFi 生态越来越庞大,其业务的复杂度也越来越高。又因为 DeFi 产品之间也有较强的可组合性,这导致不同 DeFi 产品之间产生了流通性和资产共享。因此,DeFi 业务逻辑上的复杂度,加上产品之间的组合和交互,就很可能会导致一些安全问题,从而被黑客抓住其中的机会。
第四,不少开发者缺乏安全意识,低估了漏洞的风险。数据显示,上半年 DeFi 项目中共发生 33 起因合约漏洞遭受的攻击。其中,最常见的是由代码逻辑错误引发的安全问题。
全面的外部安全审计、符合安全规范的编码和测试网络环境下的模拟测试是确保 DeFi 项目安全的最佳实现。
上述提到的代码级别技术规范问题,如果在项目上线前,接受第三方安全审计,是可以将问题扼杀在摇篮之中。或许正是出于这样的考虑,许多 DeFi 项目逐渐开始认识到安全审计的重要性,并选择资质过硬的安全公司加以执行。
数据八
NFT 领域主要安全事件 10 起,损失约为 6490 万美元;
2022 年上半年,共监测到 NFT 领域主要安全事件 10 起,统计到的损失约为 6490 万美元,主要攻击方式为合约漏洞利用、私钥泄露、钓鱼等。而上半年 Discord 钓鱼事件频发,几乎每天都有 Discord 服务器受到攻击,个人用户因点击钓鱼链接而遭受损失的情况频繁发生。
NFT 合约安全
上半年发生了多起 NFT 合约相关的安全事件,主要原因还是没有进行全面的安全审计。那么 NFT 合约在审计过程中都会出现哪些常见问题呢?
成都链安审计团队在审计 NFT 系列合约时,发现 NFT 合约主要的问题包括以下几类:
(1) 签名冒用和复用:
签名数据缺少重复执行验证 (例如:缺少用户 nonce),导致可以重复使用签名数据铸造 NFT;
签名检查不合理 (例如:未检查签名者为零地址的情况),导致任意用户均可通过检查进行铸币;
(2) 逻辑漏洞:
合约管理员可以通过私募等特殊方式铸币而不受总量的限制,导致 NFT 的实际量超过预期;
拍卖 NFT 时,获胜者可在领取交易顺序依赖攻击,修改竞拍价格,导致竞拍获胜者可以低价获取 NFT;
(3) ERC721&ERC1155 重入攻击
当合约使用转账通知功能时 (onERC721Received 函数),NFT 合约会主动向转账的目标合约发送一次调用,那么这就可能导致重入攻击;
(4) 授权范围过大
用户在进行质押或者拍卖时,仅需要对单个代币授权,但合约要求_operatorApprovals 授权,一旦用户授权成功,那么就存在 NFT 被盗的风险。
(5) 价格操控
NFT 的价格依赖于某合约的代币持有量,导致攻击者利用闪电贷拉高代币价格,使得质押的 NFT 被异常清算。
从上半年发生的 NFT 合约安全事件来看,审计过程中经常出现的漏洞在实际中也会被黑客利用。因此寻求专业的安全公司对 NFT 合约进行审计也是非常有必要的。
钱包安全
区块链中钱包安全的重要性不言而喻,对于个人用户而言,今年由于钓鱼事件频发造成大量用户钱包资产被盗;对于项目方而言,今年也发生多起私钥泄露相关事件,造成大量项目资产被盗。下面将针对危害个人用户的钓鱼攻击和危害项目方的私钥泄露事件分别进行介绍。
钓鱼
目前的钓鱼手法通常会以各种方式诱骗用户对钱包授权,从而危害钱包安全,以下是几种常见的钓鱼手法:
假空投
该类钓鱼网站主要是利用假空投等手段,诱骗用户访问钓鱼网站。在用户连接钱包后,就会出现 “CLAIM NOW” 等引诱用户进行点击的按钮,用户点击之后就会对钓鱼网站的黑地址进行授权。
诱骗用户填写助记词
该类钓鱼网站主要是在网页连接钱包处,或者其他位置诱骗用户点击,之后弹出一个伪造的网页,提示用户诸如 “MetaMask 插件版本需要升级” 等信息。如果用户相信并填写了自己的钱包助记词,那么用户的私钥就会上传到攻击者服务器导致用户钱包被盗。
APP 假钱包
该类假 APP 钱包通常通过以下三种方式诱骗用户下载,第一种方式是通过购买搜索引擎的广告位,诱骗用户访问虚假的钱包官网进行下载;第二种方式是向受害者发送邮件、海报等,引诱用户下载假钱包;第三种方式是通过社工的方式,首先获取受害者信任,然后再诱骗其下载假 APP 钱包。
Discord 钓鱼
该类钓鱼方式主要是 NFT 项目的 Discord 被攻击,攻击者获取到 Discord 的管理员权限,然后在 Discord 中发布钓鱼链接,诱骗用户点击从而危害其钱包安全。或者直接获取到服务器的管理员权限,要求用户通过共享屏幕等方式进行身份验证,从而盗取用户私钥等信息。
如何有效防范钓鱼攻击?
反钓鱼插件
由于 NFT 项目的火爆,各种钓鱼网站层出不穷,仅靠用户自己进行识别已经很难防范,因此建议用户在浏览器上安装防反钓鱼插件。这类插件可以识别出用户当前访问的 web3 站点是否为钓鱼、诈骗等类型的恶意网站。
结语
从整个加密货币市场上半年行情走势来看,DeFi、NFT、GameFi 等各大赛道发展总趋势都是持续走低。整个 DeFi 总锁仓量从 1 月初的 2798 亿美元跌到了 6 月末的 824 亿美元,半年下跌 70.5%。分析发现,黑客攻击事件频率与市场行情走势呈现出一定的关联性。五六月份在 TVL 大幅缩水的情况下,黑客攻击事件相对于前几个月有所减少,更多的链上资金会吸引更多黑客的目光。
上半年发生 7 起跨链桥攻击事件,共损失 11 亿 3599 万美元。跨链桥的攻击手法主要为合约漏洞利用、私钥泄露和线下程序缺陷。对项目方而言,安全审计、线下风控、定期检查签名服务器、对签名者严格审查、版本更新时重新进行安全评估、制定漏洞赏金计划等都是保障跨链桥项目安全运行的有效手段。
在上半年的攻击事件中,约 53% 的攻击方式为合约漏洞利用。通过对审计过程中常见漏洞和实际被利用漏洞进行比对,可以发现,
另外还有 26.6% 的闪电贷攻击事件造成了 3 亿 3291 万美元的损失,除了采用一些措施如时间加权平均定价(TWAP)、更高频率的价格更新机制、更严格的治理逻辑等之外,还可使用一些工具及时监控闪电贷。
上半年,共发生了 5 起损失过亿的安全事件,而好消息是,这 5 个被攻击的项目均在一段时间后发布了补救措施并重新上线。在过往的事件里,反倒是一些资金量中小规模的项目方,在遭到了重大攻击后将会很难重启。
2022 年上半年,约有 11 亿 4070 万美元的被盗资金被黑客转进了 Tornado Cash,约占总损失金额的 60%。虽然混币技术增强了链上交易的匿名性和隐私性,但也被黑客滥用于洗钱等犯罪。Beosin 在过往的案例中,已有数次成功分析黑客数据痕迹并追踪 Tornado Cash 的经验。截止报告发布时,美国财政部已经宣布将 Tornado Cash 列入制裁名单。
免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。本文内容仅用于信息分享,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。
