解讀 2022 上半年區塊鏈安全態勢及攻擊手法
我們前幾天發布了 《2022 上半年區塊鏈安全及反洗錢分析報告》,引起了熱烈反響。應眾多用戶要求,接下來我們將在「區塊鏈安全與反洗錢報告」話題裡把報告分為四篇文章來進行解讀。
本篇主要聚焦區塊鏈生態安全概覽及攻擊手法。
區塊鏈安全態勢
近兩年來,在疫情持續肆虐、經濟衰退、能源短缺、地緣衝突升級、國際間競爭加劇等種種因素的影響之下,全球社會與經濟發展遭遇了前所未有的挑戰。與此同時,全球區塊鏈行業也經歷著一場不斷加速的變革:區塊鏈技術的效率、安全性和可擴展性得到不斷改善,元宇宙、NFT 等新興領域的興起,使區塊鏈行業正式邁入 3.0 時代。
根據慢霧區塊鏈被黑事件檔案庫(SlowMist Hacked)統計,截至 6 月 30 日,2022 上半年安全事件共 187 件,損失高達 19.76 億美元。
在這些安全事件中,約 77%(144 起)源於項目自身存在漏洞被攻擊者利用,損失金額約 18.4 億美元,佔安全事件總損失的 93%;約 21%(39 起)源於包含 Phishing&Rug Pull 的 Scams,損失金額約 1.3 億美元,佔安全事件總損失的 6%。
區塊鏈生態安全概覽
根據被攻擊對象的不同,我們將 187 起安全事故分為三部分:公鏈賽道、交易平台和其他。
公鏈賽道
作為區塊鏈行業的基礎設施,公鏈承載了人們對於區塊鏈作為 Web3 底層網絡的期望。隨著一代又一代公鏈的崛起,NFT、DeFi、GameFi、元宇宙等生態熱潮也相繼迎來爆發,同時這些項目也促進了公鏈的發展與價值提升,使多鏈世界從理想走向了現實。據 Footprint Analytics 的數據,截至 6 月累計已收錄的公鏈數量有 119 條,對比 2021 年 6 月收錄的 31 條,同比增長約 284%。
但公鏈的快速發展同時是一把雙刃劍,在促進產業進步的同時,引發的區塊鏈安全問題也顯著增加,我們分別從 DeFi、NFT、跨鏈橋三方面解析。
1.DeFi 生態
DeFi 作為世界上最受歡迎的可編程區塊鏈,2022 發展態勢不可小覷,據 DeFi Llama 數據顯示,6 月 30 日 DeFi 總鎖倉價值為 1432 億美元,其中 ETH 鏈以 945.5 億美元的 TVL(Total Value Locked)佔據了資金沉澱的半壁江山,其次是 BSC 鏈的 110.8 億美元。2021 年以來,許多新興公鏈如 Solana、Avalanche 等通過擁抱 DeFi 快速發展鏈上生態,也吸引了大量用戶和資金沉澱。6 月 30 日 Solana TVL 為 26.4 億美元,同比增長 77%;Avalanche TVL 為 55.4 億美元,同比增長 96%。
隨著 DeFi 熱潮的興起,該領域也自然成為了黑客覬覦的重點對象。根據 SlowMist Hacked 統計,截至 6 月 30 日 DeFi 安全事件約 100 起,損失超 16.3 億美元。其中在 BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨鏈橋上發生的安全事件數量分別為 47 起、29 起、8 起、5 起、2 起、1 起、7 起,所造成損失分別為 1.4 億美元、3.08 億美元、5491 萬美元、6383 萬美元、1310 萬美元、830 萬美元、10.43 億美元。
2.NFT 生態
基於區塊鏈技術的 NFT 也是需要重點關注的對象,隨著一批頭部 NFT 項目的崛起和各路名人的參與,NFT 極速發展。根據 Dune Analytics 的數據,OpenSea 的交易量在 1 月份達到上半年最高峰 2.84 億美元,而隨著加密貨幣市場的變化,OpenSea 在 6 月份的交易量只有 1558 萬美元,下滑 94%。在 NFT 的熱潮中,目前以太坊生態的 NFT 在市值和交易量依舊佔據市場的主流,交易量超 90%。除了以太坊外,從近 30 天交易量和近 7 天交易量這些短期數據來看,Solana,Flow 等生態的 NFT 也正在快速發展,且表現亮眼,多鏈時代距離我們越來越近。
蓬勃發展的同時意味著賽道發生的安全事故也不在少數,根據 SlowMist Hacked 不完全統計,截至 6 月 30 日 NFT 賽道安全事件約 48 起,損失超 6281 萬美元。其中 33.4%(16 起)源於項目自身存在的漏洞被攻擊者利用,20.8%(10 起)源於 Rug Pull, 而釣魚攻擊佔了大部分,佔比為 45.8%(22 起),多數都是由於 Discord/Twitter 等媒體平台被黑後黑客發布釣魚鏈接。
並且隨著時間推移,不法分子的攻擊逐漸猖獗,根據 TRM Labs 發布的報告,在 5、6 兩個月,由 TRM Labs 社區主導的詐騙報告平台 Chainabuse 收到了超過 100 份關於 Discord 黑客攻擊的報告;自 5 月以來,NFT 社區損失約 2200 萬美元;6 月,黑客在被黑的 Discord 中發布 NFT 相關的釣魚攻擊同比增加了 55%。
3. 跨鏈橋
隨著區塊鏈的發展,目前已經進入一個以太坊為核心多鏈並存的局面,鏈與鏈之間的資產轉移、 智能合約的跨鏈交互已成為鏈上活動的日常,跨鏈橋作為區塊鏈基礎設施的地位越發凸顯。根據 Dune Analytics 數據,截至 6 月 30 日以太坊中 15 個主要跨鏈橋的鎖定總價值(TVL)約 83.9 億美元。目前 TVL 最高的是 Polygon Bridges(35 億美元),排名第二的是 Arbitrum Bridge(18.93 億美元),隨後是 Avalanche Bridge(12.41 億美元)。
由於流動資金量大,去中心化程度低,權限幾乎都掌握在多簽錢包中等特性,跨鏈橋也成了黑客眼中的 “香餑餑”。根據 SlowMist Hacked 統計,截至 6 月 30 日跨鏈橋安全事件共 7 起,損失高達 10.43 億美元,佔比 DeFi 上半年總損失的 64%,佔比上半年總損失的 53%。值得注意的是上半年,損失金額上億美元的事件 4 起中就有 3 起來自跨鏈橋。作為多鏈生態的重要基礎設施,跨鏈橋一方面承擔著巨量的資金流動,為用戶帶來了極大的便利,另一方面在安全性和去中心化水平上面臨許多挑戰,需要項目方提升安全、風控等能力。
交易平台
加密貨幣行業一直處在監管漩渦中,首當其衝的就是加密貨幣交易平台。交易平台發生的安全事故分析如下:以全球交易量最大的平台 Binance 為例,自 2021 年來,Binance 已遭到數十個國家和地區的監管警告,包括歐洲、美洲、 亞洲在內的多個地區。在全球強力監管信號下,Binance 陸續在西班牙、法國、阿布扎比、迪拜、意大利、巴林等國家或地區獲得了監管許可並進行了註冊,逐步推進其合規化進程。
在上半年,全球共發生 4 起交易平台安全事件,損失超 7770 萬美元,具體如下:
- 1 月 9 日,LCX 技術團隊在 LCX 交易平台上檢測到一個未經授權的訪問,總共約 794 萬美元的加密資產被盜。
- 1 月 17 日,Crypto.com 少數用戶遭到未經授權提款,損失約 3400 萬美元,包括 4,836.26 ETH、443.93 BTC 和約 66,200 美元的其他加密貨幣。
- 2 月 8 日,LockBit 勒索軟件團伙稱從加密貨幣交易平台 PayBito 竊取了大量客戶數據。
- 2 月 12 日,來自美國南達科他州提供自主退休金賬戶的 IRA Financial Trust 對加密交易平台 Gemini 提起訴訟,指控稱由 Gemini 保管的屬於客戶退休賬戶的 3600 萬美元加密資產被盜。
慢霧安全團隊建議各大交易平台健全內部管理與技術機制,通過引入安全審計機制、零信任機制、冷熱資產安全解決方案等來加強對數字資產的安全保障。
其他
不法分子看中加密貨幣的匿名性,區塊鏈已成為網絡黑產的新風口,呈現出越來越明顯的組織化與專業化趨勢,“勒索”、“欺詐” 及 “盜竊” 已成為加密貨幣巨大安全威脅。據中國人民銀行支付結算司數據,2021 年涉詐款項的支付方式中,利用加密貨幣進行支付僅次於銀行轉賬,排名第二位,高達 7.5 億美元;而 2020 年、2019 年僅為 1.3、0.3 億美元,逐年大幅增長的趨勢明顯。值得關注的是,加密貨幣轉賬在 “殺豬盤” 詐騙中增長迅速。2021 年 “殺豬盤” 詐騙資金中 1.39 億美元使用加密貨幣支付,是 2020 年的 5 倍、2019 年的 25 倍。
攻擊手法概覽
以上 187 起安全事件中,攻擊手法主要分為四類:由項目自身設計缺陷和各種合約漏洞引起的攻擊;包含 Rug Pull、釣魚攻擊等手法的 Scam;由於私鑰洩露引起的資產損失;前端惡意攻擊,這四種主要攻擊手法佔比安全事件總數量的 95%。
上半年由項目自身設計缺陷和各種合約漏洞引起的攻擊共 92 起,造成損失 10.6 億美元,其中利用閃電貸引起的攻擊有 19 起,造成損失 6133 萬美元。因私鑰被盜引起的資產損失發生率約為 4%,損失金額卻達到 7.2 億美元。隨著 Web3 的火熱發展,針對用戶和開發人員的攻擊層出不窮,尤其是針對 Discord、Twitter 等媒體平台的釣魚攻擊,黑客通常會在獲取到管理員或者賬戶權限後,偽裝成管理員身份並發布釣魚鏈接。並且這些釣魚網站的製作成本非常低,在對知名 NFT 項目進行 Copy 後,通過贈送、免費等字眼誘導用戶授權,從而轉移用戶資產。而 Rug Pull 則是項目方主動作惡,上半年 Rug Pull 事件已達到 42 起,大部分發生在 BSC 鏈。
總結
儘管 2022 年區塊鏈技術正在飛速發展並且逐漸完善,但層出不窮的加密貨幣攻擊事件對區塊鏈生態安全態勢提出了新的挑戰。從統計數據來看,上半年發生安全事件次數較多的月份主要在 5、6 月;從各生態來看,BSC 上安全事件發生最多;從賽道來看,損失最多的是跨鏈橋。
對此慢霧安全團隊建議:
對於機構和企業來說,最好能夠建立全面的網絡安全防護系統,防護從各個層次入侵的網絡安全威脅,並通過威脅感知體系快捷獲取病毒木馬、釣魚詐騙、網絡安全預警、漏洞報告在內的安全情報,一旦發生安全威脅能夠及時進行處理。
對於個人用戶來說,遵守以下安全法則及原則,可以避免大部分風險:
兩大安全法則:
- 零信任。簡單來說就是保持懷疑,而且是始終保持懷疑。
- 持續驗證。你要相信,你就必須有能力去驗證你懷疑的點,並把這種能力養成習慣。
安全原則:
- 網絡上的知識,凡事都參考至少兩個來源的信息,彼此佐證,始終保持懷疑。
- 做好隔離,也就是雞蛋不要放在一個籃子裡。
- 對於存有重要資產的錢包,不做輕易更新,夠用就好。
- 所見即所簽。即你看到的內容就是你預期要簽名的內容,當你簽名發出去後,結果就應該是你預期的,絕不是事後拍斷大腿的。
- 重視系統安全更新,有安全更新就立即行動。
- 不亂下程序。
在此,十分推薦閱讀並掌握《區塊鏈黑暗森林自救手冊》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)。
區塊鏈發展道阻且長,期望隨著行業的不斷完善,區塊鏈可以迸發出更大的力量,走向更大的舞台。
完整報告下載:
https://www.slowmist.com/report/first-half-of-the-2022-report.pdf
免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。本文內容僅用於信息分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
