黑客攻擊事件頻率與市場行情走勢呈現出一定的關聯性

出品:成都鏈安 x Footprint 

封面: Photo by h heyerlein on Unsplash

2022 上半年 Web3 安全態勢綜述

2022 年上半年,Web3 領域共監測到主要安全事件約 79 起,因各類攻擊造成的損失達到了 19 億 1287 萬美元。

圖片
上半年安全事件數量及損失金額

我們可以從以下這組數據看到上半年的 Web3 安全領域的整體概況:

上半年發生 7 起跨鏈橋攻擊事件,共損失 11 億 3599 萬美元;

  • 53% 的攻擊方式為合約漏洞利用;
  • 約 26.6% 的攻擊方式為閃電貸;
  • 上半年共發生 5 起損失過億的安全事件;
  • 整個 DeFi 市場 TVL 從 1 月初的 2760 億美元跌到了 6 月末的 800 億美元,下跌 71%;
  • 黑客通過 Tornado Cash 共洗錢 11 億 4070 萬美元;
  • 約 71% 的攻擊發生在 DeFi 領域。

在第一季度和第二季度的安全報告中,我們已經從各個維度展示和分析了區塊鏈安全領域的總體態勢,包括總損失金額、被攻擊項目類型、各鏈平台損失金額、攻擊手法、資金流向、項目審計情況等。

數據一

2022 年上半年,共發生了 7 起跨鏈橋攻擊事件

2022 年上半年,共發生了 7 起跨鏈橋攻擊事件,共計損失金額約 11 億 3599 萬美元,佔了上半年總損失金額的 59%。

圖片
上半年跨鏈橋損失金額(按項目)
圖片
上半年跨鏈橋損失金額(按鏈平台)

數據二

53% 的攻擊方式為合約漏洞利用

2022 上半年共監測到因合約漏洞造成的主要攻擊案例 42 次,約 53% 的攻擊方式為合約漏洞利用。

通過統計,2022 上半年共監測到因合約漏洞造成的主要攻擊案例 42 次,總損失達到了 6 億 4404 萬美元。

在所有被利用的漏洞中,邏輯或函數設計不當被黑客利用次數最多,其次為驗證問題、重入漏洞。

圖片
各漏洞利用次數及造成的損失金額

單次損失金額最高的是簽名驗證漏洞。2022 年 2 月 3 日,Solana 跨鏈橋項目 Wormhole 遭到攻擊,累計損失約 3.26 億美元。黑客利用了 Wormhole 合約中的簽名驗證漏洞,這個漏洞允許黑客偽造 sysvar 帳戶來鑄造 wETH。

單次金額損失第二的漏洞是重入漏洞。2022 年 4 月 30 日,Fei Protocol 官方的 Rari Fuse Pool 遭受閃電貸加重入攻擊,總共造成了 8034 萬美元的損失。

在審計過程中最常見出現的總體來說分為四大類:1.ERC721/ERC1155 重入攻擊;2. 邏輯漏洞;3. 鑑權缺失;4. 價格操控。

根據 Beosin  鷹眼區塊鏈安全態勢感知平台所感知的安全事件統計,審計過程中出現的漏洞幾乎都實際場景中被黑客利用過,其中合約邏輯漏洞利用仍然為主要部分。

數據三

2022 年上半年,使用閃電貸進行攻擊的案例達到了 21 次

今年上半年使用閃電貸進行黑客攻擊的案例總計 21 次,佔比 26.6%,涉及金額高達 3 億 3291 萬美元。其中上半年影響較大的攻擊手法主要有閃電貸加治理攻擊,閃電貸加價格操縱攻擊,閃電貸加重入攻擊等。

圖片
上半年各月閃電貸攻擊次數及損失金額
圖片
各鏈平台閃電貸攻擊頻次及損失金額
  1. 2022 年 4 月 17 日,算法穩定幣項目 Beanstalk Farms 遭到閃電貸加治理攻擊,黑客獲利 7600 萬美元,協議損失達 1 億 8200 萬美元。
  2. 2022 年 4 月 28 日 ,多鏈衍生品平台 DEUS Finance 遭遇閃電貸加價格操縱攻擊,造成了約 1570 萬美元的損失。
  3. 2022 年 4 月 30 日,Fei Protocol 官方的 Rari Fuse Pool 遭受閃電貸加重入攻擊,黑客獲利 28380 ETH,價值約 8000 萬美元。

閃電貸攻擊頻出不窮,那麼項目方應該如何防範或者減緩閃電貸攻擊呢?我們這裡提出幾條可能的建議:

要求關鍵交易跨越兩個區塊

如果一個資本密集型交易需要跨越至少兩個區塊,用戶需要至少在兩個區塊時間段取出貸款,那麼閃電貸攻擊將會失效。但是要達到這一效果,兩個區塊之間用戶價值必須鎖定,以防止其償還貸款。

時間加權平均定價(TWAP)

在價格操縱案例中,建議使用時間加權平均價格(TWAP)來跨多個區塊計算流動性池中的價格。因為整個攻擊交易序列需要在同一個區塊內處理,但如果不操縱整個區塊鏈就無法操縱 TWAP,從而可以避免閃電貸導致的瞬時價格異常。

更高頻率的價格更新機制

同樣在價格操作案例中,可以適當增加流動性池向預言機查詢並更新價格的頻率,隨著更新次數的增加,池中代幣的價格會更新得更快,並使價格操縱無效。

更嚴格的治理邏輯

在涉及到項目治理時,應該多方面考慮治理邏輯的嚴謹性,避免出現 Beanstalk Farms 那樣的邏輯漏洞,一旦有個微小的漏洞,就有可能通過閃電貸無限放大,最後造成巨大的損失。

業務邏輯設計和實現時確保安全可靠

項目方在進行業務邏輯的設計和開發人員進行開發實現時,應充分考慮業務邏輯的完整性和安全性,注意極端情況。必要時,應找專業的審計機構進行審計和研究,防範各種可能的風險。

數據四

上半年共發生 5 起損失過億的安全事件

2022 年上半年,共發生了 5 起損失過億的安全事件,分別為:

  • RoninNetwork: 6.25 億美元
  • Wormhole: 3.26 億美元
  • Beanstalk Farms: 1.82 億美元
  • Elrond: 1.13 億美元
  • Harmony: 1 億美元

這 5 起黑客攻擊事件造成的總損失就達到了 13.46 億美元,佔 2022 年上半年總損失金額的 70%。

在 Q2 的季報裡,我們看到了一些項目在被攻擊後 TVL 直接歸零,後續也沒有再重啟。那麼這些損失過億的項目被攻擊後都如何了呢?

Ronin: 損失 6.25 億美元,資產已轉入 Tornado Cash

3 月 29 日,Axie Infinity 的以太坊側鏈 Ronin Network 遭到黑客攻擊,損失約 6.25 億美元。Ronin 側鏈由 9 個驗證器節點組成,要確認存款或取款,需要五個驗證者簽名。攻擊者設法控制了 Sky Mavis 的四個 Ronin 驗證器和一個由 Axie DAO 運行的第三方驗證器。

攻擊發生之後,Ronin 攻擊者將部分盜取資金轉入 Huobi、FTX、Binance、Crypto.com 等交易所,但各大交易所均發文表示將全力協助追回被盜資金。

隨後,攻擊者對被盜資產分散到了多個地址,並分批次通過 Tornado Cash 進行清洗。5 月 20 日,Ronin 攻擊者將最後一筆盜取資金轉入 Tornado Cash,所有資產清洗完成。此時的 ETH 單價已從 3,330 美元下降到了約 2,000 美元,黑客實際獲利比攻擊時少了 1.6 億美元。

使用鏈必追-虛擬貨幣案件智能研判平台對被盜資金進行分析,可以看到最終所有被盜資金都流向了 Tornado Cash。

圖片

Harmony:4.2 萬枚 ETH 轉入 Tornado Cash

6 月 24 日,Harmony 跨鏈橋 Horizon Bridge 遭到攻擊,損失金額逾 1 億美元。

6 月 26 日,Harmony 創始人表示,Horizon 被攻擊並非因為智能合約漏洞,而是由私鑰洩露導致。資金從跨鏈橋的以太坊一側被盜。雖然 Harmony 對私鑰進行了加密存儲,但攻擊者還是解密了其中部分私鑰並簽名了一些未經授權的交易。

Harmony 表示已經開始聯合執法部門和所有交易平台對黑客進行全球追查。與此同時,Harmony 也將黑客盜幣返還讓利的金額從最初的 100 萬美元提升至 1000 萬美元。然而黑客還是通過 Tornado Cash 對贓款進行了洗錢。

截止到 6 月 30 日,通過鏈必追-虛擬貨幣案件智能研判平台對被盜資金進行分析,可以看到黑客已將約 4.2 萬枚 ETH(價值約 4620 萬美元)轉移至 Tornado Cash。

圖片

數據五

整個 DeFi TVL 從 1 月初的 2798 億美元跌到了 6 月末的 824 億美元,下跌 70.5%

整個 DeFi TVL 從 1 月初的 2798 億美元跌到了 6 月末的 824 億美元,半年下跌 70.5%。其中,TVL 在 5 月和 6 月累計跌幅就達到了 63.2%,光是 5 月 5 日至 5 月 13 日幾天內就跌去了 44.5%。

從攻擊活動損失金額和攻擊次數綜合來看,3 月、4 月為黑客活躍程度最高的月份,同樣 3 月、4 月的 TVL 也處在半年的相對高點。5 月 TVL 驟降,黑客攻擊頻次和盜取金額隨之大幅降低。6 月 TVL 持續降低,黑客活躍度較 5 月有所增加,但相對於 3、4 月仍是低位。

1 月 TVL 雖然處於半年來最高位,但黑客活躍程度卻相對較低。通過比對 2021 年 1 月的數據,我們發現 2021 年 1 月因黑客活動造成的損失約為 25 萬美元,也處於全年相對的低位。因此,2022 年 1 月黑客活躍度較低的原因或是因為 1 月是歷來黑客活動的淡季。

拋開淡季的因素,黑客攻擊事件與市場行情走勢是有一定關聯性的。鏈上資金的增加會吸引更多黑客的目光。

圖片
上半年 DeFi 損失金額及 TVL 走勢
圖片
上半年 DeFi 被攻擊次數及 TVL 走勢

除了 DeFi 以外,NFT、GameFi 等各大賽道上半年也出現了明顯的周期波動。其中 GameFi 的市值走勢與加密貨幣市值走勢(以 BTC 為例)大致趨同,均在五六月份出現了比較明顯的市值縮水。而 NFT 的交易量在 2 月達到了今年上半年以來的最高峰,隨後持續走低,直至上半年結束時都處於比較低迷的狀態。

圖片
以太坊 NFT 市場交易量走勢
圖片
上半年 GameFi 及 BTC 市值走勢

數據六

黑客通過 Tornado Cash 共洗錢 11 億 4070 萬美元

2022 年上半年,約有 11 億 4070 萬美元的被盜資金被黑客轉進了 Tornado Cash,約佔總損失金額的 60%。約有 6 億 3536 萬美元的被盜資金暫時還存放在黑客地址。

圖片
上半年被盜資金流向

數據統計顯示,2022 年上半年共有 95000 枚以太坊(約合 23 億 4000 萬美元)存入了 Tornado Cash。也就是說,存入 Tornado Cash 裡的資金至少有 48.7% 都來源於黑客。這還是在假設剩餘所有人使用 Tornado Cash 作為交易隱私工具的情況下。事實上還有相當一部分人使用 Tornado Cash 進行加密貨幣犯罪交易,此類數據不在本報告的統計範圍之內。

雖然混幣技術增強了鏈上交易的匿名性和隱私性,但也被濫用於洗錢等犯罪,混幣技術增加了犯罪資產的鏈上追踪難度。但是黑客採用 Tornado Cash 進行洗錢過程中,也會暴露出一些數據痕跡。通過對黑客所有轉到 Tornado 的地址和金額進行金額聚合,同時對單位時間內所有從 Tornado Cash 轉出的目的地址和金額進行金額聚合,進而對混幣充幣金額與混幣提幣金額進行關聯匹配,從而達到黑客入金地址與出金地址關聯進行違法資金的追踪。

成都鏈安同時致力於全鏈條打擊虛擬貨幣犯罪能力建設體系,提供全鏈條打擊虛擬貨幣犯罪的服務+產品,在虛擬貨幣反洗錢和監管方面很有經驗,曾協助執法機構完成數起進入 Tornado Cash 案件的技術支持。

數據七

約 71% 的攻擊發生在 DeFi 領域

根據數據顯示,2022 年上半年,整個區塊鏈生態共發生 79 起較大的安全事件,其中涉及 DeFi 安全的共有 56 起,佔比 71%;損失金額達 5.5 億美元。在 web3.0 世界裡,DeFi 已經成為黑客攻擊的重災區。

圖片
被攻擊項目分類及損失金額

那麼,DeFi 為何成為了 web3.0 世界里黑客攻擊的重災區呢?

第一,DeFi 活躍度高。作為區塊鏈最火的領域,DeFi 從誕生開始就備受關注。活躍度高,參與的項目和用戶自然也越多,也就更容易被黑客列為攻擊目標。

第二,資金量大。統計數據顯示,截止 6 月 30 日,DeFi 總鎖倉量高達 824 億美元。雖然今年以來,加密行業市值縮水,DeFi 的 TVL 也大量下滑,在加密行業整體市值下跌的大背景下,DeFi 相對來說仍保持著巨額資金。如此巨大的資金量,則無疑是對黑客最好的吸引。

圖片
DeFi 生態系統

第三,DeFi 業務邏輯複雜。如今,DeFi 生態越來越龐大,其業務的複雜度也越來越高。又因為 DeFi 產品之間也有較強的可組合性,這導致不同 DeFi 產品之間產生了流通性和資產共享。因此,DeFi 業務邏輯上的複雜度,加上產品之間的組合和交互,就很可能會導致一些安全問題,從而被黑客抓住其中的機會。

第四,不少開發者缺乏安全意識,低估了漏洞的風險。數據顯示,上半年 DeFi 項目中共發生 33 起因合約漏洞遭受的攻擊。其中,最常見的是由代碼邏輯錯誤引發的安全問題。

圖片
各鏈平台因合約漏洞造成的損失佔該鏈平台平均 TVL 百分比

全面的外部安全審計、符合安全規範的編碼和測試網絡環境下的模擬測試是確保 DeFi 項目安全的最佳實現。

上述提到的代碼級別技術規範問題,如果在項目上線前,接受第三方安全審計,是可以將問題扼殺在搖籃之中。或許正是出於這樣的考慮,許多 DeFi 項目逐漸開始認識到安全審計的重要性,並選擇資質過硬的安全公司加以執行。

數據八

NFT 領域主要安全事件 10 起,損失約為 6490 萬美元;

2022 年上半年,共監測到 NFT 領域主要安全事件 10 起,統計到的損失約為 6490 萬美元,主要攻擊方式為合約漏洞利用、私鑰洩露、釣魚等。而上半年 Discord 釣魚事件頻發,幾乎每天都有 Discord 服務器受到攻擊,個人用戶因點擊釣魚鏈接而遭受損失的情況頻繁發生。

圖片
NFT 攻擊事件損失(按攻擊手法分類)

NFT 合約安全

上半年發生了多起 NFT 合約相關的安全事件,主要原因還是沒有進行全面的安全審計。那麼 NFT 合約在審計過程中都會出現哪些常見問題呢?

成都鏈安審計團隊在審計 NFT 系列合約時,發現 NFT 合約主要的問題包括以下幾類:

(1) 簽名冒用和復用:

簽名數據缺少重複執行驗證 (例如:缺少用戶 nonce),導致可以重複使用簽名數據鑄造 NFT;

簽名檢查不合理 (例如:未檢查簽名者為零地址的情況),導致任意用戶均可通過檢查進行鑄幣;

(2) 邏輯漏洞:

合約管理員可以通過私募等特殊方式鑄幣而不受總量的限制,導致 NFT 的實際量超過預期;

拍賣 NFT 時,獲勝者可在領取交易順序依賴攻擊,修改競拍價格,導致競拍獲勝者可以低價獲取 NFT;

(3) ERC721&ERC1155 重入攻擊

當合約使用轉賬通知功能時 (onERC721Received 函數),NFT 合約會主動向轉賬的目標合約發送一次調用,那麼這就可能導致重入攻擊;

(4) 授權範圍過大

用戶在進行質押或者拍賣時,僅需要對單個代幣授權,但合約要求_operatorApprovals 授權,一旦用戶授權成功,那麼就存在 NFT 被盜的風險。

(5) 價格操控

NFT 的價格依賴於某合約的代幣持有量,導致攻擊者利用閃電貸拉高代幣價格,使得質押的 NFT 被異常清算。

從上半年發生的 NFT 合約安全事件來看,審計過程中經常出現的漏洞在實際中也會被黑客利用。因此尋求專業的安全公司對 NFT 合約進行審計也是非常有必要的。

錢包安全

區塊鏈中錢包安全的重要性不言而喻,對於個人用戶而言,今年由於釣魚事件頻發造成大量用戶錢包資產被盜;對於項目方而言,今年也發生多起私鑰洩露相關事件,造成大量項目資產被盜。下面將針對危害個人用戶的釣魚攻擊和危害項目方的私鑰洩露事件分別進行介紹。

釣魚

目前的釣魚手法通常會以各種方式誘騙用戶對錢包授權,從而危害錢包安全,以下是幾種常見的釣魚手法:

假空投

該類釣魚網站主要是利用假空投等手段,誘騙用戶訪問釣魚網站。在用戶連接錢包後,就會出現 “CLAIM NOW” 等引誘用戶進行點擊的按鈕,用戶點擊之後就會對釣魚網站的黑地址進行授權。

誘騙用戶填寫助記詞

該類釣魚網站主要是在網頁連接錢包處,或者其他位置誘騙用戶點擊,之後彈出一個偽造的網頁,提示用戶諸如 “MetaMask 插件版本需要升級” 等信息。如果用戶相信並填寫了自己的錢包助記詞,那麼用戶的私鑰就會上傳到攻擊者服務器導致用戶錢包被盜。

APP 假錢包

該類假 APP 錢包通常通過以下三種方式誘騙用戶下載,第一種方式是通過購買搜索引擎的廣告位,誘騙用戶訪問虛假的錢包官網進行下載;第二種方式是向受害者發送郵件、海報等,引誘用戶下載假錢包;第三種方式是通過社工的方式,首先獲取受害者信任,然後再誘騙其下載假 APP 錢包。

Discord 釣魚

該類釣魚方式主要是 NFT 項目的 Discord 被攻擊,攻擊者獲取到 Discord 的管理員權限,然後在 Discord 中發布釣魚鏈接,誘騙用戶點擊從而危害其錢包安全。或者直接獲取到服務器的管理員權限,要求用戶通過共享屏幕等方式進行身份驗證,從而盜取用戶私鑰等信息。

如何有效防範釣魚攻擊?

反釣魚插件

由於 NFT 項目的火爆,各種釣魚網站層出不窮,僅靠用戶自己進行識別已經很難防範,因此建議用戶在瀏覽器上安裝防反釣魚插件。這類插件可以識別出用戶當前訪問的 web3 站點是否為釣魚、詐騙等類型的惡意網站。

結語

從整個加密貨幣市場上半年行情走勢來看,DeFi、NFT、GameFi 等各大賽道發展總趨勢都是持續走低。整個 DeFi 總鎖倉量從 1 月初的 2798 億美元跌到了 6 月末的 824 億美元,半年下跌 70.5%。分析發現,黑客攻擊事件頻率與市場行情走勢呈現出一定的關聯性。五六月份在 TVL 大幅縮水的情況下,黑客攻擊事件相對於前幾個月有所減少,更多的鏈上資金會吸引更多黑客的目光。

上半年發生 7 起跨鏈橋攻擊事件,共損失 11 億 3599 萬美元。跨鏈橋的攻擊手法主要為合約漏洞利用、私鑰洩露和線下程序缺陷。對項目方而言,安全審計、線下風控、定期檢查簽名服務器、對簽名者嚴格審查、版本更新時重新進行安全評估、制定漏洞賞金計劃等都是保障跨鏈橋項目安全運行的有效手段。

在上半年的攻擊事件中,約 53% 的攻擊方式為合約漏洞利用。通過對審計過程中常見漏洞和實際被利用漏洞進行比對,可以發現,

另外還有 26.6% 的閃電貸攻擊事件造成了 3 億 3291 萬美元的損失,除了採用一些措施如時間加權平均定價(TWAP)、更高頻率的價格更新機制、更嚴格的治理邏輯等之外,還可使用一些工具及時監控閃電貸。

上半年,共發生了 5 起損失過億的安全事件,而好消息是,這 5 個被攻擊的項目均在一段時間後發布了補救措施並重新上線。在過往的事件裡,反倒是一些資金量中小規模的項目方,在遭到了重大攻擊後將會很難重啟。

2022 年上半年,約有 11 億 4070 萬美元的被盜資金被黑客轉進了 Tornado Cash,約佔總損失金額的 60%。雖然混幣技術增強了鏈上交易的匿名性和隱私性,但也被黑客濫用於洗錢等犯罪。Beosin  在過往的案例中,已有數次成功分析黑客數據痕跡並追踪 Tornado Cash 的經驗。截止報告發佈時,美國財政部已經宣布將 Tornado Cash 列入製裁名單。

免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。本文內容僅用於信息分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。