2023 年區塊鏈安全事件約 464 件,損失高達 24.86 億美元。
作者:慢霧安全團隊
上周,我們發佈了《慢霧出品 | 2023 區塊鏈安全與反洗錢年度報告》,接下來我們將把報告分為四篇文章來解讀,剖析報告中的關鍵內容,幫助讀者更全面深入地理解當前區塊鏈生態系統中的關鍵安全挑戰和機遇。
本篇主要聚焦區塊鏈生態安全態勢。
區塊鏈安全態勢
伴隨著全球經濟在宏觀和地緣政治局勢緊張的影響及殘留的 2022 年各種暴雷事件影響的痕跡,區塊鏈行業也遭受著令人難以置信的動蕩。 近一年以來,多家對加密貨幣友好的銀行相繼倒閉,再加上由朝鮮駭客 Lazarus Group 以及多個釣魚團夥 Wallet Draines 引發的一系列安全攻擊事件,進一步凸顯了使用者安全意識不足以及監管政策不完善的問題。
根據慢霧區塊鏈被黑事件檔案庫(SlowMist Hacked)統計,2023 年安全事件共 464 件,損失高達 24.86 億美元。 對比 2022 年,安全事件共 303 件,損失約 37.77 億美元,2023 年的損失同比下降 34.2%,安全事件數量同比上升了約 53.13%。 儘管損失有所降低,但安全事件的數量卻呈上升趨勢。
接下來,我們將分別從項目賽道、生態、事件原因三方面來解讀 2023 年的區塊鏈安全態勢。
項目賽道
從項目賽道來看,DeFi 是發生安全事件最多,損失最大的領域。 DeFi 的發展,不僅帶來了新的創新和機會,也導致出現了更多的潛在風險和攻擊面,而且由於 DeFi 專案存在一定的資金規模和用戶基礎,也容易成為駭客潛在的攻擊目標。
2023 年 DeFi 安全事件共 282 件,占事件總數的 60.77%,損失高達 7.73 億美元,對比 2022 年(共 183 件,損失約 20.75 億美元),2023 年 DeFi 安全事件的損失雖然降低了 62.73%,但是事件數量卻上升了 54.64%, 凸顯 DeFi 領域在防範和處理安全問題上仍然面臨嚴峻挑戰。
生態
從生態方面來看,由於 Ethereum 是眾多智慧合約和去中心化應用的首選平臺,因此成為駭客攻擊的主要目標,損失最大,達 4.87 億美元。 其次是 Polygon,作為在乙太坊上擴展的 Layer 2 解決方案,也面臨相當規模的安全威脅,該生態上的 6 起安全事件造成的損失就達 1.23 億美元,其中非託管借貸平臺 BonqDAO 和加密基礎設施平臺 AllianceBlock 因 BonqDAO 的智慧合約漏洞而被駭客攻擊,導致損失約 1.2 億美元。
事件原因
- 2023 年由于项目方跑路导致的安全事件共 117 起,导致损失约 8300 万美元。其中,Base 生态的损失最高,达 3250 万美元。其次是 BSC 生态,达 2305 万美元。
- 2023 年因存在合約漏洞而被攻擊的事件有 57 起,導致損失約為 7582 萬美元,然而合約漏洞利用往往伴隨著閃電貸攻擊、價格操縱等手法。 2023 年駭客發起的閃電貸攻擊就有 34 起,造成約 2.25 億美元的損失; 價格操縱攻擊有 14 起,造成的損失約為 1.4 億美元。
合約漏洞的發生通常與合約代碼的審查不足有關,應對合約進行持續的審計。 並且,開發團隊應採用最佳的安全開發實踐,慢霧安全團隊在 Github 上開放了智慧合約安全審計技能樹(https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a-Smart-Contract-Auditor); Web3 專案安全實踐要求(https://github.com/slowmist/Web3-Project-Security-Practice-Requirements)和 Solana 智慧合約安全最佳實踐(https://github.com/slowmist/solana-smart-contract-security-best-practices),歡迎感興趣的朋友移步到 Github 上閱讀。 - 2023 年,各類主體帳號被黑的安全事件達到了 70 起,隨著 Web3 的火熱發展,針對使用者和專案方的攻擊層出不窮,尤其是針對 Discord、Twitter 等媒體平台的攻擊。
駭客通常會在獲取到管理員或者賬戶許可權后,偽裝成管理員身份併發佈釣魚鏈接,然後誘導使用者授權,從而轉移資產。 建議專案方採用雙因素認證、設置強密碼等安全操作來保護帳號,並警惕各種傳統網路攻擊和社會工程學攻擊。 - 根據慢霧區塊鏈被黑事件檔案庫(SlowMist Hacked)統計,2023 年區塊鏈行業出現了 11 起騙局。 其中,2023 年香港加密貨幣騙局 JPEX 事件,以「低風險高回報」招徠投資。 截至 2023 年 12 月 18 日,香港警方累計拘捕 66 人,共接獲 2623 名受害者報案,涉款約 16 億港元。 據相關說法,JPEX 的暴雷可能成為香港歷史上最大的金融欺詐案。
建議
對於專案方來說:
- 應該持續對智慧合約進行審計,確保代碼的安全性和穩定性,防範合約漏洞的發生;
- 在合約中引入多層次的防禦措施,包括許可權控制、安全檢查和保險機制,以最大程度地降低別攻擊的風險;
- 建立緊急響應機制,在攻擊發生時能夠及時應對,控制損失範圍;
- 採用雙因素認證、設置強密碼等安全操作,降低帳號被黑的風險。
對於個人用戶來說,遵守以下安全法則及原則,可以避免大部分風險:
- 兩大安全法則:
- 零信任。 簡單來說就是保持懷疑,而且是始終保持懷疑。
- 持續驗證。 你要相信,你就必須有能力去驗證你懷疑的點,並把這種能力養成習慣。
- 安全原則:
- 網路上的知識,凡事都參考至少兩個來源的資訊,彼此佐證,始終保持懷疑;
- 做好隔離,也就是雞蛋不要放在一個籃子里;
- 對於存有重要資產的錢包,不做輕易更新,夠用就好;
- 所見即所簽。 即你看到的內容就是你預期要簽名的內容,當你簽名發出去后,結果就應該 是你預期的,絕不是事後拍斷大腿的;
- 重視系統安全更新,有安全更新就立即行動;
- 不亂下程式。
- 推薦閱讀並掌握《區塊鏈黑暗森林自救手冊》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)。
完整報告下載:
https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(CN).pdf
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。