2022年,区块链行业迎来新的发展时期,但各类安全风险也在不断升级。成都链安新推出的《安全研究季报》栏目,将为大家盘点每季度全球区块链安全态势。今天,跟着我们一起来回顾,2022年Q1区块链安全生态都发生了什么。一、2022年Q1区块链安全生态概览
安全事件造成的损失高达约12亿美元2022年第一季度,根据成都链安监测到的数据统计,攻击类安全事件造成的损失高达约12亿美元,较去年同期的1.3亿美元上涨约9倍。同时也比2021年的任何一个季度损失的金额都要高。2022年3月,Ronin攻击事件造成6.25亿美元资金被盗,超越2021年8月PolyNetwork被攻击的6.1亿美元,登上Defi黑客攻击损失榜第一位。当然,不是每个项目都能像PolyNetwork一样能够追回资金。截止本报告撰写时,Ronin的黑客依旧在分批次进行。
从链平台来看
Ethereum和BNB依旧是被攻击频次最高的两条链,但高攻击频次并不意味着高损失金额。2022年第一季度,我们监测到Solana链典型攻击事件2起,损失金额却高达3亿7400万美元,远远多于BNBChain上的损失。从资金流向来看
CoinList发布“5.02.2023”预告,社区推测或将进行Sui公募:4月6日消息,据官方推特,CoinList发布带有“5.02.2023”预告动画,暗示5月2日或将有重要事件公布。
另据加密社区用户推测,CoinList或将于5月2日进行Sui公募。[2023/4/6 13:47:34]
80%的情况下,黑客都会最终将盗取资金转入Tornado.Cash进行混币。有10%的情况,黑客会将资金暂时留在自己的地址,有时要等待几个月,甚至几年才对赃款进行转移。有少部分黑客会主动归还盗取资金。从攻击手法来看
合约漏洞利用和闪电贷攻击是黑客最常使用的手段。50%的攻击手法为合约漏洞利用。从审计情况来看
在被攻击的项目中,70%的项目经过了第三方安全公司的审计。然而在剩余30%未经审计的项目中,因攻击事件遭受的损失却占了整个损失金额的60%以上。从项目类型来看
DEFI项目依旧是黑客攻击的热点领域,占了总共被攻击项目数量的60%。而跨链桥虽然被攻击的次数不多,但涉及的金额却巨大。
二、Q1发生典型攻击事件超30起
跨链桥类项目损失惨重2022年第一季度,区块链领域共发生典型安全事件约30起。总损失金额约为12亿美元,与去年同期相比增长了823%。在前20排名里,损失金额最高的Ronin为6.25亿,约是金额最低的BuildFinance的558倍。
调查:多数经济学家预计美联储在2024年前不会改变紧缩政策:金色财经报道,《金融时报》的一份调查显示,多数经济学家认为,美联储将把其基准政策利率提高到4%以上,并将其保持到2023年以后,以杜绝高通胀。接受调查的44位经济学家中,近70%的人认为本轮紧缩周期的联邦基金利率峰值将在4%至5%之间,20%的人认为它需要超过这一水平。此外,68%的受访者认为,价格压力的缓解、金融市场的不稳定和劳动力市场的恶化是美联储最可能暂停其紧缩政策的原因,但预计最早在2024年前不会降低联邦基金利率。其中,四分之一的人预计美联储在2024年下半年或之后才会降低基准政策利率。(金融时报)[2022/9/18 7:03:39]
从统计图表可以看到,Ronin和Wormhole两个项目的损失金额达到了9亿5000万美元,占2022年Q1总损失金额的80%。值得注意的是,这两者均为跨链桥类项目。三、被攻击项目类型方面
DeFi仍为黑客攻击的重点领域2022年第一季度,区块链领域,DeFi项目仍为黑客攻击的重点领域,共发生19起安全事件,约60%的攻击发生在DeFi领域。
此外,针对NFT的攻击事件在2022年第一季度有所上升,跨链桥项目被攻击了4次,造成的损失却高达9亿5000万美元,占到2022年一季度损失金额的80%,跨链桥安全事件频发,涉及金额巨大。
灰度:美国比特币持有者比例从2020年的23%增加至2021年的26%:12月7日消息,根据灰度Grayscale一项最新调研显示,投资者正在接受比特币,并且与前几年相比,他们对网络攻击、波动性和监管等系统性风险的担忧更少。灰度调查发现,拥有比特币的美国人比例从2020年的23%增加到2021年的26%。在过去12个月内,超过一半 (55%) 的受访投资者是首次投资比特币并且认为比特币是一种适合整体投资策略的长期投资。
此外,超过一半投资者都知道狗狗币和以太坊,近四分之三 (74%) 的投资者听说过狗狗币,超过了对以太坊 (56%) 的认知度,LTC、ADA和USDT也受到投资者的关注,但认知度基本徘徊在25%左右。[2021/12/7 12:55:56]
四、链平台损失金额方面
Ethereum损失金额占比最高2022年第一季度,Ethereum和Solana链上攻击损失金额排名前2,分别为6亿5448万和3亿7400万美元。Ethereum被攻击的频次也是最多的,占到了总频次的45%;排名第二的是BNBChain,占比19%。Solana链上的两次攻击事件都造成了巨额损失:Wormhole损失3亿2600万美元,Cashio损失4800万美元。两者的攻击手法同为合约漏洞利用。
巴西央行行长:巴西有望在2022年前准备好采用CBDC:金色财经报道,巴西央行行长内托(Roberto Campos Neto)周三表示,巴西可能会在2022年之前准备好使用数字货币(CBDC)。内托表示,到那时,巴西将拥有可互操作的即时支付系统,以及一种“可信的”和“可兑换的”国际货币,这些都是数字货币所需的所有要素。内托称,CBDC是巴西等金融系统快速数字化的结果。此前巴西央行于8月下旬创建了一个工作组,开始研究CBDC发行的过程。内托表示,该小组的最终报告应该会在六个月到一年内准备好。[2020/9/4]
链平台损失金额占比此外,一些TVL排名靠前的公链在2022年第一季度未检测到重大安全事件,如:Terra、Avalanche、Tron等。五、攻击手法分析
合约漏洞利用和闪电贷最常见2022年第一季度,区块链安全生态领域,约50%的攻击方式为合约漏洞利用,24%的攻击方式为闪电贷。有12%的攻击为私钥泄露、钓鱼攻击和社会工程学攻击。此类攻击源于项目方没有保管好私钥或警惕性不足。
被黑客利用的合约漏洞中,最常见的漏洞为重入漏洞,其次分别为业务逻辑不当、call注入攻击和验证不当或不足;其中绝大部分漏洞都可以通过安全审计尽早发现和修复。六、典型安全事件分析
案例一:TreasureDAO被攻击事件
声音 | Crypto Venture Capital创始人:比特币市值有可能在2021年底之前达到2万亿美元:据ambcrypto报道,Crypto Venture Capital创始人Chris Burniske表示,比特币正努力在2021年之前实现1万亿美元的市值。如果比特币接下来的波动性达到2015年5月至2017年底的一半,比特币的市值将可能超过1万亿美元。他进一步指出,若比特币能够保持其目前的市场主导地位,甚至可能在2021年底之前实现2万亿美元的市值。据coinmarketcap数据,目前比特币的市值为1398.61亿美元。[2019/5/15]
背景:3月3日,TreasureDAONFT交易市场被曝发现漏洞,导致100多个NFT被盗。然而在事件发生几小时后,攻击者却开始归还被盗NFT。详情:交易发起者通过合约的buyItem函数传入了数值为0的_quantity参数,从而无需费用就能购买TokenID为5490的ERC-721代币。
项目合约的buyItem函数代码从代码上来看,合约的buyItem函数在传入_quantity参数后,并没有做代币类型判断,直接将_quantity与_pricePerItem相乘计算出了totalPrice,因此safeTransferFrom函数可以在ERC-20代币支付数额只有0的情况下,调用合约的buyItem函数来进行代币购买。然而在调用buyItem函数时,函数只对购买代币类型进行了判断,并没有对代币数量进行非0判断,导致ERC-721类型的代币可以在无视_quantity数值的情况下直接购买,从而实现了漏洞攻击。建议:本次安全事件主要原因是ERC-1155代币和ERC-721代币混用导致的逻辑混乱,ERC-721代币并没有数量的概念,但是合约却使用了数量来计算代币购买价格,最后在代币转账时也没有进行分类讨论。建议开发者在开发多种代币的销售贩卖合约时,需要根据不同代币的特性来进行不同情况的业务逻辑设计。案例二:BuildFinance项目遭遇治理攻击
背景:2月15日,DAO组织BuildFinance表示遭遇恶意治理攻击,攻击者通过获得足够多的投票成功了控制其Token合约。详情:在2020年9月4日的一笔交易中,BuildFinance合约创建者通过setGovernance函数将治理权限转移。通过查找内部的Storage,发现权限转移给了0x38bce4b地址。继续跟进0x38bce4b地址,发现是一个Timelock合约,而合约中可以调用setGovernance函数的只有executeTransaction函数。
BuildFinance被攻击流程继续跟进发现,在2021年1月25日,0x38bce4b地址调用executeTransaction函数将权限转移到了0x5a6ebe地址。2022年2月11日,由于投票设置的阈值较低导致提案通过,0x5a6ebe地址的治理权限变更为了0xdcc8A38A地址。在获取到治理权限后,攻击者恶意铸币并耗尽了交易池的流动性。建议:DAO合约应该设置合适的投票阈值,实现真正的去中心化治理,避免很少的投票数量就使得提案通过并成功执行,建议可以参考openzeppelin官方提供的治理合约的实现。案例三:Ronin6亿美元盗币案
背景:3月23日,SkyMavis的Ronin验证器节点和AxieDAO验证器节点遭到破坏,攻击者使用被黑的私钥来伪造假提款,获利约6.25亿美元。而RoninNetwork直到3月29日才发现自己遭受到了攻击。详情:SkyMavis的Ronin链目前由9个验证节点组成。为了识别存款事件或取款事件,需要九个验证者签名中的五个。攻击者设法控制了SkyMavis的四个Ronin验证器和一个由AxieDAO运行的第三方验证器。此后Ronin官方表示,所有证据都表明这次攻击或与社会工程学相关。
Ronin黑客过程建议:1、注意签名服务器的安全性;2、签名服务在相关业务下线时,应及时更新策略,关闭对应的服务模块,并且可以考虑弃用对应的签名账户地址;3、多签验证时,多签服务之间应该逻辑隔离,独立对签名内容进行验证,不能出现部分验证者能够直接请求其它验证者进行签名而不用经过验证的情况;4、项目方应实时监控项目资金异常情况。七、被盗资金流向分析
Tornado.Cash或为黑客惯用途径80%的情况里,黑客在得手后,会立刻或几天内将盗取资金转入Tornado.Cash进行混币。10%的情况里,黑客会暂时将赃款留在自己地址,等待几个月至几年才将资金转出。例如去年12月被盗的交易所AscendEX,黑客等到今年2月、3月才开始进行分批次。而今年Ronin的攻击者目前依然在进行频繁的操作。
有少部分黑客会归还盗取资金。Cashio的攻击者在盗取4800万美元的资金后,公开留言表示将向价值在10万美元以下账户进行退还,并声称“我的目的只是从不需要的人那里拿钱,而不是从需要的人那里拿钱”。目前Tornado.cash依旧为黑客惯用的途径。八、项目审计情况分析
30%未经审计的项目损失金额占总量的60%项目审计情况:70%的被攻击项目经过了第三方安全公司的审计;30%未审计的项目,损失金额达7.2亿美元,占第一季度总损失金额的60%;项目上线之前的审计依旧重要。在未审计的项目中,50%的攻击手法都为合约漏洞利用。因此,尽早审计和及时修复代码漏洞,可以避免上线后项目被攻击造成的严重损失。
项目审计情况及总损失金额九、2022年Q1结语
安全事件频发,涉及金额大幅增加2022年第一季度,区块链领域攻击类安全事件造成的损失高达约12亿美元,比2021年的任何一个季度损失的金额都要高。跨链桥项目被盗取金额巨大,DeFi项目被攻击频次最高,这两个领域今后或许也是黑客重点盯上的攻击目标。项目方应及时关注资金异常情况,成都链安可以让项目方和用户及时发现风险交易,从而快速采取措施。例如立刻暂停相关服务,或告知用户取消授权等,避免后续更大的损失。项目安全审计依旧重要,约50%的攻击方式为合约漏洞利用,这其中绝大多数漏洞都可以通过安全审计及早发现和修复。
标签:RONONI比特币区块链FRONT币poloniex交易所官网银保监会6月10日为啥比特币暴跌原因区块链的核心是什么
InternetComputer是第三代区块链-它是全球开发和部署Web3DApp、DeFi、游戏、NFT、社交媒体和元宇宙项目最快、成本最低的区块链,支持项目扩容至百万级别用户,且完全上链.
1900/1/1 0:00:00NFT是non-fungibletoken的缩写,意味着它是一种不能与另一种代币进行交易的资产。相对于支持互换的比特币,NFT是一种特殊的代币,有自己的独特属性.
1900/1/1 0:00:00特别感谢VitalikButerin,Hsiao-WeiWang、CasparSchwarz-Schilling的反馈和审查。出于安全性和活跃性的考虑,Etherum选择了多客户端架构.
1900/1/1 0:00:00本文通过CompoundFinance的视角对DeFi借贷进行了大体上的介绍,将其与传统金融的“无风险“利率进行了比较,并研究了稳定币的贷款收益率、波动性和影响贷款收益率的因素.
1900/1/1 0:00:00作者:@0xLosingMoney编译:Amber相信对于加密世界中的每一个人来说,「RugPulls」都不会陌生。这个词很形象地描绘出了开发团队卷走用户资金跑路或者撤出流动性池资金的行为.
1900/1/1 0:00:00DeFi结束了通过分叉的形式粗犷地向其它智能合约平台扩张的发展阶段,大多数新出现的智能合约平台在短暂的流动性挖矿热潮之后被用户所抛弃.
1900/1/1 0:00:00