区块链:报告解读之 2022 上半年区块链安全态势_DEF币

本篇主要聚焦区块链生态安全概览及攻击手法。

区块链安全态势

近两年来，在疫情持续肆虐、经济衰退、能源短缺、地缘冲突升级、国际间竞争加剧等种种因素的影响之下，全球社会与经济发展遭遇了前所未有的挑战。与此同时，全球区块链行业也经历着一场不断加速的变革：区块链技术的效率、安全性和可扩展性得到不断改善，元宇宙、NFT 等新兴领域的兴起，使区块链行业正式迈入 3.0 时代。

根据慢雾区块链被黑事件档案库（ SlowMist Hacked ）统计，截至 6 月 30 日，2022 上半年安全事件共 187 件，损失高达 19.76 亿美元。

（2022 上半年安全事件）

在这些安全事件中，约 77% （144 起）源于项目自身存在漏洞被攻击者利用，损失金额约 18.4 亿美元，占安全事件总损失的 93%；约 21%（39 起） 源于包含 Phishing&Rug Pull 的 Scams，损失金额约 1.3 亿美元，占安全事件总损失的 6%。

（2022 上半年安全事件攻击原因分布图）

（2022 上半年安全事件攻击原因损失对比图）

区块链生态安全概览

根据被攻击对象的不同，我们将 187 起安全事故分为三部分：公链赛道、交易平台和其他。

报告：4月份持有ADA的地址数量达520万，创历史新高:5月7日消息，根据CryptoCompare最新的资产报告，上个月持有ADA的地址数量增长了2.99%到520万，创历史新高，部分原因是持有时间超过一年的Hodler数量从3月的52.9万增长至4月的67.9万，持有时间在1-12个月的持有者数量从384万增加到414万。

此外，持有ADA的短期交易员数量从3月份的68.2万降至上个月的37.7万，下降了44.6%。（Crypto Globe）[2022/5/7 2:56:48]

公链赛道

作为区块链行业的基础设施，公链承载了人们对于区块链作为 Web3 底层网络的期望。随着一代又一代公链的崛起，NFT、DeFi、GameFi、元宇宙等生态热潮也相继迎来爆发，同时这些项目也促进了公链的发展与价值提升，使多链世界从理想走向了现实。据 Footprint Analytics 的数据，截至 6 月累计已收录的公链数量有 119 条，对比 2021 年 6 月收录的 31 条，同比增长约 284%。

（2021 与 2022 年 6 月公链数量对比）

但公链的快速发展同时是一把双刃剑，在促进产业进步的同时，引发的区块链安全问题也显著增加，我们分别从?DeFi、NFT、跨链桥三方面解析。

DeFi 生态

DeFi 作为世界上最受欢迎的可编程区块链，2022 发展态势不可小觑，据 DeFi Llama 数据显示，6 月 30 日 DeFi 总锁仓价值为 1432 亿美元，其中 ETH 链以 945.5 亿美元的 TVL（Total Value Locked）占据了资金沉淀的半壁江山，其次是 BSC 链的 110.8 亿美元。2021 年以来，许多新兴公链如 Solana、Avalanche 等通过拥抱 DeFi 快速发展链上生态，也吸引了大量用户和资金沉淀。6 月 30 日 Solana TVL 为 26.4 亿美元，同比增长 77%；Avalanche TVL 为 55.4 亿美元，同比增长 96%。

中国信通院发布《区块链安全能力测评与分析报告（2021年）》:近日，为了提升区块链基础设施乃至区块链生态整体安全水平，中国信息通信研究院安全研究所基于2020年11月-2021年1月间举办的首轮区块链安全能力测评中发现的安全问题，发布了《区块链安全能力测评与分析报告(2021年)》。未来，中国信通院安全研究所还将充分发挥安全领域专业优势，在区块链基础设施、服务、应用领域持续开展安全标准化研究及测评工作，与业界携手筑建健康安全的区块链基础设施及区块链生态。(中国信通院CAICT)[2021/3/17 18:52:01]

（2022 上半年 DeFi TVL）

随着 DeFi 热潮的兴起，该领域也自然成为了黑客觊觎的重点对象。根据 SlowMist Hacked 统计，截至 6 月 30 日 DeFi 安全事件约 100 起，损失超 16.3 亿美元。其中在 BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨链桥上发生的安全事件数量分别为 47 起、29 起、8 起、5 起、2 起、1 起、7 起，所造成损失分别为 1.4 亿美元、3.08 亿美元、5491 万美 元、6383 万美元、1310 万美元、830 万美元、10.43 亿美元。

（2022 上半年 DeFi 安全事件分布）

NFT 生态

分析 | 币安研究报告：去中心化金融服务已发展成以太坊上的主要应用之一:据币安研究院研究报告显示，去中心化金融（DeFi）服务已经发展成为以太坊上的主要应用之一，大多数DeFi协议都是在以太坊上构建的，截至6月5日，以以太坊为基础的DeFi应用程序的抵押品总价值超过5亿美元（超过150万以太）。比特币的闪电网络（Lightning Network）解决方案可以被视为在比特币区块链上运行的DeFi应用程序。截至2019年6月5日，闪电网络上的承载价值约为800万美元。总体而言，加密借贷服务领域仍处于初期阶段。[2019/6/10]

基于区块链技术的 NFT 也是需要重点关注的对象，随着一批头部 NFT 项目的崛起和各路名人的参与，NFT 极速发展。根据 Dune Analytics 的数据，OpenSea 的交易量在 1 月份达到上半年最高峰 2.84 亿美元，而随着加密货币市场的变化，OpenSea 在 6 月份的交易量只有 1558 万美元，下滑 94%。在 NFT 的热潮中，目前以太坊生态的 NFT 在市值和交易量依旧占据市场的主流，交易量超 90%。除了以太坊外，从近 30 天交易量和近 7 天交易量这些短期数据来看，Solana，Flow 等生态的 NFT 也正在快速发展，且表现亮眼，多链时代距离我们越来越近。

（2022 上半年 OpenSea 交易量变化图）

动态 | SophiaTX推出简化财务报告的区块链应用程序:据bitcoinexchangeguide报道，区块链初创公司SophiaTX宣布推出一个够简化甚至自动化财务报告的区块链应用程序，并且操作会按照马来西亚公司委员会的要求进行。据悉，马来西亚公司委员会要求市场内的私营和上市公司通过马来西亚商业报告系统(MBRS)以数字化形式提交年度财务报表。[2019/2/22]

（2022 上半年 NFT 攻击事件原因分布图）

并且随着时间推移，不法分子的攻击逐渐猖獗，根据 TRM Labs 发布的报告 ，在 5、6 两个月，由 TRM Labs 社区主导的报告平台 Chainabuse 收到了超过 100 份关于 Discord 黑客攻击的报告；自 5 月以来，NFT 社区损失约 2200 万美元；6 月，黑客在被黑的 Discord 中发布 NFT 相关的钓鱼攻击同比增加了 55%。

跨链桥

随着区块链的发展，目前已经进入一个以太坊为核心多链并存的局面，链与链之间的资产转移、 智能合约的跨链交互已成为链上活动的日常，跨链桥作为区块链基础设施的地位越发凸显。根据 Dune Analytics 数据，截至 6 月 30 日以太坊中 15 个主要跨链桥的锁定总价值（TVL）约 83.9 亿美元。目前 TVL 最高的是 Polygon Bridges（35 亿美元），排名第二的是 Arbitrum Bridge（18.93 亿美 元），随后是 Avalanche Bridge（12.41 亿美元）。

动态 | 报告：去年加密货币交易量创下历史新高:据研究机构Diar最新报告，2018年，加密货币交易所的交易量创历史新高。就币安而言，去年6月，币安平台的比特币交易量仅占总交易量的39%，而去年全年，比特币美元市场占比接近50%。去年，Coinbase的比特币美元市场占比46%，美元市场交易额超过830亿美元，高于2017年的670亿美元。[2019/1/15]

（以太坊 15 个主要跨链桥的 TVL）

由于流动资金量大，去中心化程度低，权限几乎都掌握在多签钱包中等特性，跨链桥也成了黑客眼中的“香饽饽”。根据 SlowMist Hacked 统计，截至 6 月 30 日跨链桥安全事件共 7 起，损失高达 10.43 亿美元，占比 DeFi 上半年总损失的 64%，占比上半年总损失的 53%。值得注意的是上半年，损失金额上亿美元的事件 4 起中就有 3 起来自跨链桥。作为多链生态的重要基础设施，跨链桥一方面承担着巨量的资金流动，为用户带来了极大的便利，另一方面在安全性和去中心化水平上面临许多挑战，需要项目方提升安全、风控等能力。

（2022 上半年跨链桥安全事件）

交易平台

加密货币行业一直处在监管漩涡中，首当其冲的就是加密货币交易平台。交易平台发生的安全事故分析如下：以全球交易量最大的平台 Binance 为例，自 2021 年来，Binance 已遭到数十个国家和地区的监管警告，包括欧洲、美洲、 亚洲在内的多个地区。在全球强力监管信号下，Binance 陆续在西班牙、法国、阿布扎比、迪拜、意大利、巴林等国家或地区获得了监管许可并进行了注册，逐步推进其合规化进程。

在上半年，全球共发生 4 起交易平台安全事件，损失超 7770 万美元，具体如下：

1 月 9 日，LCX 技术团队在 LCX 交易平台上检测到一个未经授权的访问，总共约 794 万美 元的加密资产被盗。

1 月 17 日，Crypto.com 少数用户遭到未经授权提款，损失约 3400 万美元，包括 4,836.26 ETH、443.93 BTC 和约 66,200 美元的其他加密货币。

2 月 8 日，LockBit 勒索软件团伙称从加密货币交易平台 PayBito 窃取了大量客户数据。

2 月 12 日，来自美国南达科他州提供自主退休金账户的 IRA Financial Trust 对加密交易 平台 Gemini 提起诉讼，指控称由 Gemini 保管的属于客户退休账户的 3600 万美元加密资产被盗。

（2022 上半年交易平台攻击事件损失对比图）

慢雾安全团队建议各大交易平台健全内部管理与技术机制，通过引入安全审计机制、零信任机制、冷热资产安全解决方案等来加强对数字资产的安全保障。

其他

不法分子看中加密货币的匿名性，区块链已成为网络黑产的新风口，呈现出越来越明显的组织化与专业化趋势，“勒索”、“欺诈”及“盗窃”已成为加密货币巨大安全威胁。据中国人民银行支付结算司数据 ，2021 年涉诈款项的支付方式中，利用加密货币进行支付仅次于银行转账，排名第二位，高达 7.5 亿美元；而 2020 年、2019 年仅为 1.3、0.3 亿美元，逐年大幅增长的趋势明显。值得关注的是，加密货币转账在“杀猪盘”中增长迅速。2021 年“杀猪盘”资金中 1.39 亿美元使用加密货币支付，是 2020 年的 5 倍、2019 年的 25 倍。

攻击手法概览

以上 187 起安全事件中，攻击手法主要分为四类：由项目自身设计缺陷和各种合约漏洞引起的攻击；包含 Rug Pull、钓鱼攻击等手法的 Scam；由于私钥泄露引起的资产损失；前端恶意攻击，这四种主要攻击手法占比安全事件总数量的 95%。

（2022 上半年攻击手法数量对比图）

（2022 上半年攻击手法损失对比图）

总结

尽管 2022 年区块链技术正在飞速发展并且逐渐完善，但层出不穷的加密货币攻击事件对区块链生态安全态势提出了新的挑战。从统计数据来看，上半年发生安全事件次数较多的月份主要在 5、6 月；从各生态来看，BSC 上安全事件发生最多；从赛道来看，损失最多的是跨链桥。

（2022 上半年各月份各生态赛道事件分布）

对此慢雾安全团队建议：

对于机构和企业来说，最好能够建立全面的网络安全防护系统，防护从各个层次入侵的网络安全威胁，并通过威胁感知体系快捷获取病木马、钓鱼、网络安全预警、漏洞报告在内的安全情报，一旦发生安全威胁能够及时进行处理。

对于个人用户来说，遵守以下安全法则及原则，可以避免大部分风险：

两大安全法则：

零信任。简单来说就是保持怀疑，而且是始终保持怀疑。

持续验证。你要相信，你就必须有能力去验证你怀疑的点，并把这种能力养成习惯。

安全原则：

网络上的知识，凡事都参考至少两个来源的信息，彼此佐证，始终保持怀疑。

做好隔离，也就是鸡蛋不要放在一个篮子里。

对于存有重要资产的钱包，不做轻易更新，够用就好。

所见即所签。即你看到的内容就是你预期要签名的内容，当你签名发出去后，结果就应该 是你预期的，绝不是事后拍断大腿的。

重视系统安全更新，有安全更新就立即行动。

不乱下程序。

在此，十分推荐阅读并掌握 《区块链黑暗森林自救手册》（https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md）。

区块链发展道阻且长，期望随着行业的不断完善，区块链可以迸发出更大的力量，走向更大的舞台

标签：区块链EFIDEFIDEF魔兽币是有使用区块链技术吗MEFI币DeFinitionDEF币

DOGE热门资讯