作者:比特丛林
随着数字化进程的不断深入,区块链技术已成为许多领域的重要驱动力,它不仅为金融、医疗、物流等传统行业带来了颠覆性的变革,而且也为参与者带来了更加开放和透明的体验。然而,随着区块链技术的广泛应用,与之相关的安全问题也变得愈发严峻。近年来,区块链安全事件频发,不仅对个人和企业造成了巨大损失,而且也对区块链技术的发展带来了挑战。
本报告对2023年上半年的区块链安全事件进行梳理和分析,旨在探究区块链安全存在的隐患,以及分析区块链安全事件的成因,并提出相应的解决方案和建议。我们希望通过这份报告引起各方对区块链安全问题的关注,共同推动区块链技术的安全发展,为数字化世界的未来奠定坚实的基础。
2023年上半年共发生主要攻击事件192起,总损失金额约为9.2亿美元。
损失金额超过 1 亿美元的安全事件共 4 起:
·Euler Finance闪电贷攻击事件损失 1.97 亿美元
·Blockchain for dog nose wrinkles项目造成损失 1.27 亿美元
·BonqDAO & AllianceBlock操纵价格造成损失 1.2 亿美元
1Sol公布2022路线图,将聚合NFT和借贷等功能:1月21日消息,Solana生态去中心化跨链DEX聚合器1Sol公布2022路线图,包括布局SocialFi、推出专业DeFi交易员定制功能、聚合NFT和借贷等功能、提供更多流动性选择,以及升级UI等。据了解,1Sol协议是Solana上去中心化协议的跨链DEX聚合器,已聚合Raydium、Serum、Orca、Saber等Solana原生DEX。[2022/1/21 9:04:00]
·Atomic Wallet钱包被盗造成损失1亿美元
损失金额在1000万美元至1亿美元区间的事件 12 起
损失金额在100万美元至1000万美元区间的事件 40 起。
根据分析安全事件使用的攻击手法,其中频率最高的攻击手法为Rug Pull与合约漏洞,均为32次攻击。其次为闪电贷攻击,共发生了20次,占所有事件数量的14.93%。
在发生数量TOP8的攻击手段中,闪电贷损失金额最大,共造成2.5亿美元的损失。位于其后的是区块链局,虽然只发生了七次,但是造成的损失达2.3亿美元。
曹寅分享2022年值得关注的六大Web3投资主题:12月29日消息,数字文艺复兴基金会董事总经理曹寅分享自己认为2022年值得关注的几大Web3投资主题:
1. 加密人作为一个重要消费群体。可以关注帮企业赚加密用户钱的项目。
2. DAO的公司化,公司的DAO化。可以关注(伟大的)DAO本身、DAO基础设施。
3. 南美、非洲、东南亚的Web3社区的崛起。可以关注以上地区的社区型项目/门户型项目。
4. Opensea的竞争者、颠覆者。可以关注OS的直接竞品,比如Rarible、LooksRare,以及未上线竞品,也包括其他链上竞品;垂直赛道竞品的平台化,比如正平台化的SuperRare、KnownOrigin。
5. 音乐NFT。可以关注高质量音乐平台,比如Pianity。
6. Web2金融企业的DeFi试验。可以关注同Web2金融合作,并有积极进展的DeFi项目,比如同美国头部Web2金融Current合作的Acala Network。[2021/12/29 8:11:37]
而合约漏洞和Rug Pull虽然发生总数相对较多,占所有攻击手法的47.76%,但其造成的损失远不及前两者,仅有6649万美元的损失。这些攻击手段的高发生率和巨大的损失金额再次凸显了加密货币市场中的风险。尽管区块链技术有着很大的潜力和应用前景,但是它仍然面临着安全风险和技术挑战。
V神预测ETH2.0各阶段矿工奖励:2021年矿工将不再获得大部分交易费收入:推特网友tomo提问V神称,我想知道关于在(ETH2.0)阶段0、1、2阶段之后PoW矿工奖励发生了什么,我知道它们会减少,但具体是怎样的呢?对此V神刚刚回复称,对矿工奖励的预测如下,现在:保持原样;到2021年中:由于EIP 1559(大部分费用被燃烧),矿工不再获得大部分交易费(tx fee)收入;当合并发生时:PoW不复存在。[2020/11/12 12:21:55]
Rug Pull事件频发,其中75%的项目跑路金额在1000万美元以下、28%的项目跑路金额在100万美元以下。这类项目通常官网、推特、电报、Github等信息缺失,没有Roadmap或白皮书,团队成员信息可疑,项目上线到最后跑路周期不超过三个月。
此类安全事件带来的损失,不容忽视,需要加强对项目背景的调查,提高对陌生信息的防范意识,以及通过提前预防,从而提高防范能力,避免损失的发生。
链上应用(On-chain Application),也称为去中心化应用(Decentralized Application,DApp),是构建在区块链或分布式账本技术之上的应用程序。使用区块链的特性和功能进行数据存储、交易处理和智能合约执行。
动态 | 报告:目前减半尚未作用于BTC价格 2020年BTC收益将超100%:1月11日消息,1月10日,市场研究公司Fundstrat Global Advisors联合创始人Tom Lee公布Fundstrat 《 2020年加密货币展望》。报告表示,目前减半尚未“计入”(作用于)比特币价格。Fundstrat预计比特币可能在五个月内大幅上涨,直至减半,BTC收益将超过100%。2020年比特币和加密货币的总回报将超过2019年。(Cointelegraph)[2020/1/11]
2023年上半年,链上应用共发生 157 次安全事件,占总事件数量的 81%。链上应用总损失金额达到了 7.4亿 美元 ,占总损失金额的 79%。链上应用为这半年中被攻击频次最高、损失金额最多的类型。
链上应用类型的安全事件在上半年六个月发生的频率几近相同,安全事件出现原因的前三分别是Rug Pull、合约漏洞、Twitter 被黑。
建议:
项目方在设计、构建项目时充分考虑项目的安全性,在实现功能的同时考虑到校验功能是否会被绕过、是否存在缺陷,在项目上线前充分进行安全审计。
用户投资链上应用前尽量多方考察、慎重决策,谨慎投资。
交易所(Exchange)是指提供数字资产买卖和交易服务的平台或机构。它允许用户以一种数字资产(如比特币、以太坊等)交换另一种数字资产,或者以法定货币(如美元、欧元等)购买或出售数字资产。
动态 | 研究报告:2017-2022年全球区块链技术市场的年复合增长率将达43%:据Theinnovationenterprise消息,据区块链研究机构SB Wire近日发布的一份报告显示,2017-2022年期间,区块链技术市场的年复合增长率将达43%。2020年全球区块链技术产生的收入将达140亿美元。[2018/10/11]
2023年上半年,交易所是安全事件发生数量排名第二的类型,上半年共发生11起交易所领域内的安全事件,共造成了7318万美元的损失。主要被攻击原因为合约漏洞。
有关交易所的安全事件每个月都有发生。而且由于安全事件损失的金额也不在少数。
用户要小心处理钓鱼和恶意链接:避免点击不信任的链接,尤其是通过电子邮件或社交媒体收到的链接。
定期检查账户活动;不集中存储所有资金;更新和保护设备;选择值得信任的安全公司进行提前审计。
公有链(Public Blockchain)简称公链,是指全世界任何人都可随时进入读取、任何人都能发送交易且能获得有效确认的共识区块链。侧链是平行于主链的一条区块链,可以理解为是区块链的一种扩展协议。以满足特定的业务需求,例如跨链资产交换、私有链扩展和特定行业的区块链解决方案。
2023年上半年,公链/侧链是安全事件发生数量排名第三的类型。主要被攻击原因为智能合约漏洞。
选择可靠的共识机制。
使用安全的加密算法生成和存储密钥,使用多重签名技术增加交易的安全性。
进行定期的安全审计,包括代码审查、安全性测试和漏洞扫描,以识别潜在的安全漏洞和弱点。
跨链桥(Cross-Chain Bridge)是一种允许在不同区块链网络之间传输数字资产的技术解决方案。跨链桥通常会在起始链上的智能合约中锁定或销毁通证,并通过目标链上的另一个智能合约解锁或铸造通证。跨链通信本质上需要在安全、信任和灵活性三个维度上做出权衡。由于这些复杂因素的存在,跨链桥成为了Web3领域主要的攻击对象。
2023年上半年就发生了8次跨链桥安全事件,损失金额为1137万美元。
在2022年,12次跨链桥安全事件共造成了约18.9亿美元损失,居所有项目类型损失的第一位。相比于去年,跨链桥在今年的上半年已经发生了7次安全事件,再加上近日出现的Poly Network 和Multichain的安全事件已出现了10起安全事件,跨链桥安全事件有比去年更为严重的发展态势。主要被攻击原因为智能合约漏洞、闪电贷等。
项目方在设计跨链消息传输协议时将安全放在第一位。
区块链钱包是区块链中一个重要组成部分,是一种数字货币存储和管理工具,它允许用户安全地保存、接收和发送各种加密货币,如比特币、以太坊和其他代币。钱包安全一直是区块链行业的一个热门话题,一旦钱包受到攻击,攻击者可以轻易地窃取用户的私钥和助记词等敏感信息,进而掌握用户的数字资产。这些数字资产的价值可能非常高,一旦被盗,损失也会非常惨重。因此,为了最大限度地保障用户的数字资产安全,我们建议用户采取一些安全措施。
2023年上半年中,钱包被攻击的安全事件相比于其他类型数量较少,但是,当钱包受到攻击,损失便是较大的数额。如Atomic与MyAlgo的钱包事件,两次攻击事件造成了高达1.09亿美元的损失。
事件数量总数排名第三的类型为钱包,该类别发生安全事件的原因大多是私钥、助记词泄露。
选择可信的钱包提供商:选择一个有良好声誉和可靠历史记录的钱包提供商。确保了解他们的安全实践,如何保护用户数据和私钥等敏感信息。
使用双重身份验证:启用双重身份验证可以增加您账户的安全性。这种方法需要您在登录时输入除用户名和密码外的另一种身份验证方式,例如验证码或指纹识别。
不要分享您的私钥:私钥是您加密货币的所有权证明。不要与任何人分享您的私钥,包括钱包提供商。如果有人要求您提供私钥,那么这很有可能是一种行为。
定期备份您的钱包:定期备份您的钱包可以确保您在钱包丢失或遭受攻击时可以恢复您的加密货币。您可以将备份保存在安全的地方,例如离线设备或硬件钱包中。
小心处理未知的电子邮件或信息:不打开或下载未知来源的电子邮件或信息。这些可能包含恶意软件或链接,可能会导致您的钱包被攻击。
确保您的计算机和手机设备是安全的:确保您的计算机和手机设备具有最新的防病和安全更新,以保护您的设备免受攻击。
不要在公共场所使用未知的Wi-Fi网络,因为这些网络可能不安全,可能会被黑客用来攻击您的钱包。
确保您的钱包软件是最新的:确保您的钱包软件是最新版本。新版本通常包含安全更新和修复,可以帮助您保护您的钱包免受攻击。
关注有关钱包安全的最新信息:了解有关钱包安全的最新信息和事件,以帮助您保持对钱包安全的了解,并采取适当的预防措施。
通过对2023年上半年区块链安全事件的整理,发现链上应用是半年来被攻击频次最高、损失金额最多的项目类型。链上应用领域共发生157次安全事件,其中32次都基于合约漏洞进行攻击。
面对频出的安全事件,研发者应该进一步遵循安全编码、审计合约代码、使用成熟的安全库等保障用户权益;而作为使用智能合约的用户也应该谨慎选择合约,并在使用前仔细检查其代码和安全性,选择专业的安全公司进行审计。当安全事件发生时,用户能做到的很有限,只有不断提高自身的安全意识,提前发现漏洞,解决漏洞,做好防范才能尽可能避免被攻击。
本报告提供的信息仅供参考和研究,信息来源于公开渠道,作者已经尽力核实准确性和完整性,但不能保证其准确性和完整性,也不承担因使用或依赖该信息而产生的任何损失或损害的责任。本报告不应视为对任何特定区块链项目或加密货币投资的推荐或建议,读者应该自行进行研究和决策。本报告的内容不能替代读者的判断和决策,也不能保证所述情况的持续存在或实现。
金色财经
企业专栏
阅读更多
金色荐读
Block unicorn
区块链骑士
金色财经 善欧巴
Foresight News
深潮TechFlow
作者:Terry,白话区块链加密世界最不缺的就是叙事,从上海升级、BRC20、Meme 乃至老调重弹的减半叙事,每一次热炒都会激起新的市场关注,而其中一些关键叙事的轮动演进.
1900/1/1 0:00:00听听 Azuki 社区 OG 如何看待这次 Fud 事件。本文转录自 STEPN 首席增长官、Multicoin Capital 前合伙人 Mable 的播客 HODLong 后浪.
1900/1/1 0:00:00作者:BlockBeats一夜千倍的 BALD,曾霸占 Base 生态龙头,14 个小时左右的时间,2000 倍涨幅。但是仅仅过了数个小时,$BALD 就露出了獠牙将一切毁灭.
1900/1/1 0:00:00作者:Drew Van der Werff and Alex Ma,Frontier Research;编译:白话区块链TLDR:1.历史表明,衍生品可以加强现货市场.
1900/1/1 0:00:00作者:Ray, IOSG Ventures区块链作为大型的计算机系统,当前的系统复杂程度已经远远超过5年以前的水平, 基础设施模块化程度更加精细.
1900/1/1 0:00:00在这篇文章中,我们首先会以数据呈现NFT市场近期熊市状态的具体表现,进而分析阻碍NFT市场增长的主要原因.
1900/1/1 0:00:00