本篇主要聚焦区块链生态安全概览及攻击手法。
区块链安全态势
近两年来,在疫情持续肆虐、经济衰退、能源短缺、地缘冲突升级、国际间竞争加剧等种种因素的影响之下,全球社会与经济发展遭遇了前所未有的挑战。与此同时,全球区块链行业也经历着一场不断加速的变革:区块链技术的效率、安全性和可扩展性得到不断改善,元宇宙、NFT等新兴领域的兴起,使区块链行业正式迈入3.0时代。
根据慢雾区块链被黑事件档案库统计,截至6月30日,2022上半年安全事件共187件,损失高达19.76亿美元。
在这些安全事件中,约77%源于项目自身存在漏洞被攻击者利用,损失金额约18.4亿美元,占安全事件总损失的93%;约21%源于包含Phishing&RugPull的Scams,损失金额约1.3亿美元,占安全事件总损失的6%。
Ripple Q2市场报告:至6月30日Ripple持有的XRP总量超55亿:金色财经报道,Ripple发布2023 Q2市场报告,其中Ripple拥有的XRP分为两类,目前钱包中可用的XRP,以及受账本托管锁定的XRP,这些XRP将在未来42个月内每月释放。对于后一类,Ripple无法访问该XRP,直到托管每月释放给Ripple。释放的绝大多数XRP都被放回托管。
截至2023年3月31日,Ripple持有的XRP总量为5,506,585,918,账本托管的XRP总量为42,800,000,013;截至2023年6月30日,Ripple持有的XRP总量为5,551,119,094;账本托管的XRP总量为41,900,000,005。[2023/8/2 16:13:29]
区块链生态安全概览
根据被攻击对象的不同,我们将187起安全事故分为三部分:公链赛道、交易平台和其他。
公链赛道
作为区块链行业的基础设施,公链承载了人们对于区块链作为Web3底层网络的期望。随着一代又一代公链的崛起,NFT、DeFi、GameFi、元宇宙等生态热潮也相继迎来爆发,同时这些项目也促进了公链的发展与价值提升,使多链世界从理想走向了现实。据FootprintAnalytics的数据,截至6月累计已收录的公链数量有119条,对比2021年6月收录的31条,同比增长约284%。
但公链的快速发展同时是一把双刃剑,在促进产业进步的同时,引发的区块链安全问题也显著增加,我们分别从?DeFi、NFT、跨链桥三方面解析。
报告:非洲5300万加密货币用户中有超过三分之一来自尼日利亚:金色财经报道,根据 Triple A 最新的加密货币所有权数据,非洲大陆现在估计有 5300 万加密货币所有者。这约占全球估计总数 3.2 亿人的 16.5%。在非洲的所有加密货币持有者中,尼日利亚占总数的三分之一以上,即略高于 2200 万。
在全球范围内,尼日利亚的加密货币持有者数量排名第四,而美国是排名第一的国家,拥有 4600 万加密货币持有者。根据数据,印度和巴基斯坦位居第二,分别拥有 2740 万和 2640 万加密货币所有者。[2022/8/31 12:59:01]
DeFi生态
DeFi作为世界上最受欢迎的可编程区块链,2022发展态势不可小觑,据DeFiLlama数据显示,6月30日DeFi总锁仓价值为1432亿美元,其中ETH链以945.5亿美元的TVL占据了资金沉淀的半壁江山,其次是BSC链的110.8亿美元。2021年以来,许多新兴公链如Solana、Avalanche等通过拥抱DeFi快速发展链上生态,也吸引了大量用户和资金沉淀。6月30日SolanaTVL为26.4亿美元,同比增长77%;AvalancheTVL为55.4亿美元,同比增长96%。
随着DeFi热潮的兴起,该领域也自然成为了黑客觊觎的重点对象。根据SlowMistHacked统计,截至6月30日DeFi安全事件约100起,损失超16.3亿美元。其中在BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨链桥上发生的安全事件数量分别为47起、29起、8起、5起、2起、1起、7起,所造成损失分别为1.4亿美元、3.08亿美元、5491万美元、6383万美元、1310万美元、830万美元、10.43亿美元。
圣路易斯联储报告:DeFi或有助于建立更加健全和透明的金融基础设施:美国圣路易斯联邦储备银行(St. Louis Fed )官网近日刊登报告《去中心化金融:基于区块链和智能合约的金融市场》。报告重点介绍了DeFi生态系统的机遇和潜在风险。报告称,术语去中心化金融(DeFi)是指建立在以太坊区块链之上的替代金融基础设施。DeFi使用智能合约来创建协议,以更开放,可互操作且透明的方式复制现有金融服务。
巴塞尔大学分布式分类账技术和金融科技教授Fabian Sch?r提出一个多层次的框架来分析隐含的架构和各种DeFi构建模块,包括代币标准、去中心化交易所、去中心化债务市场、区块链衍生品和链上资产管理协议。报告的结论是,DeFi仍然是一个具有一定风险的利基市场,但它在效率、透明度、可访问性和可组合性方面也具有有趣的特性。因此,DeFi可能有助于建立一个更加健全和透明的金融基础设施。[2021/2/9 19:19:45]
NFT生态
基于区块链技术的NFT也是需要重点关注的对象,随着一批头部NFT项目的崛起和各路名人的参与,NFT极速发展。根据DuneAnalytics的数据,OpenSea的交易量在1月份达到上半年最高峰2.84亿美元,而随着加密货币市场的变化,OpenSea在6月份的交易量只有1558万美元,下滑94%。在NFT的热潮中,目前以太坊生态的NFT在市值和交易量依旧占据市场的主流,交易量超90%。除了以太坊外,从近30天交易量和近7天交易量这些短期数据来看,Solana,Flow等生态的NFT也正在快速发展,且表现亮眼,多链时代距离我们越来越近。
动态 | USDC八月审计报告:已发行和未偿付的USDC未超过托管美元余额:独立会计事务所Grant Thornton已发布USDC美元储备的八月审计报告。 报告显示: 1. 截止太平洋时间8月31日23:59,已发行和未偿付的USDC代币数量为453,785,690 USDC; 2. 同时,托管账户中的美元储备为453,848,516美元; 3. 截至报告审计日期,已发行和未偿付的USDC代币未超过托管账户中所持有的美元余额。[2019/9/17]
蓬勃发展的同时意味着赛道发生的安全事故也不在少数,根据SlowMistHacked不完全统计,截至6月30日NFT赛道安全事件约48起,损失超6281万美元。其中33.4%源于项目自身存在的漏洞被攻击者利用,20.8%源于RugPull,而钓鱼攻击占了大部分,占比为45.8%,多数都是由于Discord/Twitter等媒体平台被黑后黑客发布钓鱼链接。
并且随着时间推移,不法分子的攻击逐渐猖獗,根据TRMLabs发布的报告,在5、6两个月,由TRMLabs社区主导的报告平台Chainabuse收到了超过100份关于Discord黑客攻击的报告;自5月以来,NFT社区损失约2200万美元;6月,黑客在被黑的Discord中发布NFT相关的钓鱼攻击同比增加了55%。
动态 | 报告:Cumberland场外交易中出现多笔BTC大额交易,推测是真实买家:4月4日,总部位于芝加哥的DRW控股有限责任公司的加密货币交易部门Cumberland报告称,4月1日晚间的1小时之内,该公司OTC交易中突然出现多笔大规模比特币交易。交易所跟踪的十三个相关订单都超过了1000 BTC(当时价值约为490万美元),而这些买盘似乎是真实的买家,而不是被迫清算的。[2019/4/6]
跨链桥
随着区块链的发展,目前已经进入一个以太坊为核心多链并存的局面,链与链之间的资产转移、智能合约的跨链交互已成为链上活动的日常,跨链桥作为区块链基础设施的地位越发凸显。根据DuneAnalytics数据,截至6月30日以太坊中15个主要跨链桥的锁定总价值约83.9亿美元。目前TVL最高的是PolygonBridges,排名第二的是ArbitrumBridge,随后是AvalancheBridge。
由于流动资金量大,去中心化程度低,权限几乎都掌握在多签钱包中等特性,跨链桥也成了黑客眼中的“香饽饽”。根据SlowMistHacked统计,截至6月30日跨链桥安全事件共7起,损失高达10.43亿美元,占比DeFi上半年总损失的64%,占比上半年总损失的53%。值得注意的是上半年,损失金额上亿美元的事件4起中就有3起来自跨链桥。作为多链生态的重要基础设施,跨链桥一方面承担着巨量的资金流动,为用户带来了极大的便利,另一方面在安全性和去中心化水平上面临许多挑战,需要项目方提升安全、风控等能力。
交易平台
加密货币行业一直处在监管漩涡中,首当其冲的就是加密货币交易平台。交易平台发生的安全事故分析如下:以全球交易量最大的平台Binance为例,自2021年来,Binance已遭到数十个国家和地区的监管警告,包括欧洲、美洲、亚洲在内的多个地区。在全球强力监管信号下,Binance陆续在西班牙、法国、阿布扎比、迪拜、意大利、巴林等国家或地区获得了监管许可并进行了注册,逐步推进其合规化进程。
在上半年,全球共发生4起交易平台安全事件,损失超7770万美元,具体如下:
1月9日,LCX技术团队在LCX交易平台上检测到一个未经授权的访问,总共约794万美元的加密资产被盗。
1月17日,Crypto.com少数用户遭到未经授权提款,损失约3400万美元,包括4,836.26ETH、443.93BTC和约66,200美元的其他加密货币。
2月8日,LockBit勒索软件团伙称从加密货币交易平台PayBito窃取了大量客户数据。
2月12日,来自美国南达科他州提供自主退休金账户的IRAFinancialTrust对加密交易平台Gemini提起诉讼,指控称由Gemini保管的属于客户退休账户的3600万美元加密资产被盗。
慢雾安全团队建议各大交易平台健全内部管理与技术机制,通过引入安全审计机制、零信任机制、冷热资产安全解决方案等来加强对数字资产的安全保障。
其他
不法分子看中加密货币的匿名性,区块链已成为网络黑产的新风口,呈现出越来越明显的组织化与专业化趋势,“勒索”、“欺诈”及“盗窃”已成为加密货币巨大安全威胁。据中国人民银行支付结算司数据,2021年涉诈款项的支付方式中,利用加密货币进行支付仅次于银行转账,排名第二位,高达7.5亿美元;而2020年、2019年仅为1.3、0.3亿美元,逐年大幅增长的趋势明显。值得关注的是,加密货币转账在“杀猪盘”中增长迅速。2021年“杀猪盘”资金中1.39亿美元使用加密货币支付,是2020年的5倍、2019年的25倍。
攻击手法概览
以上187起安全事件中,攻击手法主要分为四类:由项目自身设计缺陷和各种合约漏洞引起的攻击;包含RugPull、钓鱼攻击等手法的Scam;由于私钥泄露引起的资产损失;前端恶意攻击,这四种主要攻击手法占比安全事件总数量的95%。
上半年由项目自身设计缺陷和各种合约漏洞引起的攻击共92起,造成损失10.6亿美元,其中利用闪电贷引起的攻击有19起,造成损失6133万美元。因私钥被盗引起的资产损失发生率约为4%,损失金额却达到7.2亿美元。随着Web3的火热发展,针对用户和开发人员的攻击层出不穷,尤其是针对Discord、Twitter等媒体平台的钓鱼攻击,黑客通常会在获取到管理员或者账户权限后,伪装成管理员身份并发布钓鱼链接。并且这些钓鱼网站的制作成本非常低,在对知名NFT项目进行Copy后,通过赠送、免费等字眼诱导用户授权,从而转移用户资产。而RugPull则是项目方主动作恶,上半年RugPull事件已达到42起,大部分发生在BSC链。
总结
尽管2022年区块链技术正在飞速发展并且逐渐完善,但层出不穷的加密货币攻击事件对区块链生态安全态势提出了新的挑战。从统计数据来看,上半年发生安全事件次数较多的月份主要在5、6月;从各生态来看,BSC上安全事件发生最多;从赛道来看,损失最多的是跨链桥。
对此慢雾安全团队建议:
对于机构和企业来说,最好能够建立全面的网络安全防护系统,防护从各个层次入侵的网络安全威胁,并通过威胁感知体系快捷获取病木马、钓鱼、网络安全预警、漏洞报告在内的安全情报,一旦发生安全威胁能够及时进行处理。
对于个人用户来说,遵守以下安全法则及原则,可以避免大部分风险:
两大安全法则:
零信任。简单来说就是保持怀疑,而且是始终保持怀疑。
持续验证。你要相信,你就必须有能力去验证你怀疑的点,并把这种能力养成习惯。
安全原则:
网络上的知识,凡事都参考至少两个来源的信息,彼此佐证,始终保持怀疑。
做好隔离,也就是鸡蛋不要放在一个篮子里。
对于存有重要资产的钱包,不做轻易更新,够用就好。
所见即所签。即你看到的内容就是你预期要签名的内容,当你签名发出去后,结果就应该是你预期的,绝不是事后拍断大腿的。
重视系统安全更新,有安全更新就立即行动。
不乱下程序。
在此,十分推荐阅读并掌握《区块链黑暗森林自救手册》。
区块链发展道阻且长,期望随着行业的不断完善,区块链可以迸发出更大的力量,走向更大的舞台
BryanPellegrino分享他神奇人生背后那些最有价值的思考。在创立LayerZero之前,Pellegrino曾是一位职业扑克选手,成功地把一套自己编写的机器学习工具销售给了一支MLB球.
1900/1/1 0:00:00一文讲解投资DAO的现状,以及赛道内表现最亮眼的参与者、其所使用的工具与框架,以及当前所面临的挑战.
1900/1/1 0:00:00随着网络视频《回村三天,二舅治好了我的精神内耗》的爆火,一种名为二舅币的虚拟货币也悄然登上历史的舞台,近日更是传出“二舅币”发行3天内圈钱约130万美元,且项目方疑似卷款跑路的消息.
1900/1/1 0:00:00撰文:ThePrimedia研究员Spike??当我们在Google检索DID一词时,首先会跳出的是其医学解释——「多重人格障碍」,而非我们熟知的去中心化身份概念.
1900/1/1 0:00:00注:原作者为Jean-PaulFaraj熊市是积累财富的最好机会。游客都已离开,现在正是淡季。这是建设者们埋头工作的时候,也是投资者对下一个大趋势下注的时候.
1900/1/1 0:00:00公链的那些性能指标,都代表了什么?本文来自a16z?原文作者:JosephBonneau由Odaily星球日报译者Katie辜编译.
1900/1/1 0:00:00