比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > FTT > Info

區塊鏈安全生態2021年大盤點 典型安全事件數量超332起_區塊鏈

Author:

Time:1900/1/1 0:00:00

2021年度盤點

隨著2021年區塊鏈行業迎來新的發展時期,區塊鏈作為“新基建”的重要組成部分,與實體經濟和數字經濟加速融合,穩步推進,區塊鏈應用價值得到進一步凸顯。與此同時,各類區塊鏈安全風險也伴隨著技術的大規模應用不斷升級。

在過去的2021年,區塊鏈面對了更嚴峻的安全挑戰,區塊鏈生態領域發生了不少大規模和令人震驚的網絡攻擊事件。今天,跟著我們一起來回顧2021年區塊鏈安全生態都發生了什么。

2021年區塊鏈安全生態概覽

根據成都鏈安[鏈必應-區塊鏈安全態勢感知平臺]監測到的數據不完全統計,截止發稿前,2021年整個區塊鏈生態發生的相關典型安全事件數量超332起,相比于2020年的270起,增幅超22%;2021年,整個區塊鏈生態造成的經濟損失超153億美金,較2020年增幅超26%。

值得注意的是,據成都鏈安安全團隊歷年數據統計,2018年區塊鏈生態經濟損失超20億美元,2019年區塊鏈生態經濟損失超60億美元;2020年區塊鏈生態經濟損失超121億美元,加上2021年超153億美元的經濟損失,可見這幾年來,區塊鏈生態經濟損失越發嚴峻。

2010年-2021年區塊鏈生態經濟損失

自2016年以來,區塊鏈生態經濟損失逐年增多,源于近幾年來區塊鏈行業進入到一個高速發展的階段,伴隨著區塊鏈底層技術逐步走向成熟,區塊鏈應用價值愈加獲得認可,區塊鏈生態所承載的經濟效益逐年提升,隨之而來的安全風險也愈發嚴峻。

全球加密資產普及程度提升且總市值不斷突破歷史新高,黑客與不法分子的犯罪行為隨之更加猖獗。

反映問題方面,其一,整個區塊鏈生態當下仍缺乏普適的安全標準和安全規范,行業亂象難以得到有效遏制;其二,區塊底層技術在應用層、合約層、網絡層、共識層分別仍然存在著各種不容忽視的安全風險;其三,區塊鏈生態的安全監管進程亟待推進,如何實現高效可行的安全監管,是整個行業需要重點攻堅的難題所在。

XMEX CMO芝彤:女性自身敏感謹慎的優勢可以為區塊鏈行業貢獻更多的力量:8月2日,由金色財經主辦的“共為·創新者大會”在鄭州舉行。在“行業新風口下女性創新者如何“乘風破浪”圓桌環節,XMEX CMO芝彤表示,XMEX已在美國、日本、新加坡、香港建立運營中,目前XMEX全球用戶數已突破200萬,日均交易額170億美元。加密貨幣市場永遠伴隨著高風險、高投資,棋差一招就可能會萬劫不復,如此重要的領域中需要女性領導發揮自身敏感、謹慎的優勢去正確的引領平臺、用戶做出最佳的抉擇。對于一個本就是創新技術的區塊鏈來講,需要這樣的女性相結合,更好的走向未來,而這一點也將加速區塊鏈的生態布局,達到行業平衡的狀態。

關于“ 她力量”如何真正崛起,芝彤認為這并非能夠是一人之功,而需要整個市場的合作運化,只有區塊鏈行業發展的更好,“她力量”才會崛起,更加的強大。[2020/8/2]

除區塊鏈技術架構本身所存在的安全風險之外,其諸如去中心化、難篡改、匿名等“基因特性”也為區塊鏈安全監管層面帶來了不容忽視的挑戰。具體表現為三個方面。

一是區塊鏈技術無國界限制,區塊鏈網絡節點可存在多個國家,鏈上產生的異常行為追蹤,引發管轄權限困境、責任認定困境等問題。

二是區塊鏈的強隱秘性,無疑增加了安全事件和犯罪行為的追蹤溯源難度。

三是區塊鏈的防篡改性,為有害信息、犯罪行為等形成天然庇護,向行業安全監管提出挑戰。

2021年區塊鏈安全事件全畫像

典型安全事件數量

根據成都鏈安[鏈必應-區塊鏈安全態勢感知平臺]監測到的數據不完全統計,截止發稿前,2021年整個區塊鏈生態發生的相關典型安全事件數量超332起,安全事件爆發峰值在8月,6、7月安全形勢也較嚴峻。

典型安全事件類型占比

安全事件主要集中在交易所、DeFi、詐騙跑路/加密騙局、勒索軟件/挖礦木馬、暗網、其他等方面,其中DeFi安全事件101起、詐騙跑路/加密騙局95起,成為年度主要的安全事件來源。

廣州大學黃埔研究院引進院士團隊重點開展區塊鏈等優勢學科研究:5月28日,在全國兩會期間,廣州開發區、廣州高新區、廣清經濟特別合作區共同舉行“百大項目慶百年”暨2020年第二季度重大項目集中動工活動。作為廣州開發區本次項目集中動工的主戰場,知識城動工項目66個,占該區當天動工項目總數的六成。廣州大學黃埔研究院引進張景中、方濱興、杜彥良、鄭志明等4名院士及院士團隊,重點開展計算機科學與技術、網絡空間安全、人工智能與區塊鏈、信息與通信工程等4大優勢學科研究。項目預計2022年全職研發人員、在院研究生規模達到3000人,打造網絡安全、人工智能與區塊鏈、5G應用等領域的全鏈條新一代信息技術產業高地。(21財經)[2020/5/28]

2021年典型安全事件分布類型

典型安全事件導致的經濟損失金額

據成都鏈安[鏈必應-區塊鏈安全態勢感知平臺]監測數據不完全統計,2021年安全事件造成的經濟損失超153億美金,較2020年的121億美金趨勢依然走高。其中詐騙跑路/加密騙局導致的經濟損失形式最為嚴峻。

2021各類型典型安全事件造成的經濟損失金額

安全風險分析及應對策略

作為多種技術整合的一種全新的數據記錄、存儲和表達的方式,區塊鏈技術能夠在不可信的競爭環境中低成本建立信任機制,同時又具備一系列加密算法和數字簽名等方式以確保交易安全,并形成一種隨時間戳排序的鏈式結構來保證數據不被篡改。可盡管如此,區塊鏈既是堅韌的安全捍衛者,同時也是脆弱的被攻擊對象。

DeFi生態方面

由于DeFi熱潮的興起,該領域也自然成為了2021年黑客“大展拳腳”的重點對象。

動態 | 第三屆中國區塊鏈技術與應用大賽初賽在京舉辦:“通證改變未來 · 第三屆中國區塊鏈技術與應用大賽”今天在清華大學舉行初賽,大賽吸引了國內外共33家應用類與基礎設施類區塊鏈初創企業參賽。經過長達8個小時的比賽,應用類“醫時間”與基礎設施類“綠洲網絡”摘得小組桂冠。本次大賽由貴陽國家高新區管委會和中關村區塊鏈產業聯盟聯合主辦,星環創世(北京)傳媒科技有限公司獨家承辦。[2018/10/16]

建議

項目上線前,DeFi項目方應做好前置預防工作,尋求第三方安全公司進行嚴格的安全審計,引入一整套態勢感知、威脅情報、安全響應等全生命周期的安全解決方案,完善安全防護機制。作為用戶,在選擇項目時,應留意該項目是否經過第三方安全公司的安全審計,是否具備權威的安全審計報告,切不可掉以輕心。

詐騙跑路/加密騙局方面

2021年詐騙跑路/加密騙局方面所造成的經濟損失遠超于黑客的攻擊行為和盜竊行為。波及人數多、遍布區域廣、涉案金額高等原因推波助瀾,進而導致該領域安全事件高發,經濟損失嚴重。

作為用戶和投資者,應提高警惕,謹慎甄別投資產品和投資項目,不盲從,不跟風。加強自身安全意識和防騙意識,謹慎分辨網絡上的有關消息,切莫掉進圈套。行業各方從業者應積極配合相關部門,推動整個區塊鏈生態安全監管的進程建設。

勒索軟件/挖礦木馬方面

勒索軟件方面,黑客一般會通過釣魚攻擊、病軟件、漏洞攻擊鎖定受害人的網絡設備或加密重要文件,以此勒索指定加密資產;而挖礦木馬方面,則會利用挖礦木馬和蠕蟲來完成大量計算以獲取加密資產,在計算過程中,計算機大量的CPU、GPU資源被占用,將導致計算機變得異常卡慢,干擾正常系統運行。

應避免使用弱口令密碼,同一個密碼不能重復使用。日常工作中應加強安全防護,不要輕信或下載來源不明的鏈接或文件,謹慎打開來歷不明的郵件或網址。聯合全球力量,嚴厲打擊勒索軟件/挖礦木馬,推動行業安全監管進程建設。

暗網方面

聲音 | 網易星球顧費勇:希望能推動“區塊鏈+場景”真正落地:網易星球負責人顧費勇表示,相信在網易星球公測2.0發布的個人數據護照模式上會產生新的商業模式,目前基于區塊鏈并沒產生新的商業模式,只是在現有商業模式上重新做分配。阿里和百度布局區塊鏈的做法并不適用于網易,星球的布局,目前一方面是區塊鏈和場景的結合,另一方面就是NBaaS的嘗試。[2018/9/17]

2021年暗網方面依然是網絡犯罪活動頻發的不法之地,犯罪分子為逃避有關部門的監管和追蹤,基于加密資產的匿名特性,多會選擇以比特幣、萊特幣等作為交易媒介。

作為用戶,應正確使用互聯網,規范網絡道德。作為網絡安全公司,需加強暗網治理有關技術,協助相關部門參與到打擊暗網和黑灰產業鏈的專項行動中。加強國際合作,提升全球治理和管理暗網的整體實力。

交易所方面

交易所是距離用戶資產最近的地方,用于海量資產的管理存儲及撮合交易,因此一直以來也是黑客首當其沖的攻擊目標。

從交易所應建立完善的安全風控應急預案,以及時響應并處置各類黑客攻擊事件的發生。交易所應建立全面的安全防護機制,加固平臺自身安全架構,并適時對平臺進行來自第三方安全公司的整體安全測試。加強對內部員工和用戶的安全意識普及,避免出現監守自盜的情況。

其它方面

其他方面,諸如信息泄露、隱私保護、私鑰竊取、非法洗錢等各領域所發生的安全事件依然不容忽視。同時,隨著區塊鏈技術與多個產業領域實現大規模融合及應用,未來各類型的安全事件將呈高發態勢,值得重點關注,需及時搭建起具備針對性的安全防御機制。

建議

行業各方從業者在關注熱點領域安全事件的同時,也需兼顧其他方面的安全風險。在夯實傳統安全、網絡安全的基礎上,積極應對區塊鏈生態各領域的安全挑戰。加強對區塊鏈安全技術的投入與研究,建立覆蓋區塊鏈生態全生命周期的安全解決方案。

2021年區塊鏈十大安全事件盤點

根據事件的損失金額大小,一起來回顧2021年十大安全事件。

遠望資本創始合伙人:區塊鏈可以解決大數據時代用戶隱私的問題:金色財經現場報道,在飛鳥·區塊鏈技術與應用高峰論壇上,遠望資本創始合伙人田鴻飛以《大數據應用與用戶隱私之矛盾的解決方案》為主題進行演講,田鴻飛表示,用戶對隱私的保護并不是不分享數據,用戶擁有被告知的權利,并控制數據使用范圍的權利。而傳統數據庫方案完全不透明,區塊鏈作為解決方案,可以讓用戶掌控數據,數據使用方可以直接在加密數據上進行數理統計運算,任何對用戶數據訪問和授權都有可審計的記錄。[2018/3/29]

?No1.?

POLY NETWORK:6.11億美元?

時間:2021 年 8 月 10日

攻擊手法:合約權限管理邏輯存在問題

8月10日晚,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,跨鏈協議Poly Network 遭受攻擊,Ethereum、BinanceChain、Polygon3條鏈上近6億美元資金被盜。

經過分析,成都鏈安技術團隊發現攻擊者利用EthCrossChainManager合約中存在的邏輯缺陷,通過該合約調用EthCrossChainData合約中putCurEpochConPubKeyBytes函數更改Keeper為自有地址,然后使用該地址對提取代幣的交易進行簽名,從而將LockProxy合約中的大量代幣套取出來。

?No2.?

BITMART:1.96億美元?

時間:2021?年?12月4日

攻擊手法:熱錢包私鑰被盜

10月4日,加密貨幣交易平臺Bitmart遭黑客竊取1.96億美元,該平臺官方聲明了黑客入侵事件,表示這是一次大規模安全攻擊事件。其中約1億美元來自以太坊區塊鏈的各種加密貨幣,9600萬美元來自幣安智能鏈上的貨幣。后來,BitMart創始人兼CEO Sheldon Xia在社交媒體表示,BitMart已完成初步安全檢查并確定受影響的資產,主要是由于兩個熱錢包被盜私鑰造成的。

?No3.?

?Compound:1.47億美元??

時間:2021?年9月30日

攻擊手法:代幣分發的速率初始設定出錯

9 月 30 日,頭部去中心化借貸協議Compound于官推表示,在通過并執行「治理提案 062」后,升級合約內發錯了一個 BUG,致使 COMP 代幣出現了異常分發情況。錯誤分配了大約 8000 萬美元的超額 COMP,加上滴注后已經索賠的 2200 萬美元以及處于風險中的 4500 萬美元,那么漏洞總計為 1.47 億美元。盡管這更像是“銀行錯誤”而不是漏洞利用,但 Compound 在這個的排行榜上占有一席之地是公平的。

?No4.?

?Vulcan Forged:1.45億美元?

時間:2021年12月13日

攻擊手法:錢包造入侵

12月13日消息,據Vulcan Forged官方推特稱,96 個持有 PYR 的錢包遭到入侵。超過 450 萬 PYR 已被盜。隨后官方表示:1. 我們無能為力,他們無法從 PK 被盜且資金未轉移的錢包中取出資金。2. 我們正在轉向一個完整的去中心化錢包設置。3.所有被盜的PYR將由我們的國庫代替。12月14日,Vulcan Forged在此前遭遇黑客攻擊后已向全部受損用戶賠償價值1.45億美元的Token PYR,所有退款均來自Vulcan Forged財庫。

?No5.?

?Cream Finance:1.3億美元?

時間:10月27日

攻擊手法:閃電貸攻擊

DeFi借貸協議Cream Finance再次遭受攻擊,損失達1.3億美元。被盜的資金主要是CreamLP代幣和其他ERC-20代幣。關于本次攻擊,成都鏈安技術團隊第一時間進行了事件分析發現,本次攻擊是典型的閃電貸進行價格操作,通過閃電貸獲取大量資金后,利用合約設計缺陷,大幅改變價格導致獲利。Cream的預言機價格計算使用與yUSD的totalAsset有關。向yUSD合約直接轉賬時,不會更新Debt,從而使totalAsset增大,從而使得yUSD價格變高,可以從Cream中借出更多的資金。

相關閱讀(點擊可直達):

被盜 1.3 億美元!吸引“渣男”體質?Cream Finance今年第五次遭黑客攻擊全解析

?No6.?

Badger DAO:1.2億美元?

時間:12月2日

攻擊手法:前端惡意代碼注入

12月2日,一名攻擊者利用“前端惡意代碼注入”的攻擊方式,從 Badger DAO 收益金庫協議的數十名用戶的錢包中抽走了資金,總損失約為2100 BTC和151 ETH,合 1.2 億美元。據悉。早在 11 月 28 日,Discord 用戶就開始報告來自 Badger平臺的異常支出請求問題,并在社交媒體和Discord上提醒管理員,不過,相關提醒卻沒有得到官方的重視。

?No7.?

?AscendEX :7770萬美元?

時間:12月12日

12月12日,熱錢包事故致AscendEX損失近8000萬美元。12月12日,AscendEX公告了其在前一天遇到的熱錢包異常,「12 月 11 日大約 22:00 UTC,我們在一個熱錢包中發現了一些未經授權的轉賬。」該交易所未在公告中說明「未經授權的轉賬」出現的原因。從這起安全事件看,保管大量用戶資產的中心化交易所在熱錢包管理上仍存在疏漏。

?No8.?

?EasyFi:5900萬美元?

時間:4月19日

Easyfi.network創始人兼CEO Ankitt Gaur在推特上稱,4月19日,黑客將大量EASY代幣從EasyFi官方錢包轉移到以太坊網絡和Polygon網絡上未知錢包;而管理這些代幣的計算機有超一周處于離線狀態并未使用。4月 19日,借貸協議EasyFi創始人兼CEO Ankitt Gaur稱,有大量EASY代幣從EasyFi官方錢包大量轉移到以太坊網絡和Polygon網絡上的幾個未知錢包。EasyFi調查后稱,本次事件為助記詞破解安全事件,EasyFi智能合約未被黑客利用,只是MetaMask 的助記詞短語或管理員密鑰遭到遠程攻擊,僅消耗了協議的流動性。

?No9.?

?Uranium Finance:5720萬美元?

時間:4月28日

攻擊手法:精度處理錯誤

北京時間2021年4月28日,幣安智能鏈上區塊鏈項目 Uranium Finance 發推提醒用戶稱:Uranium 在流動性遷移過程中被攻擊,提醒用戶停止交易。由于從 Uniswap v2 代碼分叉的 UraniumPair 合約中引入了一個簡單的數學錯誤,導致本次攻擊至少損失了 57,000,000 美元。

?No10.?

?bZx:5500萬美元?

時間:11月5日

攻擊手法:私鑰泄露

11月5日,去中心化金融(DeFi)平臺bZx發生攻擊事故,一名黑客借助魚叉式網絡釣魚攻擊獲得了bZx平臺上用于與Polygon和Binance智能鏈區塊鏈集成的兩把私鑰,通過私鑰發起無限制消費操作,成功盜取bZx平臺價值約5500萬美元的加密貨幣資產。去中心化金融 (DeFi) 平臺允許用戶借貸和推測加密貨幣的價格變化。

最后總結

盡管2021年區塊鏈技術正在加速演進和趨于完善,但層出不窮的區塊鏈安全事件的高發對區塊鏈生態安全形勢發起了更為嚴峻的挑戰。

從2021年的各項統計數據來看,整個區塊鏈生態依然DeFi、詐騙跑路/加密騙局方面更容易成為黑客攻擊和詐騙犯罪滋生的溫床,無論是安全事件數量還是造成的經濟損失數量都非常巨大。多個DeFi項目遭到黑客攻擊,所造成的巨額經濟損失嚴重影響著區塊鏈生態的安全和穩定;虛擬貨幣的普及程度和財富效益逐步攀升,詐騙跑路/加密騙局方面的相關事件風起云涌。

對此成都鏈安建議:

廣大項目方一定要確保項目安全審計,對存在異常的操作進行實時監控,即刻發現,即刻解決;

廣大用戶也應提升相關知識儲備、增強自身的安全意識,避免造成嚴重經濟損失。

Tags:區塊鏈EFIDEFDEFI區塊鏈的未來發展前景分析SquidGameDeFiDeFiStarterDeFi Land

FTT
元宇宙風口之下 Web3.0未來如何破局?_WEB

相信不少讀者今年不斷地聽到一個詞語:Web3.0,尤其在今年元宇宙的風口下,web3.0也更是成為了熱議話題,也是最近一次美國眾議院加密金融聽證會出現的高頻詞匯.

1900/1/1 0:00:00
邁阿密與紐約都發布了CityCoins 想讓城市稅收消失_COI

圖:6月4日,邁阿密市長弗朗西斯-蘇亞雷斯在比特幣2021年大會上發言,這是一個在邁阿密Mana Wynwood會議中心舉行的加密貨幣會議.

1900/1/1 0:00:00
入局NFT數字藝術領域的基礎法律指引_數字藝術

NFT,即Non-fungible token(非同質化通證)在全球藝術文化領域的運用可謂如火如荼。公眾大多聚焦于NFT的技術優勢及令人振奮的交易額,而對這一趨勢背后的法律風險卻不甚了解.

1900/1/1 0:00:00
2021年L2賽道回顧:進展迅速 成績傲人_POL

自2015年7月30日創世區塊誕生至今,以太坊網絡發生了超過14億筆轉賬,日活用戶也穩定在80萬以上,2016年以來,即便有眾多高性能公鏈圍追堵截.

1900/1/1 0:00:00
探索不同類型的鏈游公會 從解構YGG工作室開始_區塊鏈

最近涌現了很多所謂的“公會”,被認為可以與鏈游公會龍頭 YGG 同臺競技,但實際上每個公會的管理和運作都有很大的不同.

1900/1/1 0:00:00
如何利用區塊鏈提高供應鏈金融數字化水平?_區塊鏈

2021年12月,清華大學社會治理與發展研究院與中關村大數據產業鏈盟聯合發布了《中國區塊鏈產業生態地圖報告(2021)》.

1900/1/1 0:00:00
ads