慢霧：全方位回顧2022年區塊鏈安全生態_ISC

回顧過去的一年，我們看到加密領域出現了很多新場景，新應用和新變化。玩家也在逐漸增多，但是安全問題也一直困擾著行業的發展。因此，慢霧整理了?2022?年行業中出現的那些重大的安全時間，并進行了相應的分析和解讀。

根據慢霧區塊鏈被黑事件檔案庫統計，?2022年安全事件共295件，損失高達37.28億美元。相比2021年的97.95億美元下降約62%?，但這并不包括因市場動蕩而損失的資產。

DeFi、跨鏈橋、NFT等安全事件245起，交易所安全事件10起，公鏈安全事件11起，錢包安全事件5起，其他類型安全事件24起。

從時間上來看，?5?月和?10?月攻擊事件數量最高，達到?38?件。3?月損失金額最高，達到約?7?億美元。

Terra事件了。5月8日，加密貨幣市場上出現了史上最具破壞性的一次崩盤。Terra網絡的算法穩定幣UST出現了2.85億美元的巨額拋售，引發了一系列連鎖反應。Terra的原生代幣?LUNA的價格突然毫無征兆的連續跳崖式暴跌，一天時間，Luna市值蒸發了近400億美元，全生態項目TVL也幾乎歸零。此次事件或許成為了開啟2022加密寒冬的死亡按鈕。DeFi/跨鏈橋

據?DeFiLlama?數據顯示，截止12月底，DeFi總鎖倉價值約為398億美元，同比巨降?75%?。Ethereum以占比整個DeFiTVL的58.5%?占據主導地位，緊隨其后的是TRON，TVL為43億美元，BNBChain(?BNB?)為42億美元。有趣的是，?2022年5月，Ethereum的?TVL在DeFi中的占比減少了35%?，而?TRON的TVL占比增長了47%?。

根據?SlowMistHacked?統計，?2022年BNBChian上發生安全事件約90起，總損失金額約7.85億美元，居各鏈平臺損失金額第一位。而Ethereum上發生安全事件約50起，總損失金額約5.28億美元，其次是Solana上發生安全事件約11起，總損失金額約1.96億美元。

慢霧：Apple Store惡意釣魚程序可模仿正常應用程序，盜取賬號密碼以繞過2FA:7月25日消息，慢霧首席信息安全官23pds發推提醒用戶注意Apple ID出現的最新攻擊案例，其中Apple Store出現惡意釣魚程序，通過模仿正常應用程序盜取用戶賬號和密碼，然后攻擊者把自己的號碼加入雙重認證的信任號碼，控制賬號權限，用來繞過蘋果的2FA。“加密貨幣用戶務必注意，因為目前有不少用戶、錢包的備份方案是iCloud備份，一旦被攻擊，可能造成資產損失”。[2023/7/25 15:56:56]

據DuneAnalytics的數據，以太坊跨鏈橋的鎖定總價值約83.9億美元，對比上半年降低了約31%?。目前TVL最高的是PolygonBridges，排名第二的是ArbitrumBridges，隨后是OptimismBridges。跨鏈橋允許用戶將加密資產從一條鏈轉移到另一條鏈，主要解決多鏈擴展問題。然而，跨鏈橋智能合約中的大量資金加上缺少安全審計，引來了黑客的目光。

根據?SlowMistHacked?統計，?2022年跨鏈橋安全事件共15起，損失高達12.1億美元，占比?2022?年總損失的32.45%?。

總而言之，對項目方來說，想要盡可能的消除漏洞、降低安全風險，就必須做出有效的努力——在項目上線之前，對其進行全面深入的安全審計。同時，建議各項目方通過引入多簽機制來加大資產保護的力度。另一方面，各項目在進行協議間交互或移植其他協議的代碼時，需充分了解移植協議的架構以及自己項目的架構設計，做好協議之間的兼容性，防止資金損失情況的發生。對用戶來說，隨著區塊鏈領域的玩法愈發多樣化，用戶在進行投資前認真了解項目背景，查看該項目是否有開源、是否經過審計，在參與項目時需要提高警惕，注意項目風險。

NFTScan?數據顯示，在以太坊上的NFT全年交易次數達1.98億次，明顯高于2020年和2021年。而在BNBChain上的NFT全年交易次數達3.45億次，在Polygon上的NFT全年交易次數達7.93億次。

慢霧：警惕針對 Blur NFT 市場的批量掛單簽名“零元購”釣魚風險:金色財經報道，近期，慢霧生態安全合作伙伴 Scam Sniffer 演示了一個針對 Blur NFT 市場批量掛單簽名的“零元購”釣魚攻擊測試，通過一個如圖這樣的“Root 簽名”即可以極低成本（特指“零元購”）釣走目標用戶在 Blur 平臺授權的所有 NFT，Blur 平臺的這個“Root 簽名”格式類似“盲簽”，用戶無法識別這種簽名的影響。慢霧安全團隊驗證了該攻擊的可行性及危害性。特此提醒 Blur 平臺的所有用戶警惕，當發現來非 Blur 官方域名(blur.io)的“Root 簽名”，一定要拒絕，避免潛在的資產損失。[2023/3/7 12:46:39]

另一方面，根據?SlowMistHacked?不完全統計，?2022年NFT賽道安全事件約56起，損失超6543萬美元，其中大部分是由釣魚攻擊導致，占比約為40%?，其次是RugPull，占比約為21%?。

錢包/交易平臺

2月8日，美國司法部發布公告稱，已經查獲了價值36億美元的比特幣，這些比特幣與2016年加密貨幣交易所Bitfinex的黑客事件有關。34歲的IlyaLichtenstein和其31歲的妻子HeatherMorgan在紐約被捕，兩人被指控共謀洗錢和詐騙罪。這也是美國司法部有史以來最大規模的金融扣押。

11?月?6?日，幣安創始人?CZ?發推稱決定清算賬面上所有剩余的?FTT，由此引發兩大交易所之間的對峙。盡管?AlamedaCEO?和FTXCEOSBF?接連發推試圖穩固用戶信心并辟謠此前曝光的消息，但還是引發?FTX在流動性枯竭后迅速破產。最終，FTX?暴雷，SBF?被捕。中心化交易所的不透明再度引發人們的信任危機，缺乏審慎監管的問題越發凸顯。無論是對消費者更嚴格的保護，還是對機構更明確的規則，監管的腳步都將愈發清晰。

在FTX暴雷后，硬件錢包的銷量大幅增長，用戶量最多的錢包MetaMask月活用戶達3000萬。根據?Finbold?數據顯示，基于排名前21個加密貨幣存儲APP應用，在2022年1月至2022年10月期間，Android和iOS設備上的加密錢包下載量已經達到約1.0206億次。雖然這個數字低于2021年牛市期間的1.7785億次下載量，但比除2021年之外的任何一年都高。按月細分數據顯示，加密錢包下載量年初呈下降趨勢，但在Terra/Luna崩潰以及FTX暴雷后均出現較大幅度增長。

慢霧：Equalizer Finance被黑主要在于FlashLoanProvider合約與Vault合約不兼容:據慢霧區消息，6 月 7 日，Equalizer Finance 遭受閃電貸攻擊。慢霧安全團隊以簡訊形式將攻擊原理分享如下：

1. Equalizer Finance 存在 FlashLoanProvider 與 Vault 合約，FlashLoanProvider 合約提供閃電貸服務，用戶通過調用 flashLoan 函數即可通過 FlashLoanProvider 合約從 Vault 合約中借取資金，Vault 合約的資金來源于用戶提供的流動性。

2. 用戶可以通過 Vault 合約的 provideLiquidity/removeLiquidity 函數進行流動性提供/移除，流動性提供獲得的憑證與流動性移除獲得的資金都受 Vault 合約中的流動性余額與流動性憑證總供應量的比值影響。

3. 以 WBNB Vault 為例攻擊者首先從 PancekeSwap 閃電貸借出 WBNB

4. 通過 FlashLoanProvider 合約進行二次 WBNB 閃電貸操作，FlashLoanProvider 會先將 WBNB Vault 合約中 WBNB 流動性轉給攻擊者，隨后進行閃電貸回調。

5. 攻擊者在二次閃電貸回調中，向 WBNB Vault 提供流動性，由于此時 WBNB Vault 中的流動性已經借出一部分給攻擊者，因此流動性余額少于預期，則攻擊者所能獲取的流動性憑證將多于預期。

6. 攻擊者先歸還二次閃電貸，然后從 WBNB Vault 中移除流動性，此時由于 WBNB Vault 中的流動性已恢復正常，因此攻擊者使用添加流動性獲得憑證所取出的流動性數量將多于預期。

7. 攻擊者通過以上方式攻擊了在各個鏈上的 Vault 合約，耗盡了 Equalizer Finance 的流動性。

此次攻擊的主要原因在于 Equalizer Finance 協議的 FlashLoanProvider 合約與 Vault 合約不兼容。慢霧安全團隊建議協議在進行實際實現時應充分考慮各個模塊間的兼容性。[2022/6/8 4:09:22]

其他

慢霧：跨鏈互操作協議Poly Network遭受攻擊并非由于網傳的keeper私鑰泄漏:對于跨鏈互操作協議Poly Network遭受攻擊事件，慢霧安全團隊分析指出：本次攻擊主要在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改，而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了EthCrossChainData合約的keeper為攻擊者指定的地址，并非網傳的是由于keeper私鑰泄漏導致這一事件的發生。[2021/8/11 1:47:48]

區塊鏈技術不可逆、匿名性特征在有效保護隱私的同時，也為網絡犯罪提供了“保護傘”。隨著元宇宙、NFT等概念受到熱捧，加密貨幣盜竊事件、欺詐事件時有發生，很多不法分子打著區塊鏈旗號發行所謂的虛擬資產，實施詐騙，黑灰產的先進與專業度已經遠超想象。

據中國人民銀行支付結算司數據，?2021?年涉詐款項的支付方式中，利用加密貨幣進行支付僅次于銀行轉賬，排名第二位，高達7.5億美元；而2020年、?2019年僅為1.3、?0.3億美元，逐年大幅增長的趨勢明顯。值得關注的是，加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。2021年“殺豬盤”詐騙資金中1.39億美元使用加密貨幣支付，是2020年的5倍、?2019年的25倍。

根據美國聯邦貿易委員會(FTC)發布的一份報告，在自?2021?年年初以來的一年多時間里，已有超過?4.6?萬人報告自己遭遇了加密貨幣騙局，損失總額超過?10?億美元。根據報告，最常見的加密貨幣騙局類型是投資相關欺詐，在總金額?10?億美元中占?5.75?億美元，最常向詐騙者支付的加密貨幣包括BTC、USDT和ETH。

二、攻擊手法

慢霧：Furucombo被盜資金發生異動，多次使用1inch進行兌換:據慢霧MistTrack，2月28日攻擊Furucombo的黑客地址（0xb624E2...76B212）于今日發生異動。黑客通過1inch將342 GRO、69 cWBTC、1700萬cUSDC兌換成282 ETH，并將147ETH從Compound轉入到自己的地址，截至目前該黑客地址余額約170萬美元，另一個黑客地址余額為約1200萬美元。[2021/3/3 18:12:14]

295起安全事件中，攻擊手法主要分為三類：由項目自身設計缺陷和各種合約漏洞引起的攻擊；包含RugPull、釣魚、Scam類型的手法；由私鑰泄露引起的資產損失。

2022年最常見的攻擊手法是由項目自身設計缺陷和各種合約漏洞引起，約92起，造成損失10.6億美元，占總數量的?40.5%?。其中較為主要的是利用閃電貸引起的攻擊，約19起，造成損失6133萬美元，其他包括重入問題、價格操縱、驗證問題等等。

因私鑰被盜引起的資產損失發生率約為6%?，損失金額卻達到7.46億美元，僅次于合約漏洞利用，因私鑰被盜的事件中，損失最大的來自?Ronin?事件，其次是Harmony，都是來自跨鏈橋。

在Web3世界，用戶的安全意識往往是參差不齊，這也導致了針對用戶的釣魚攻擊花樣多多且頻繁發生。例如，攻擊者利用惡意手段將各項目的官方媒體平臺占為己有或者偽造官方媒體號并發布釣魚?Mint、AirDrop?鏈接，還時不時轉發真正的官方號內容來混肴視聽。例如，利用搜索引擎上的廣告宣傳虛假網站或者與官方域名高度相似的域名及內容來以假亂真；例如通過偽造的郵件、吸引人的贈品活動來引你入局；又例如利用新用戶信息差提供假?APP?下載鏈接。無論如何，提高安全意識才是最必要的，同時，一旦發現自己中招，第一時間轉移資產，及時止損并保留證據，必要時尋求業內安全機構的幫助。

其次，最令人憎惡的則是RugPull。RugPull?通常指項目的開發者放棄項目，帶著資金逃跑，更多是項目方主動作惡。它可以以多種方式發生：比如當開發者啟動初始流動性，推高價格，然后撤回流動性項目方先創建一個加密項目，通過各種營銷手段吸引加密用戶投資，并在合適的時機毫無征兆地卷走用戶投資的資金，拋售加密資產，最終銷聲匿跡，投資該項目的用戶也將蒙受巨大損失。再比如推出一個網站，但在吸引了數十萬存款后關閉。2022年RugPull事件達到50起，損失約1.88億美元，常發生于BSC生態及NFT領域。

2022?年其他較為新型的手法為前端惡意攻擊、DNS?攻擊以及?BGP?劫持；最為奇葩的則是人為配置操作失誤導致的資產損失。

三、釣魚/騙局手法

此節只選取部分SlowMist曾披露過的釣魚/騙局手法。

瀏覽器惡意書簽盜取DiscordToken

現在的瀏覽器都有自帶的書簽管理器，在提供便利的同時卻也容易被攻擊者利用。通過精心構造惡意的釣魚頁面可以讓你收藏的書簽中插入一段JavaScript代碼，有了這個幾乎可以做任何事情，包括通過Discord封裝好的webpackChunkdiscord_app前端包進行信息獲取。當Discord用戶點擊時，惡意JavaScript代碼就會在用戶所在的Discord域內執行，盜取DiscordToken，攻擊者獲得項目方的DiscordToken后就可以直接自動化接管項目方的Discord賬戶相關權限。攻擊者拿到了Token等同于登錄了Discord賬號，可以做登錄Discord的任何同等操作，比如建立一個Discordwebhook機器人，在頻道里發布公告等虛假消息進行釣魚。下面是演示受害者點擊了釣魚的書簽：

下面是演示攻擊者編寫的JavaScript代碼獲取Token等個人信息后，通過DiscordServer的webhook接收到。

可以看到，在用戶登錄Web端Discord的前提下，假設受害者在釣魚頁面的指引下添加了惡意書簽，在Discord?Web端登錄時，點擊了該書簽，觸發惡意代碼，受害者的Token等個人信息便會通過攻擊者設置好的Discordwebhook發送到攻擊者的頻道上。

“零元購”NFT釣魚

例如下圖釣魚網站，簽名內容為

Maker：用戶地址

Taker：0xde6135b63decc?47?d?5?a?5?d?47834?a?7?dd?241?fe?61945?a

Exchange：0x7f268357A8c2552623316e2562D90?e?64?2bB?538?E?5??

這是一種較為常見的NFT釣魚方式，即騙子能夠以0ETH購買你所有授權的NFT。也就是說，這是欺騙用戶簽名NFT的銷售訂單，NFT是由用戶持有的，一旦用戶簽名了此訂單，騙子就可以直接通過OpenSea購買用戶的NFT，但是購買的價格由騙子決定，也就是說騙子不花費任何資金就能“買”走用戶的NFT。

此外，簽名本身是為攻擊者存儲的，不能通過Revoke.Cash或Etherscan等網站取消授權來廢棄簽名的有效性，但可以取消你之前的掛單授權，這樣也能從根源上避免這種釣魚風險。

RedlineStealer木馬盜幣

這種攻擊主要是通過Discord邀請用戶參與新的游戲項目內測，打著“給予優惠”等幌子，或是通過群內私聊等方式發一個程序讓你下載，一般是發送壓縮包，解壓出來是一個大概800M左右的exe文件，一旦你在電腦上運行，它會掃描你電腦上的文件，然后過濾包含Wallet等關鍵詞的文件上傳到攻擊者服務器，達到盜取加密貨幣的目的。

RedLineStealer是一種惡意木馬軟件，?2020年3月被發現，在地下論壇上單獨出售。該惡意軟件從瀏覽器中收集保存的憑據、自動完成數據和信用卡等信息。在目標機器上運行時，會搜集如用戶名、位置數據、硬件配置和已安裝的安全軟件等詳細信息。新版本的RedLine增加了竊取加密貨幣的能力，能夠自動掃描本地計算機已安裝的數字貨幣錢包信息，并上傳到遠端控制機。該惡意軟件具有上傳和下載文件、執行命令以及定期發回有關受感染計算機的信息的能力。常常針對加密貨幣錢包目錄、錢包文件進行掃描：

空白支票eth_sign釣魚

連接錢包后并點擊Claim后，彈出一個簽名申請框，同時MetaMask顯示了一個紅色提醒警告，而光從這個彈窗上無法辨別要求簽名的到底是什么內容。其實這是一種非常危險的簽名類型，基本上就是以太坊的“空白支票”。通過這個釣魚，騙子可以使用您的私鑰簽署任何交易。

這種eth_sign方法可以對任意哈希進行簽名，那么自然可以對我們簽名后的bytes?32數據進行簽名。因此攻擊者只需要在我們連接DApp后獲取我們的地址對我們賬戶進行分析查詢，即可構造出任意數據讓我們通過eth_sign進行簽名。

除此之外，還有一種釣魚：在你拒絕上述的sign后，它會在你的MetaMask自動顯示另一個簽名框，趁你沒注意就騙到你的簽名。而看看簽名內容，使用了SetApprovalForAll方法，同時Approvedasset的目標顯示為AllofyourNFT，也就是說，一旦你簽名，騙子就可以毫無節制地盜走你的所有NFT。

這種釣魚方式對用戶會有很強的迷惑性，以往我們碰到的授權類釣魚在MetaMask會給我直觀的展示出攻擊者所要我們簽名的數據。而當攻擊者使用eth_sign方法讓用戶簽名時，MetaMask展示的只是一串bytes?32的哈希。

尾號相同TransferFrom零轉賬騙局

用戶的地址轉賬記錄中不斷出現陌生地址轉賬0USDT，而這筆交易均是通過調用TransferFrom函數完成的。究其原因主要是代幣合約的TransferFrom函數未強制要求授權轉賬數額必須大于0?，因此可以從任意用戶賬戶向未授權的賬戶發起轉賬0的交易而不會失敗。惡意攻擊者利用此條件不斷地對鏈上活躍用戶發起TransferFrom操作，以觸發轉賬事件。

除了?0?USDT?轉賬騷擾，還伴隨著攻擊者針對交易規模較大頻率較高的用戶不斷空投小額數量的Token，攻擊者地址尾數和用戶地址尾數幾乎一樣，通常為后幾位，用戶去復制歷史轉賬記錄中的地址時一不小心就復制錯，導致資產損失。

以上只是舉例了一些常見的攻擊手法和場景，實際上道高一尺魔高一丈，黑客的攻擊手法永遠都在推陳出新，我們能做的就是不斷提高自己的見識。

對于個人用戶來說，遵守以下安全法則及原則，可以避免大部分風險：

兩大安全法則：

零信任。簡單來說就是保持懷疑，而且是始終保持懷疑。

持續驗證。你要相信，你就必須有能力去驗證你懷疑的點，并把這種能力養成習慣。

安全原則：

網絡上的知識，凡事都參考至少兩個來源的信息，彼此佐證，始終保持懷疑。

做好隔離，也就是雞蛋不要放在一個籃子里。

對于存有重要資產的錢包，不做輕易更新，夠用就好。所見即所簽。即你看到的內容就是你預期要簽名的內容，當你簽名發出去后，結果就應該是你預期的，絕不是事后拍斷大腿的。

重視系統安全更新，有安全更新就立即行動。

不亂下程序。

Tags：NFTISCSCOSCORMANEKI Vault (NFTX)BISCsyscoinSCOR幣

火必