本篇主要聚焦區塊鏈生態安全概覽及攻擊手法。
區塊鏈安全態勢
近兩年來,在疫情持續肆虐、經濟衰退、能源短缺、地緣沖突升級、國際間競爭加劇等種種因素的影響之下,全球社會與經濟發展遭遇了前所未有的挑戰。與此同時,全球區塊鏈行業也經歷著一場不斷加速的變革:區塊鏈技術的效率、安全性和可擴展性得到不斷改善,元宇宙、NFT 等新興領域的興起,使區塊鏈行業正式邁入 3.0 時代。
根據慢霧區塊鏈被黑事件檔案庫( SlowMist Hacked )統計,截至 6 月 30 日,2022 上半年安全事件共 187 件,損失高達 19.76 億美元。
(2022 上半年安全事件)
在這些安全事件中,約 77% (144 起)源于項目自身存在漏洞被攻擊者利用,損失金額約 18.4 億美元,占安全事件總損失的 93%;約 21%(39 起) 源于包含 Phishing&Rug Pull 的 Scams,損失金額約 1.3 億美元,占安全事件總損失的 6%。
(2022 上半年安全事件攻擊原因分布圖)
(2022 上半年安全事件攻擊原因損失對比圖)
區塊鏈生態安全概覽
根據被攻擊對象的不同,我們將 187 起安全事故分為三部分:公鏈賽道、交易平臺和其他。
報告:Telegram Bots已促成1.9億美元交易量:金色財經報道,Binance Research發布“Telegram Bots:Exploring the Landscape”報告。報告顯示,Telegram Bots已促成超過1.9億美元的累計交易量,并于2023年7月23日創下日交易量1000萬美元的歷史新高。Telegram Bots獲取的總收入已超過2870萬美元。[2023/8/4 16:18:34]
公鏈賽道
作為區塊鏈行業的基礎設施,公鏈承載了人們對于區塊鏈作為 Web3 底層網絡的期望。隨著一代又一代公鏈的崛起,NFT、DeFi、GameFi、元宇宙等生態熱潮也相繼迎來爆發,同時這些項目也促進了公鏈的發展與價值提升,使多鏈世界從理想走向了現實。據 Footprint Analytics 的數據,截至 6 月累計已收錄的公鏈數量有 119 條,對比 2021 年 6 月收錄的 31 條,同比增長約 284%。
(2021 與 2022 年 6 月公鏈數量對比)
但公鏈的快速發展同時是一把雙刃劍,在促進產業進步的同時,引發的區塊鏈安全問題也顯著增加,我們分別從?DeFi、NFT、跨鏈橋三方面解析。
DeFi 生態
DeFi 作為世界上最受歡迎的可編程區塊鏈,2022 發展態勢不可小覷,據 DeFi Llama 數據顯示,6 月 30 日 DeFi 總鎖倉價值為 1432 億美元,其中 ETH 鏈以 945.5 億美元的 TVL(Total Value Locked)占據了資金沉淀的半壁江山,其次是 BSC 鏈的 110.8 億美元。2021 年以來,許多新興公鏈如 Solana、Avalanche 等通過擁抱 DeFi 快速發展鏈上生態,也吸引了大量用戶和資金沉淀。6 月 30 日 Solana TVL 為 26.4 億美元,同比增長 77%;Avalanche TVL 為 55.4 億美元,同比增長 96%。
ARK報告:6月份BTC的未變動供應量達到歷史新高:金色財經報道,資產管理公司Ark Invest的一份報告稱,6月份BTC的未變動供應量達到歷史新高,近70%的流通供應量已一年未變動。該公司表示,特別是長期持有者手中的流通比特幣供應量份額穩步上升,證實了持有者基礎正在增加。由于近70%的比特幣持有至少一年,長期持有者在比特幣市場中所占的份額現在無論是相對還是絕對都達到了歷史最高水平。[2023/7/8 22:24:55]
(2022 上半年 DeFi TVL)
隨著 DeFi 熱潮的興起,該領域也自然成為了黑客覬覦的重點對象。根據 SlowMist Hacked 統計,截至 6 月 30 日 DeFi 安全事件約 100 起,損失超 16.3 億美元。其中在 BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨鏈橋上發生的安全事件數量分別為 47 起、29 起、8 起、5 起、2 起、1 起、7 起,所造成損失分別為 1.4 億美元、3.08 億美元、5491 萬美 元、6383 萬美元、1310 萬美元、830 萬美元、10.43 億美元。
(2022 上半年 DeFi 安全事件分布)
NFT 生態
基于區塊鏈技術的 NFT 也是需要重點關注的對象,隨著一批頭部 NFT 項目的崛起和各路名人的參與,NFT 極速發展。根據 Dune Analytics 的數據,OpenSea 的交易量在 1 月份達到上半年最高峰 2.84 億美元,而隨著加密貨幣市場的變化,OpenSea 在 6 月份的交易量只有 1558 萬美元,下滑 94%。在 NFT 的熱潮中,目前以太坊生態的 NFT 在市值和交易量依舊占據市場的主流,交易量超 90%。除了以太坊外,從近 30 天交易量和近 7 天交易量這些短期數據來看,Solana,Flow 等生態的 NFT 也正在快速發展,且表現亮眼,多鏈時代距離我們越來越近。
報告:機構投資者正在對比特幣失去興趣:金色財經報道,區塊鏈分析公司Glassnode發布報告稱,機構投資者正在對比特幣失去興趣。Glassnode表示,灰度比特幣信托 (GBTC) 目前的交易價格持續低于資產凈值(NAV), 這意味著現在購買灰度比特幣信托基金的份額比購買比特幣本身便宜。Purpose和3iQ的比特幣ETF的比特幣總量已經減少,上個月有8037枚BTC流出這兩個產品。此外,美國最大的加密貨幣交易所Coinbase的代幣余額仍然停滯不前。 由此看出,機構需求似乎仍有些低迷。[2021/6/30 0:15:52]
(2022 上半年 OpenSea 交易量變化圖)
(2022 上半年 NFT 攻擊事件原因分布圖)
并且隨著時間推移,不法分子的攻擊逐漸猖獗,根據 TRM Labs 發布的報告 ,在 5、6 兩個月,由 TRM Labs 社區主導的詐騙報告平臺 Chainabuse 收到了超過 100 份關于 Discord 黑客攻擊的報告;自 5 月以來,NFT 社區損失約 2200 萬美元;6 月,黑客在被黑的 Discord 中發布 NFT 相關的釣魚攻擊同比增加了 55%。
跨鏈橋
隨著區塊鏈的發展,目前已經進入一個以太坊為核心多鏈并存的局面,鏈與鏈之間的資產轉移、 智能合約的跨鏈交互已成為鏈上活動的日常,跨鏈橋作為區塊鏈基礎設施的地位越發凸顯。根據 Dune Analytics 數據,截至 6 月 30 日以太坊中 15 個主要跨鏈橋的鎖定總價值(TVL)約 83.9 億美元。目前 TVL 最高的是 Polygon Bridges(35 億美元),排名第二的是 Arbitrum Bridge(18.93 億美 元),隨后是 Avalanche Bridge(12.41 億美元)。
動態 | 報告:11月 BCH占據澳大利亞零售加密支出的93%:Bitcoinbch.com的Hayden Otto發布了第三份澳大利亞零售業務月度加密貨幣支出報告,報告顯示,11月,BCH在該地區的使用繼續增長。此前10月份的加密貨幣支出來自“大量零售支付”,這些支付來自企業和專業人士,如“律師、會計師、工程師、電工和建筑工人”。數據由保險公司Travelbybit(TBB)和Hula(Hockings的保險物流應用)提供。此前 9月份的報告亦顯示,BCH在澳大利亞的零售支出遠遠超過BTC。在接下來的一個月里,BCH依然占據該國90%的加密支出。[2019/12/8]
(以太坊 15 個主要跨鏈橋的 TVL)
由于流動資金量大,去中心化程度低,權限幾乎都掌握在多簽錢包中等特性,跨鏈橋也成了黑客眼中的“香餑餑”。根據 SlowMist Hacked 統計,截至 6 月 30 日跨鏈橋安全事件共 7 起,損失高達 10.43 億美元,占比 DeFi 上半年總損失的 64%,占比上半年總損失的 53%。值得注意的是上半年,損失金額上億美元的事件 4 起中就有 3 起來自跨鏈橋。作為多鏈生態的重要基礎設施,跨鏈橋一方面承擔著巨量的資金流動,為用戶帶來了極大的便利,另一方面在安全性和去中心化水平上面臨許多挑戰,需要項目方提升安全、風控等能力。
(2022 上半年跨鏈橋安全事件)
動態 | 區塊鏈職位調查報告:IBM招聘職位最多:據The Next Web消息,近日,美國職場社區Glassdoor發布了一個調查報告,上面列出了區塊鏈招聘職位數量排名前十位的公司,分別是:IBM、安永、甲骨文、Foris、埃森哲、CyberCoders、德勤、普華永道、Crypto.com、Wirex。IBM有近110個職位,比排名第二(安永)的60個職位高出不少。[2019/3/17]
交易平臺
加密貨幣行業一直處在監管漩渦中,首當其沖的就是加密貨幣交易平臺。交易平臺發生的安全事故分析如下:以全球交易量最大的平臺 Binance 為例,自 2021 年來,Binance 已遭到數十個國家和地區的監管警告,包括歐洲、美洲、 亞洲在內的多個地區。在全球強力監管信號下,Binance 陸續在西班牙、法國、阿布扎比、迪拜、意大利、巴林等國家或地區獲得了監管許可并進行了注冊,逐步推進其合規化進程。
在上半年,全球共發生 4 起交易平臺安全事件,損失超 7770 萬美元,具體如下:
1 月 9 日,LCX 技術團隊在 LCX 交易平臺上檢測到一個未經授權的訪問,總共約 794 萬美 元的加密資產被盜。
1 月 17 日,Crypto.com 少數用戶遭到未經授權提款,損失約 3400 萬美元,包括 4,836.26 ETH、443.93 BTC 和約 66,200 美元的其他加密貨幣。
2 月 8 日,LockBit 勒索軟件團伙稱從加密貨幣交易平臺 PayBito 竊取了大量客戶數據。
2 月 12 日,來自美國南達科他州提供自主退休金賬戶的 IRA Financial Trust 對加密交易 平臺 Gemini 提起訴訟,指控稱由 Gemini 保管的屬于客戶退休賬戶的 3600 萬美元加密資產被盜。
(2022 上半年交易平臺攻擊事件損失對比圖)
慢霧安全團隊建議各大交易平臺健全內部管理與技術機制,通過引入安全審計機制、零信任機制、冷熱資產安全解決方案等來加強對數字資產的安全保障。
其他
不法分子看中加密貨幣的匿名性,區塊鏈已成為網絡黑產的新風口,呈現出越來越明顯的組織化與專業化趨勢,“勒索”、“欺詐”及“盜竊”已成為加密貨幣巨大安全威脅。據中國人民銀行支付結算司數據 ,2021 年涉詐款項的支付方式中,利用加密貨幣進行支付僅次于銀行轉賬,排名第二位,高達 7.5 億美元;而 2020 年、2019 年僅為 1.3、0.3 億美元,逐年大幅增長的趨勢明顯。值得關注的是,加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。2021 年“殺豬盤”詐騙資金中 1.39 億美元使用加密貨幣支付,是 2020 年的 5 倍、2019 年的 25 倍。
攻擊手法概覽
以上 187 起安全事件中,攻擊手法主要分為四類:由項目自身設計缺陷和各種合約漏洞引起的攻擊;包含 Rug Pull、釣魚攻擊等手法的 Scam;由于私鑰泄露引起的資產損失;前端惡意攻擊,這四種主要攻擊手法占比安全事件總數量的 95%。
(2022 上半年攻擊手法數量對比圖)
(2022 上半年攻擊手法損失對比圖)
總結
盡管 2022 年區塊鏈技術正在飛速發展并且逐漸完善,但層出不窮的加密貨幣攻擊事件對區塊鏈生態安全態勢提出了新的挑戰。從統計數據來看,上半年發生安全事件次數較多的月份主要在 5、6 月;從各生態來看,BSC 上安全事件發生最多;從賽道來看,損失最多的是跨鏈橋。
(2022 上半年各月份各生態賽道事件分布)
對此慢霧安全團隊建議:
對于機構和企業來說,最好能夠建立全面的網絡安全防護系統,防護從各個層次入侵的網絡安全威脅,并通過威脅感知體系快捷獲取病木馬、釣魚詐騙、網絡安全預警、漏洞報告在內的安全情報,一旦發生安全威脅能夠及時進行處理。
對于個人用戶來說,遵守以下安全法則及原則,可以避免大部分風險:
兩大安全法則:
零信任。簡單來說就是保持懷疑,而且是始終保持懷疑。
持續驗證。你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。
安全原則:
網絡上的知識,凡事都參考至少兩個來源的信息,彼此佐證,始終保持懷疑。
做好隔離,也就是雞蛋不要放在一個籃子里。
對于存有重要資產的錢包,不做輕易更新,夠用就好。
所見即所簽。即你看到的內容就是你預期要簽名的內容,當你簽名發出去后,結果就應該 是你預期的,絕不是事后拍斷大腿的。
重視系統安全更新,有安全更新就立即行動。
不亂下程序。
在此,十分推薦閱讀并掌握 《區塊鏈黑暗森林自救手冊》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)。
區塊鏈發展道阻且長,期望隨著行業的不斷完善,區塊鏈可以迸發出更大的力量,走向更大的舞臺
杠桿ETF是最近比較火的一種加密衍生品,許多交易所都已上線該類產品。金色財經此前曾科普過杠桿ETF,它是針對某種掛鉤的資產標的,例如比特幣價格,進行乘倍數的每日漲跌幅放大的交易型開放式指數基金.
1900/1/1 0:00:00▌瑞士信貸集體:美國經濟可能經歷更嚴重、更長時間的衰退金色財經消息,瑞士信貸集體(Credit Suisse)的Zoltan Pozsar表示.
1900/1/1 0:00:00文/David Hoffman Bankless聯合創始人 合并太讓人困惑! 讓我們從頭開始,一點點講述將要到來的加密貨幣歷史上最重要的事件之一.
1900/1/1 0:00:00公鏈的那些性能指標,都代表了什么? 本文來自 a16z? 原文作者:Joseph Bonneau由 Odaily 星球日報譯者 Katie 辜編譯.
1900/1/1 0:00:00洪都拉斯已經為“比特幣谷”破土動工,該項目位于該國蓬勃發展的圣盧西亞鎮,旨在吸引來自全球的加密投資者。洪都拉斯是一個促進市政當局使用加密貨幣作為支付方式的中美洲國家.
1900/1/1 0:00:00作者:Andrew Hall and Porter Smith來源:a16z cryptoweb3為民主治理創建了一個新實驗室,以前所未有的方式將公民和公司治理傳統交織在一起.
1900/1/1 0:00:00