本篇主要聚焦区块链生态安全概览及攻击手法。
区块链安全态势
近两年来,在疫情持续肆虐、经济衰退、能源短缺、地缘冲突升级、国际间角逐加剧等种种原因的影响之下,全球社会与经济进步遭遇了前所未有些挑战。同时,全球区块链行业也历程着一场不断加速的变革:区块链技术的效率、安全性和可扩展性得到不断改变,元宇宙、NFT 等新兴范围的兴起,使区块链行业正式迈入 3.0 年代。
依据慢雾区块链被黑事件档案库( SlowMist Hacked )统计,截至 6 月 30 日,2022 上半年安全事件共 187 件,损失高达 19.76 亿USD。
(2022 上半年安全事件)
在这类安全事件中,约 77% (144 起)来自于项目自己存在漏洞被攻击者借助,损失金额约 18.4 亿USD,占安全事件总损失的 93%;约 21%(39 起) 来自于包括 Phishing&Rug Pull 的 Scams,损失金额约 1.3 亿USD,占安全事件总损失的 6%。
(2022 上半年安全事件攻击缘由分布图)
(2022 上半年安全事件攻击缘由损失对比图)
区块链生态安全概览
依据被攻击对象的不同,大家将 187 起安全事故分为三部分:公链赛道、交易网站和其他。
公链赛道
作为区块链行业的基础设施,公链承载了大家对于区块链作为 Web3 底层互联网的期望。伴随一代又一代公链的崛起,NFT、DeFi、GameFi、元宇宙等生态热潮也相继迎来爆发,同时这类项目也促进了公链的进步与价值提高,使多链世界从理想走向了现实。据 Footprint Analytics 的数据,截至 6 月累计已网站收录的公链数目有 119 条,对比 2022 年 6 月网站收录的 31 条,同比增长约 284%。
(2022 与 2022 年 6 月公链数目对比)
但公链的迅速进步同时是一把双刃剑,在促进产业进步的同时,引发的区块链安全问题也显著增加,大家分别从DeFi、NFT、跨链桥三方面分析。
DeFi 生态
DeFi 作为世界上最受青睐的可编程区块链,2022 进步态势不可小觑,据 DeFi Llama 数据显示,6 月 30 日 DeFi 总锁仓价值为 1432 亿USD,其中 以太币 链以 945.5 亿USD的 TVL(Total Value Locked)占据了资金沉淀的半壁江山,第二是 BSC 链的 110.8 亿USD。2022 年以来,很多新兴公链如 SOL、AVAX 等通过拥抱 DeFi 迅速进步链上生态,也吸引了很多用户和资金沉淀。6 月 30 日 SOL TVL 为 26.4 亿USD,同比增长 77%;AVAX TVL 为 55.4 亿USD,同比增长 96%。
(2022 上半年 DeFi TVL)
伴随 DeFi 热潮的兴起,该范围也自然成为了黑客觊觎的重点对象。依据 SlowMist Hacked 统计,截至 6 月 30 日 DeFi 安全事件约 100 起,损失超 16.3 亿USD。其中在 BSC、以太币、FTM、SOL、Polygon、AVAX、跨链桥上发生的安全事件数目分别为 47 起、29 起、8 起、5 起、2 起、1 起、7 起,所导致损失分别为 1.4 亿USD、3.08 亿USD、5491 万美 元、6383 万USD、1310 万USD、830 万USD、10.43 亿USD。
(2022 上半年 DeFi 安全事件分布)
NFT 生态
基于区块链技术的 NFT 也是需要重点关注的对象,伴随一批头部 NFT 项目的崛起和各路名人的参与,NFT 极速进步。依据 Dune Analytics 的数据,OpenSea 的买卖量在 1 月份达到上半年最高峰 2.84 亿USD,而伴随数字货币市场的变化,OpenSea 在 6 月份的买卖量只有 1558 万USD,下滑 94%。在 NFT 的热潮中,现在ETH生态的 NFT 在市值和买卖量依然占据市场的主流,买卖量超 90%。除去ETH外,从近 30 天买卖量和近 7 天买卖量这类短期数据来看,SOL,FLOW 等生态的 NFT 也正在迅速进步,且表现亮眼,多链年代距离大家愈加近。
(2022 上半年 OpenSea 买卖量变化图)
如火如荼的同时意味着赛道发生的安全事故也不在少数,依据 SlowMist Hacked 不完全统计,截至 6 月 30 日 NFT 赛道安全事件约 48 起,损失超 6281 万 USD。其中 33.4%(16 起)来自于项目自己存在的漏洞被攻击者借助,20.8%(10 起)来自于 Rug Pull, 而钓鱼攻击占了大多数,占比为 45.8%(22 起),多数都是因为 Discord/Twitter 等媒体平台被黑后黑客发布钓鱼链接。
(2022 上半年 NFT 攻击事件缘由分布图)
并且伴随时间推移,不法分子的攻击渐渐猖獗,依据 TRM Labs 发布的报告 ,在 5、6 两个月,由 TRM Labs 社区主导的诈骗报告平台 Chainabuse 收到了超越 100 份关于 Discord 黑客攻击的报告;自 5 月以来,NFT 社区损失约 2200 万USD;6 月,黑客在被黑的 Discord 中发布 NFT 有关的钓鱼攻击同比增加了 55%。
跨链桥
伴随区块链的进步,现在已经进入一个ETH为核心多链并存的局面,链与链之间的资产转移、 智能合约的跨链交互已成为链上活动的平时,跨链桥作为区块链基础设施的地位越发凸显。依据 Dune Analytics 数据,截至 6 月 30 日ETH中 15 个主要跨链桥的锁定总价值(TVL)约 83.9 亿USD。现在 TVL 最高的是 Polygon Bridges(35 亿USD),排名第二的是 Arbitrum Bridge(18.93 亿美 元),随后是 AVAX Bridge(12.41 亿USD)。
(ETH 15 个主要跨链桥的 TVL)
因为流动资金量大,去中心化程度低,权限几乎都学会在多签钱包中等特质,跨链桥也成了黑客眼中的“香饽饽”。依据 SlowMist Hacked 统计,截至 6 月 30 日跨链桥安全事件共 7 起,损失高达 10.43 亿USD,占比 DeFi 上半年总损失的 64%,占比上半年总损失的 53%。值得注意的是上半年,损失金额上亿USD的事件 4 起中就有 3 起来自跨链桥。作为多链生态的要紧基础设施,跨链桥一方面承担着巨量的资金流动,为用户带来了很大的便利,其次在安全性和去中心化水平上面临很多挑战,需要项目方提高安全、风控等能力。
(2022 上半年跨链桥安全事件)
交易网站
数字货币行业一直处在监管漩涡中,首当其冲的就是数字货币交易网站。交易网站发生的安全事故剖析如下:以全球买卖量最大的平台 币安 为例,自 2022 年来,币安 已遭到数十个国家和区域的监管警告,包含欧洲、美洲、 亚洲在内的多个区域。在全球强力监管信号下,币安 陆续在西班牙、法国、阿布扎比、迪拜、意大利、巴林等国家或区域获得了监管许可并进行了注册,逐步推进其合规化进程。
在上半年,全球共发生 4 起交易网站安全事件,损失超 7770 万USD,具体如下:
1 月 9 日,LCX 技术团队在 LCX 交易网站上测试到一个未经授权的访问,总共约 794 万美 元的加密货币失窃。
1 月 17 日,Crypto.com 少数用户遭到未经授权提款,损失约 3400 万USD,包含 4,836.26 以太币、443.93 比特币 和约 66,200 USD的其他数字货币。
2 月 8 日,LockBit 勒索软件团伙称从数字货币交易网站 PayBito 窃取了很多顾客数据。
2 月 12 日,来自美国南达科他州提供自主退休金竞价推广账户的 IRA Financial Trust 对加密买卖 平台 Gemini 提起诉讼,指控称由 Gemini 保管的是顾客退休竞价推广账户的 3600 万USD加密货币失窃。
(2022 上半年交易网站攻击事件损失对比图)
慢雾安全团队建议各大交易网站完善内部管理与技术机制,通过引入安全审计机制、零信赖机制、冷热资产安全解决方法等来加大对数字资产的安全保障。
其他
不法分子看中数字货币的匿名性,区块链已成为互联网黑产的新风口,呈现出愈加明显的组织化与专业化趋势,“勒索”、“欺诈”及“偷窃”已成为数字货币巨大安全威胁。据中国人民银行支付结算司数据 ,2022 年涉诈款项的支付方法中,借助数字货币进行支付仅次于银行转账,排名第二位,高达 7.5 亿USD;而 2022 年、2022 年仅为 1.3、0.3 亿USD,逐年大幅增长的趋势明显。值得关注的是,数字货币转账在“杀猪盘”诈骗中增长飞速。2022 年“杀猪盘”诈骗资金中 1.39 亿USD用数字货币支付,是 2022 年的 5 倍、2022 年的 25 倍。
攻击手法概览
以上 187 起安全事件中,攻击手法主要分为四类:由项目自己设计缺点和各种合约漏洞引起的攻击;包括 Rug Pull、钓鱼攻击等手法的 Scam;因为私钥泄露引起的资产损失;前端恶意攻击,这四种主要攻击手法占比安全事件总数目的 95%。
(2022 上半年攻击手法数目对比图)
(2022 上半年攻击手法损失对比图)
上半年由项目自己设计缺点和各种合约漏洞引起的攻击共 92 起,导致损失 10.6 亿USD,其中借助闪电贷引起的攻击有 19 起,导致损失 6133 万USD。因私钥失窃引起的资产损失发生率约为 4%,损失金额却达到 7.2 亿USD。伴随 Web3 的火热进步,针对用户和开发职员的攻击层出不穷,特别是针对 Discord、Twitter 等媒体平台的钓鱼攻击,黑客一般会在获得到管理员或者竞价推广账户权限后,伪装成管理员身份并发布钓鱼链接。并且这类钓鱼网站的制作本钱很低,在对知名 NFT 项目进行 Copy 后,通过赠送、免费等字眼诱导用户授权,从而转移用户资产。而 Rug Pull 则是项目方主动作恶,上半年 Rug Pull 事件已达到 42 起,大多数发生在 BSC 链。
概要
尽管 2022 年区块链技术正在快速进步并且渐渐健全,但层出不穷的数字货币攻击事件对区块链生态安全态势提出了新的挑战。从统计数据来看,上半年发生安全事件次数较多的月份主要在 5、6 月;从各生态来看,BSC 上安全事件发生最多;从赛道来看,损失最多的是跨链桥。
(2022 上半年各月份各生态赛道事件分布)
对此慢雾安全团队建议:
对于机构和企业来讲,最好可以打造全方位的互联网安全防护系统,防护从每个层次入侵的互联网安全威胁,并通过威胁感知体系快捷获得病毒木马、钓鱼诈骗、互联网安全预警、漏洞报告在内的安全情报,一旦发生安全威胁可以准时进行处置。
对于个人用户来讲,遵守以下安全法则及原则,可以防止大多数风险:
两大安全法则:
零信赖。容易来讲就是维持怀疑,而且是一直维持怀疑。
持续验证。你要相信,你就需要有能力去验证你怀疑的点,并把这种能力培养习惯。
安全原则:
互联网上的常识,任何事都参考至少两个出处的信息,彼此佐证,一直维持怀疑。
做好隔离,也就是鸡蛋不要放在一个篮子里。
对于存有要紧资产的钱包,不做随便更新,够用就好。
所见即所签。即你看到的内容就是你预期要签名的内容,当你签名发出去后,结果就应该 是你预期的,绝不是事后拍断大腿的。
看重系统安全更新,有安全更新就立即行动。
不乱下程序。
在此,十分推荐阅读并学会 《区块链黑暗森林自救手册》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)。
区块链进步道阻且长,期望伴随行业的不断健全,区块链可以迸发出更大的力量,走向更大的舞台
