区块链:2022年Q1区块链安全生态报告：典型攻击事件超30起，总损失金额高达12亿美元

2022年，区块链行业迎来新的发展时期，但各类安全风险也在不断升级。成都链安新推出的《安全研究季报》栏目，将为大家盘点每季度全球区块链安全态势。今天，跟着我们一起来回顾，2022年Q1区块链安全生态都发生了什么。一、2022年Q1区块链安全生态概览

安全事件造成的损失高达约12亿美元2022年第一季度，根据成都链安监测到的数据统计，攻击类安全事件造成的损失高达约12亿美元，较去年同期的1.3亿美元上涨约9倍。同时也比2021年的任何一个季度损失的金额都要高。2022年3月，Ronin攻击事件造成6.25亿美元资金被盗，超越2021年8月PolyNetwork被攻击的6.1亿美元，登上Defi黑客攻击损失榜第一位。当然，不是每个项目都能像PolyNetwork一样能够追回资金。截止本报告撰写时，Ronin的黑客依旧在分批次进行。

从链平台来看

Ethereum和BNB依旧是被攻击频次最高的两条链，但高攻击频次并不意味着高损失金额。2022年第一季度，我们监测到Solana链典型攻击事件2起，损失金额却高达3亿7400万美元，远远多于BNBChain上的损失。从资金流向来看

印度财政部长将于2月提交2023年联邦预算，加密社区希望能够减税:金色财经报道，印度财政部长Nirmala Sitaraman将于2月1日提交2023年联邦预算。去年预算案时，可能没有人想到对所有来自加密货币的收入征收30%的高额税。去年，财政部长进一步宣布，一种加密货币资产的损失不能由另一种加密货币资产的收益来补偿。还规定了1%的高TDS税率，并从7月开始适用。一项研究表明，在2022年7月至10月期间，价值超过32,000亿的加密货币交易已从国内交易所转移到国外交易所，这可能是高TDS的结果。加密社区期待着财政部在这些方面进行改革。对VDA的征税也有望得到一些澄清。[2023/1/24 11:28:25]

80%的情况下，黑客都会最终将盗取资金转入Tornado.Cash进行混币。有10%的情况，黑客会将资金暂时留在自己的地址，有时要等待几个月，甚至几年才对赃款进行转移。有少部分黑客会主动归还盗取资金。从攻击手法来看

合约漏洞利用和闪电贷攻击是黑客最常使用的手段。50%的攻击手法为合约漏洞利用。从审计情况来看

在被攻击的项目中，70%的项目经过了第三方安全公司的审计。然而在剩余30%未经审计的项目中，因攻击事件遭受的损失却占了整个损失金额的60%以上。从项目类型来看

DEFI项目依旧是黑客攻击的热点领域，占了总共被攻击项目数量的60%。而跨链桥虽然被攻击的次数不多，但涉及的金额却巨大。

CBO预计美国2022财年预算赤字下降 今年美联储只会将利率升至1.9%:5月26日消息，美国国会预算办公室（CBO）表示，由于税收收入激增且抗疫纾困项目到期，美国联邦预算赤字今年将大幅下降至大约1万亿美元的水平。国会预算办公室周三发布的预测显示，在10月1日开始的2023财年，预算赤字也将收窄至9840亿美元。今明两财年的赤字明显低于2021财年的2.8万亿美元。预计2022财年联邦债务总额将增加1.9万亿美元。同时预测到2022年底，美联储只会将基准利率提高到1.9%（市场预期为2.6%），到2023年底提高到2.6%。 （金十）[2022/5/26 3:42:15]

二、Q1发生典型攻击事件超30起

跨链桥类项目损失惨重2022年第一季度，区块链领域共发生典型安全事件约30起。总损失金额约为12亿美元，与去年同期相比增长了823%。在前20排名里，损失金额最高的Ronin为6.25亿，约是金额最低的BuildFinance的558倍。

从统计图表可以看到，Ronin和Wormhole两个项目的损失金额达到了9亿5000万美元，占2022年Q1总损失金额的80%。值得注意的是，这两者均为跨链桥类项目。三、被攻击项目类型方面

DeFi仍为黑客攻击的重点领域2022年第一季度，区块链领域，DeFi项目仍为黑客攻击的重点领域，共发生19起安全事件，约60%的攻击发生在DeFi领域。

欧科云链集团斩获“2020年度金融科技公司奖”:3月27日消息，欧科云链集团作为金融科技优秀企业新势力代表，在《华夏时报》主办的主题为“金融业2021：双循环下的变革与信心”的华夏机构投资者年会上，斩获“2020年度金融科技公司奖”。

据悉，欧科云链集团是中国本土成立时间最早的区块链企业之一。2013年成立以来，一直致力于区块链技术的研发与商用，现已发展成为全球化的大型区块链技术与服务提供商。[2021/3/27 19:22:47]

此外，针对NFT的攻击事件在2022年第一季度有所上升，跨链桥项目被攻击了4次，造成的损失却高达9亿5000万美元，占到2022年一季度损失金额的80%，跨链桥安全事件频发，涉及金额巨大。

四、链平台损失金额方面

Ethereum损失金额占比最高2022年第一季度，Ethereum和Solana链上攻击损失金额排名前2，分别为6亿5448万和3亿7400万美元。Ethereum被攻击的频次也是最多的，占到了总频次的45%；排名第二的是BNBChain，占比19%。Solana链上的两次攻击事件都造成了巨额损失：Wormhole损失3亿2600万美元，Cashio损失4800万美元。两者的攻击手法同为合约漏洞利用。

预测市场Augur“2020年美国大选”市场交易量已超500万美元:预测市场Augur在推特上表示，该平台的“2020年美国大选”市场的交易量已超过500万美元，未平仓头寸超过360万美元，且在24小时内的未平仓头寸超过100万美元。[2020/11/3 11:31:17]

链平台损失金额占比此外，一些TVL排名靠前的公链在2022年第一季度未检测到重大安全事件，如：Terra、Avalanche、Tron等。五、攻击手法分析

合约漏洞利用和闪电贷最常见2022年第一季度，区块链安全生态领域，约50%的攻击方式为合约漏洞利用，24%的攻击方式为闪电贷。有12%的攻击为私钥泄露、钓鱼攻击和社会工程学攻击。此类攻击源于项目方没有保管好私钥或警惕性不足。

被黑客利用的合约漏洞中，最常见的漏洞为重入漏洞，其次分别为业务逻辑不当、call注入攻击和验证不当或不足；其中绝大部分漏洞都可以通过安全审计尽早发现和修复。六、典型安全事件分析

案例一：TreasureDAO被攻击事件

背景：3月3日，TreasureDAONFT交易市场被曝发现漏洞，导致100多个NFT被盗。然而在事件发生几小时后，攻击者却开始归还被盗NFT。详情：交易发起者通过合约的buyItem函数传入了数值为0的_quantity参数，从而无需费用就能购买TokenID为5490的ERC-721代币。

深圳区块链周 | 酒为·BitZ 2020无套路酒局成功开启:2020年6月19日，金色财经在深圳这座开放的城市举办了为期5天的深圳区块链周，以开放的态度,聆听行业的脉搏。

在深圳区块链周期间，由BitZ举办的 酒为·BitZ 2020无套路酒局”，会上泰迪帮主表示，其一心打造的币圈最有温度的社群-泰迪军团，与BitZ一直以来坚持的以用户本的初衷不谋而合，期待BitZ未来推出更好的产品。其个人的目标更是将泰迪军团打造成行业内的“黄埔军校”。在此之前泰迪帮主已获得了金色财经独家主播、金色财经影响力第一主播、币世界第二届最佳分析师等殊荣。更是创造了一年内资产翻40倍，实现从20万至800万的神话。

深圳区块链周旨在打造一个提供行业上下游交流的平台,联合社会各界力量,塑造行业品牌,代表行业发声,通过聚合的力量,助力行业的发展。本次活动汇聚了业内外多个领域的企业翘楚和行业领袖，在这片开放的舞台上展现独特的价值，以创新发展、合作共赢的理念，携手共筑区块链行业的宏伟未来。[2020/6/21]

项目合约的buyItem函数代码从代码上来看，合约的buyItem函数在传入_quantity参数后，并没有做代币类型判断，直接将_quantity与_pricePerItem相乘计算出了totalPrice，因此safeTransferFrom函数可以在ERC-20代币支付数额只有0的情况下，调用合约的buyItem函数来进行代币购买。然而在调用buyItem函数时，函数只对购买代币类型进行了判断，并没有对代币数量进行非0判断，导致ERC-721类型的代币可以在无视_quantity数值的情况下直接购买，从而实现了漏洞攻击。建议：本次安全事件主要原因是ERC-1155代币和ERC-721代币混用导致的逻辑混乱，ERC-721代币并没有数量的概念，但是合约却使用了数量来计算代币购买价格，最后在代币转账时也没有进行分类讨论。建议开发者在开发多种代币的销售贩卖合约时，需要根据不同代币的特性来进行不同情况的业务逻辑设计。案例二：BuildFinance项目遭遇治理攻击

背景：2月15日，DAO组织BuildFinance表示遭遇恶意治理攻击，攻击者通过获得足够多的投票成功了控制其Token合约。详情：在2020年9月4日的一笔交易中，BuildFinance合约创建者通过setGovernance函数将治理权限转移。通过查找内部的Storage，发现权限转移给了0x38bce4b地址。继续跟进0x38bce4b地址，发现是一个Timelock合约，而合约中可以调用setGovernance函数的只有executeTransaction函数。

BuildFinance被攻击流程继续跟进发现，在2021年1月25日，0x38bce4b地址调用executeTransaction函数将权限转移到了0x5a6ebe地址。2022年2月11日，由于投票设置的阈值较低导致提案通过，0x5a6ebe地址的治理权限变更为了0xdcc8A38A地址。在获取到治理权限后，攻击者恶意铸币并耗尽了交易池的流动性。建议：DAO合约应该设置合适的投票阈值，实现真正的去中心化治理，避免很少的投票数量就使得提案通过并成功执行，建议可以参考openzeppelin官方提供的治理合约的实现。案例三：Ronin6亿美元盗币案

背景：3月23日，SkyMavis的Ronin验证器节点和AxieDAO验证器节点遭到破坏，攻击者使用被黑的私钥来伪造假提款，获利约6.25亿美元。而RoninNetwork直到3月29日才发现自己遭受到了攻击。详情：SkyMavis的Ronin链目前由9个验证节点组成。为了识别存款事件或取款事件，需要九个验证者签名中的五个。攻击者设法控制了SkyMavis的四个Ronin验证器和一个由AxieDAO运行的第三方验证器。此后Ronin官方表示，所有证据都表明这次攻击或与社会工程学相关。

Ronin黑客过程建议：1、注意签名服务器的安全性；2、签名服务在相关业务下线时，应及时更新策略，关闭对应的服务模块，并且可以考虑弃用对应的签名账户地址；3、多签验证时，多签服务之间应该逻辑隔离，独立对签名内容进行验证，不能出现部分验证者能够直接请求其它验证者进行签名而不用经过验证的情况；4、项目方应实时监控项目资金异常情况。七、被盗资金流向分析

Tornado.Cash或为黑客惯用途径80%的情况里，黑客在得手后，会立刻或几天内将盗取资金转入Tornado.Cash进行混币。10%的情况里，黑客会暂时将赃款留在自己地址，等待几个月至几年才将资金转出。例如去年12月被盗的交易所AscendEX，黑客等到今年2月、3月才开始进行分批次。而今年Ronin的攻击者目前依然在进行频繁的操作。

有少部分黑客会归还盗取资金。Cashio的攻击者在盗取4800万美元的资金后，公开留言表示将向价值在10万美元以下账户进行退还，并声称“我的目的只是从不需要的人那里拿钱，而不是从需要的人那里拿钱”。目前Tornado.cash依旧为黑客惯用的途径。八、项目审计情况分析

30%未经审计的项目损失金额占总量的60%项目审计情况：70%的被攻击项目经过了第三方安全公司的审计；30%未审计的项目，损失金额达7.2亿美元，占第一季度总损失金额的60%；项目上线之前的审计依旧重要。在未审计的项目中，50%的攻击手法都为合约漏洞利用。因此，尽早审计和及时修复代码漏洞，可以避免上线后项目被攻击造成的严重损失。

项目审计情况及总损失金额九、2022年Q1结语

安全事件频发，涉及金额大幅增加2022年第一季度，区块链领域攻击类安全事件造成的损失高达约12亿美元，比2021年的任何一个季度损失的金额都要高。跨链桥项目被盗取金额巨大，DeFi项目被攻击频次最高，这两个领域今后或许也是黑客重点盯上的攻击目标。项目方应及时关注资金异常情况，成都链安可以让项目方和用户及时发现风险交易，从而快速采取措施。例如立刻暂停相关服务，或告知用户取消授权等，避免后续更大的损失。项目安全审计依旧重要，约50%的攻击方式为合约漏洞利用，这其中绝大多数漏洞都可以通过安全审计及早发现和修复。

标签：区块链RONONIANC区块链币圈大佬排行榜NeutronEloniumCoinSimpli Finance

Polygon热门资讯