区块链:报告解读之 2022 上半年区块链安全态势

本篇主要聚焦区块链生态安全概览及攻击手法。

区块链安全态势

近两年来，在疫情持续肆虐、经济衰退、能源短缺、地缘冲突升级、国际间竞争加剧等种种因素的影响之下，全球社会与经济发展遭遇了前所未有的挑战。与此同时，全球区块链行业也经历着一场不断加速的变革：区块链技术的效率、安全性和可扩展性得到不断改善，元宇宙、NFT等新兴领域的兴起，使区块链行业正式迈入3.0时代。

根据慢雾区块链被黑事件档案库统计，截至6月30日，2022上半年安全事件共187件，损失高达19.76亿美元。

在这些安全事件中，约77%源于项目自身存在漏洞被攻击者利用，损失金额约18.4亿美元，占安全事件总损失的93%；约21%源于包含Phishing&RugPull的Scams，损失金额约1.3亿美元，占安全事件总损失的6%。

报告：ETH开发者活跃度创新高，三季度智能合约数量增加40%:10月14日消息，区块链开发平台Alchemy发布发布《2022年第三季度Web3开发者报告》，报告显示，尽管ETH年初至今下跌60%，但开发者活跃度反创新高，第三季度部署在以太坊上的智能合约数量增加了40%，创历史新高。

此外，36%已部署和验证的智能合约于2022年完成，在合并后的2周内智能合约部署增加了14%。[2022/10/14 14:27:41]

区块链生态安全概览

根据被攻击对象的不同，我们将187起安全事故分为三部分：公链赛道、交易平台和其他。

公链赛道

作为区块链行业的基础设施，公链承载了人们对于区块链作为Web3底层网络的期望。随着一代又一代公链的崛起，NFT、DeFi、GameFi、元宇宙等生态热潮也相继迎来爆发，同时这些项目也促进了公链的发展与价值提升，使多链世界从理想走向了现实。据FootprintAnalytics的数据，截至6月累计已收录的公链数量有119条，对比2021年6月收录的31条，同比增长约284%。

但公链的快速发展同时是一把双刃剑，在促进产业进步的同时，引发的区块链安全问题也显著增加，我们分别从?DeFi、NFT、跨链桥三方面解析。

DeFi生态

DeFi作为世界上最受欢迎的可编程区块链，2022发展态势不可小觑，据DeFiLlama数据显示，6月30日DeFi总锁仓价值为1432亿美元，其中ETH链以945.5亿美元的TVL占据了资金沉淀的半壁江山，其次是BSC链的110.8亿美元。2021年以来，许多新兴公链如Solana、Avalanche等通过拥抱DeFi快速发展链上生态，也吸引了大量用户和资金沉淀。6月30日SolanaTVL为26.4亿美元，同比增长77%；AvalancheTVL为55.4亿美元，同比增长96%。

报告：Nomad跨链桥事件中有88%的攻击地址是“模仿者”:8月11日消息，Coinbase在博客文章中对上周Nomad跨链桥黑客攻击事件进行了分析，根据该文章，参与此次攻击的地址中，88%的地址已被确定为“模仿者”，在8月1日盗取了总价值8800万美元的代币。“模仿”方法是原始漏洞利用的变体，该漏洞利用了Nomad智能合约中的一个漏洞，允许用户从不属于他们的跨链桥中提取资金。模仿者复制相同的代码，但修改目标代币、代币数量和接收地址。就提取的资金总额而言，前两名黑客是盗取的资金最多。由于wBTC、USDC和wETH代币在Nomad跨链桥中的集中度最高，最初的黑客首先攻击的是Bridge的wBTC，其次是USDC和wETH。

截至8月9日，从Nomad跨链桥合约中被盗的17%的资金已归还，大部分归还发生在Nomad跨链桥要求于8月3日将资金发送到回收地址后的几个小时内，而最近几天的速度比最初发布地址时要慢。34%的被盗资金尚未移动， 49%的被盗资金已从攻击地址转入其他地方。[2022/8/11 12:18:05]

随着DeFi热潮的兴起，该领域也自然成为了黑客觊觎的重点对象。根据SlowMistHacked统计，截至6月30日DeFi安全事件约100起，损失超16.3亿美元。其中在BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨链桥上发生的安全事件数量分别为47起、29起、8起、5起、2起、1起、7起，所造成损失分别为1.4亿美元、3.08亿美元、5491万美元、6383万美元、1310万美元、830万美元、10.43亿美元。

NFT指数基金NFTX发布PUNK事件报告：由抢先交易所致:官方消息，此前NFT指数基金NFTXV2发生了准备转移至金库的PUNK代币被盗事件，经NFTX团队调查，是由于攻击者进行抢先交易，导致铸造的两个PUNK代币被转移到了攻击者的钱包。NFTX团队发现该情况后暂停了金库的功能，并在攻击者于Sushiswap出售PUNK后以6ETH购回。NFTX团队表示，本次攻击是由于铸造PUNK的合约不在审计范围内从而导致该漏洞未被发现。[2021/6/30 0:17:01]

NFT生态

基于区块链技术的NFT也是需要重点关注的对象，随着一批头部NFT项目的崛起和各路名人的参与，NFT极速发展。根据DuneAnalytics的数据，OpenSea的交易量在1月份达到上半年最高峰2.84亿美元，而随着加密货币市场的变化，OpenSea在6月份的交易量只有1558万美元，下滑94%。在NFT的热潮中，目前以太坊生态的NFT在市值和交易量依旧占据市场的主流，交易量超90%。除了以太坊外，从近30天交易量和近7天交易量这些短期数据来看，Solana，Flow等生态的NFT也正在快速发展，且表现亮眼，多链时代距离我们越来越近。

蓬勃发展的同时意味着赛道发生的安全事故也不在少数，根据SlowMistHacked不完全统计，截至6月30日NFT赛道安全事件约48起，损失超6281万美元。其中33.4%源于项目自身存在的漏洞被攻击者利用，20.8%源于RugPull，而钓鱼攻击占了大部分，占比为45.8%，多数都是由于Discord/Twitter等媒体平台被黑后黑客发布钓鱼链接。

Gate.io研究院发布2019年加密货币收益调查和投资策略分析报告:Gate.io研究院发布2019年加密货币收益调查和投资策略分析报告，通过对市值排名前200的数字货币进行调查研究，报告要点如下：1.2019年整年的加密货币平均收益与传统金融市场相当，但风险是传统金融市场5倍以上；2.在分析的200个项目中，垂直应用类别的项目价格波动幅度较大，风险略高于底层设施与通用技术项目；3.通过模拟投资策略发现，定投策略可以减少用户的仓位管理时间，让用户的收益与大盘平行波动，而均仓策略可以有效降低风险，但收益减半，仓位管理时间较长；4.在2019年的传统金融市场中，黄金、美股、石油在均仓策略表现不佳，并且均仓策略不太适合波动较低的黄金；5.通过对传统金融市场和数字货币的投资策略模拟进行对比，发现无论何种策略下，比特币的风险和收益均高于传统金融投资品。总的来说，数字货币可能更适合积极投资者，而传统金融更适合稳健投资者。[2020/3/19]

并且随着时间推移，不法分子的攻击逐渐猖獗，根据TRMLabs发布的报告，在5、6两个月，由TRMLabs社区主导的报告平台Chainabuse收到了超过100份关于Discord黑客攻击的报告；自5月以来，NFT社区损失约2200万美元；6月，黑客在被黑的Discord中发布NFT相关的钓鱼攻击同比增加了55%。

跨链桥

随着区块链的发展，目前已经进入一个以太坊为核心多链并存的局面，链与链之间的资产转移、智能合约的跨链交互已成为链上活动的日常，跨链桥作为区块链基础设施的地位越发凸显。根据DuneAnalytics数据，截至6月30日以太坊中15个主要跨链桥的锁定总价值约83.9亿美元。目前TVL最高的是PolygonBridges，排名第二的是ArbitrumBridge，随后是AvalancheBridge。

Telegram创始人回应卡宾斯基报告 称非其应用程序缺陷导致:昨日，卡巴斯基实验室的报告称，Telegram桌面客户端中的一个漏洞可挖取Monero和Zcash等数字货币。对此Telegram的创始人帕维尔·杜罗夫（Pavel Durov）回应卡巴斯基实验室的报告称，此次攻击并不是因为应用程序缺陷导致的。杜罗夫说：“杀软件公司的报告往往爱夸大其调查结果的严重性，以便在媒体上得到宣传。”卡巴斯基发现的并非“Telegram桌面客户端上的真正漏洞”，并且如果用户不打开恶意文件，网络罪犯将无法访问用户的电脑，用户会一直很安全。[2018/2/14]

由于流动资金量大，去中心化程度低，权限几乎都掌握在多签钱包中等特性，跨链桥也成了黑客眼中的“香饽饽”。根据SlowMistHacked统计，截至6月30日跨链桥安全事件共7起，损失高达10.43亿美元，占比DeFi上半年总损失的64%，占比上半年总损失的53%。值得注意的是上半年，损失金额上亿美元的事件4起中就有3起来自跨链桥。作为多链生态的重要基础设施，跨链桥一方面承担着巨量的资金流动，为用户带来了极大的便利，另一方面在安全性和去中心化水平上面临许多挑战，需要项目方提升安全、风控等能力。

交易平台

加密货币行业一直处在监管漩涡中，首当其冲的就是加密货币交易平台。交易平台发生的安全事故分析如下：以全球交易量最大的平台Binance为例，自2021年来，Binance已遭到数十个国家和地区的监管警告，包括欧洲、美洲、亚洲在内的多个地区。在全球强力监管信号下，Binance陆续在西班牙、法国、阿布扎比、迪拜、意大利、巴林等国家或地区获得了监管许可并进行了注册，逐步推进其合规化进程。

在上半年，全球共发生4起交易平台安全事件，损失超7770万美元，具体如下：

1月9日，LCX技术团队在LCX交易平台上检测到一个未经授权的访问，总共约794万美元的加密资产被盗。

1月17日，Crypto.com少数用户遭到未经授权提款，损失约3400万美元，包括4,836.26ETH、443.93BTC和约66,200美元的其他加密货币。

2月8日，LockBit勒索软件团伙称从加密货币交易平台PayBito窃取了大量客户数据。

2月12日，来自美国南达科他州提供自主退休金账户的IRAFinancialTrust对加密交易平台Gemini提起诉讼，指控称由Gemini保管的属于客户退休账户的3600万美元加密资产被盗。

慢雾安全团队建议各大交易平台健全内部管理与技术机制，通过引入安全审计机制、零信任机制、冷热资产安全解决方案等来加强对数字资产的安全保障。

其他

不法分子看中加密货币的匿名性，区块链已成为网络黑产的新风口，呈现出越来越明显的组织化与专业化趋势，“勒索”、“欺诈”及“盗窃”已成为加密货币巨大安全威胁。据中国人民银行支付结算司数据，2021年涉诈款项的支付方式中，利用加密货币进行支付仅次于银行转账，排名第二位，高达7.5亿美元；而2020年、2019年仅为1.3、0.3亿美元，逐年大幅增长的趋势明显。值得关注的是，加密货币转账在“杀猪盘”中增长迅速。2021年“杀猪盘”资金中1.39亿美元使用加密货币支付，是2020年的5倍、2019年的25倍。

攻击手法概览

以上187起安全事件中，攻击手法主要分为四类：由项目自身设计缺陷和各种合约漏洞引起的攻击；包含RugPull、钓鱼攻击等手法的Scam；由于私钥泄露引起的资产损失；前端恶意攻击，这四种主要攻击手法占比安全事件总数量的95%。

上半年由项目自身设计缺陷和各种合约漏洞引起的攻击共92起，造成损失10.6亿美元，其中利用闪电贷引起的攻击有19起，造成损失6133万美元。因私钥被盗引起的资产损失发生率约为4%，损失金额却达到7.2亿美元。随着Web3的火热发展，针对用户和开发人员的攻击层出不穷，尤其是针对Discord、Twitter等媒体平台的钓鱼攻击，黑客通常会在获取到管理员或者账户权限后，伪装成管理员身份并发布钓鱼链接。并且这些钓鱼网站的制作成本非常低，在对知名NFT项目进行Copy后，通过赠送、免费等字眼诱导用户授权，从而转移用户资产。而RugPull则是项目方主动作恶，上半年RugPull事件已达到42起，大部分发生在BSC链。

总结

尽管2022年区块链技术正在飞速发展并且逐渐完善，但层出不穷的加密货币攻击事件对区块链生态安全态势提出了新的挑战。从统计数据来看，上半年发生安全事件次数较多的月份主要在5、6月；从各生态来看，BSC上安全事件发生最多；从赛道来看，损失最多的是跨链桥。

对此慢雾安全团队建议：

对于机构和企业来说，最好能够建立全面的网络安全防护系统，防护从各个层次入侵的网络安全威胁，并通过威胁感知体系快捷获取病木马、钓鱼、网络安全预警、漏洞报告在内的安全情报，一旦发生安全威胁能够及时进行处理。

对于个人用户来说，遵守以下安全法则及原则，可以避免大部分风险：

两大安全法则：

零信任。简单来说就是保持怀疑，而且是始终保持怀疑。

持续验证。你要相信，你就必须有能力去验证你怀疑的点，并把这种能力养成习惯。

安全原则：

网络上的知识，凡事都参考至少两个来源的信息，彼此佐证，始终保持怀疑。

做好隔离，也就是鸡蛋不要放在一个篮子里。

对于存有重要资产的钱包，不做轻易更新，够用就好。

所见即所签。即你看到的内容就是你预期要签名的内容，当你签名发出去后，结果就应该是你预期的，绝不是事后拍断大腿的。

重视系统安全更新，有安全更新就立即行动。

不乱下程序。

在此，十分推荐阅读并掌握《区块链黑暗森林自救手册》。

区块链发展道阻且长，期望随着行业的不断完善，区块链可以迸发出更大的力量，走向更大的舞台

标签：区块链NFT加密货币EFI区块链技术NFTY加密货币有哪几种形态pefi币在哪里可以交易

KuCoin热门资讯