木星链 木星链
Ctrl+D收藏木星链
首页 > Pol币 > 正文

RON:2022年Q1全球区块链安全生态报告 攻击类安全事件造成的损失高达12亿美元

作者:

时间:1900/1/1 0:00:00

2022年,区块链行业迎来新的发展时期,但各类安全风险也在不断升级。

成都链安新推出的《安全研究季报》栏目,将为大家盘点每季度全球区块链安全态势。

今天,跟着我们一起来回顾,2022年Q1区块链安全生态都发生了什么。

2022年Q1区块链安全生态概览

安全事件造成的损失高达约12亿美元

2022年第一季度,根据成都链安监测到的数据统计,攻击类安全事件造成的损失高达约12亿美元,较去年同期的1.3亿美元上涨约9倍。同时也比2021年的任何一个季度损失的金额都要高。

2022年3月,Ronin攻击事件造成6.25亿美元资金被盗,超越2021年8月PolyNetwork被攻击的6.1亿美元,登上Defi黑客攻击损失榜第一位。当然,不是每个项目都能像PolyNetwork一样能够追回资金。截止本报告撰写时,Ronin的黑客依旧在分批次进行。

从链平台来看

Ethereum和BNB依旧是被攻击频次最高的两条链,但高攻击频次并不意味着高损失金额。2022年第一季度,我们监测到Solana链典型攻击事件2起,损失金额却高达3亿7400万美元,远远多于BNBChain上的损失。

从资金流向来看

80%的情况下,黑客都会最终将盗取资金转入Tornado.Cash进行混币。有10%的情况,黑客会将资金暂时留在自己的地址,有时要等待几个月,甚至几年才对赃款进行转移。有少部分黑客会主动归还盗取资金。

从攻击手法来看

合约漏洞利用和闪电贷攻击是黑客最常使用的手段。50%的攻击手法为合约漏洞利用。

从审计情况来看

在被攻击的项目中,70%的项目经过了第三方安全公司的审计。然而在剩余30%未经审计的项目中,因攻击事件遭受的损失却占了整个损失金额的60%以上。

从项目类型来看

谷歌对“加密”的搜索量降至2020年以来低点:金色财经报道,根据谷歌趋势的数据,“加密”一词目前的热度为17,远低于2021年5月的参考点100。比特币和以太坊也遵循了类似的下行轨迹。

投资者对比特币的兴趣下降之际,比特币已经连续10周稳定在2.8万美元左右。Galaxy Digital首席执行官最近将其描述为“缺乏活力”,因为“目前缺乏机构的兴奋感”。[2023/6/5 21:16:46]

DEFI项目依旧是黑客攻击的热点领域,占了总共被攻击项目数量的60%。而跨链桥虽然被攻击的次数不多,但涉及的金额却巨大。

Q1发生典型攻击事件超30起

跨链桥类项目损失惨重

2022年第一季度,区块链领域共发生典型安全事件约30起。总损失金额约为12亿美元,与去年同期相比增长了823%。

在前20排名里,损失金额最高的Ronin为6.25亿,约是金额最低的BuildFinance的558倍。

从统计图表可以看到,Ronin和Wormhole两个项目的损失金额达到了9亿5000万美元,占2022年Q1总损失金额的80%。值得注意的是,这两者均为跨链桥类项目。

全网DeFi总锁仓量跌破1780亿美元,创下2021年10月2日以来新低:5月9日消息,据DefiLlama数据显示,全网DeFi总锁仓量约为1779.2亿美元,创下2021年10月2日以来新低。[2022/5/9 3:01:12]

被攻击项目类型方面

DeFi仍为黑客攻击的重点领域

2022年第一季度,区块链领域,DeFi项目仍为黑客攻击的重点领域,共发生19起安全事件,约60%的攻击发生在DeFi领域。

此外,针对NFT的攻击事件在2022年第一季度有所上升,跨链桥项目被攻击了4次,造成的损失却高达9亿5000万美元,占到2022年一季度损失金额的80%,跨链桥安全事件频发,涉及金额巨大。

链平台损失金额方面

神鱼:Cobo 2022年将大力推动DeFi合规基金和DaaS链上业务:据官方消息,神鱼在Cobo内部发出全员信,在全员信中神鱼表示2021年是无穷的行业的机会与更大力度的政策壁垒相互交织的一年,同时并表示2022年Cobo将增强自身合规意识、积极拥抱监管、正确的处理好合规与发展的关系。目前正在新加坡和香港申请相关的合规牌照,同时也在不断探索欧洲及美国地区的合规化途径。

并在全员信中表达了对于Cobo的未来战略规划,将继续坚持区块链基础设施中间键的战略目标,大力发展DaaS、DeFi Fund和WaaS等多个优势,深化自身技术安全及用户安全意识培养。并将70%-80%的战略重心放在已有和即将深耕的领域,分出20%-30%的精力会去做一些探索性的业务。[2022/1/5 8:26:56]

Ethereum损失金额占比最高

2022年第一季度,Ethereum和Solana链上攻击损失金额排名前2,分别为6亿5448万和3亿7400万美元。

Ethereum被攻击的频次也是最多的,占到了总频次的45%;排名第二的是BNBChain,占比19%。

Solana链上的两次攻击事件都造成了巨额损失:Wormhole损失3亿2600万美元,Cashio损失4800万美元。两者的攻击手法同为合约漏洞利用。

链平台损失金额占比

此外,一些TVL排名靠前的公链在2022年第一季度未检测到重大安全事件,如:Terra、Avalanche、Tron等。

攻击手法分析

报告:2021年迄今,大型DEX的DeFi交易量跃升550%:11月9日消息,Chainalysis的一份新报告显示,去中心化交易所(DEX)正在蓬勃发展,其增长速度目前超过了中心化交易所(CEX)。2020年8月至2021年期间,大型DEX(如Curve、Uniswap和PancakeSwap)的交易量增长了约550%。DEX的数量增长超过了其他任何类别,包括场外经纪人、CEX和Chainalysis所称的“高风险交易所”,即那些几乎不要求KYC的交易所。

据Chainalysis称,尽管活跃加密货币交易所的总数一直在稳步下降,但大型DEX的数量一直在上升。去年7月,在2019年1月以来稳步增长后,所有活跃加密交易所的数量开始趋于平缓。在随后的12个月里,DEX数量从845下降到672。Chainalysis研究团队主管Kim Gauer表示,出现这一情况并不意外。数量下降的主要原因似乎是规模较小的交易所关闭。从Chainalysis分析的数据来看,目前还不清楚是否有并购促使这些公司关闭。但Gauer称,她怀疑许多DEX倒闭是因为无法获得足够的流动性。(Decrypt)[2021/11/10 6:42:26]

合约漏洞利用和闪电贷最常见

2022年第一季度,区块链安全生态领域,约50%的攻击方式为合约漏洞利用,24%的攻击方式为闪电贷。

有12%的攻击为私钥泄露、钓鱼攻击和社会工程学攻击。此类攻击源于项目方没有保管好私钥或警惕性不足。

被黑客利用的合约漏洞中,最常见的漏洞为重入漏洞,其次分别为业务逻辑不当、call注入攻击和验证不当或不足;其中绝大部分漏洞都可以通过安全审计尽早发现和修复。

USV:于2021年第一季度出售其持仓占比10%的Algo代币:4月2日,联合广场风投(USV)官方更新其Algorand财务状况:在2020年第四季度,USV没有卖出任何Algo,在2021年第一季度,USV出售了约占其总持有量的10%(包括未解锁部分)Algo。区块链协议Algorand创始人为麻省理工学院教授兼图灵奖得主SilvioMicali,Algorand曾获知名风投Pillar和USV投资。[2021/4/2 19:39:58]

典型安全事件分析

案例一:TreasureDAO被攻击事件

背景:

3月3日,TreasureDAONFT交易市场被曝发现漏洞,导致100多个NFT被盗。然而在事件发生几小时后,攻击者却开始归还被盗NFT。

详情:

交易发起者通过合约的buyItem函数传入了数值为0的_quantity参数,从而无需费用就能购买TokenID为5490的ERC-721代币。

项目合约的buyItem函数代码

从代码上来看,合约的buyItem函数在传入_quantity参数后,并没有做代币类型判断,直接将_quantity与_pricePerItem相乘计算出了totalPrice,因此safeTransferFrom函数可以在ERC-20代币支付数额只有0的情况下,调用合约的buyItem函数来进行代币购买。

然而在调用buyItem函数时,函数只对购买代币类型进行了判断,并没有对代币数量进行非0判断,导致ERC-721类型的代币可以在无视_quantity数值的情况下直接购买,从而实现了漏洞攻击。

建议:

本次安全事件主要原因是ERC-1155代币和ERC-721代币混用导致的逻辑混乱,ERC-721代币并没有数量的概念,但是合约却使用了数量来计算代币购买价格,最后在代币转账时也没有进行分类讨论。

建议开发者在开发多种代币的销售贩卖合约时,需要根据不同代币的特性来进行不同情况的业务逻辑设计。

案例二:BuildFinance项目遭遇治理攻击

背景:

2月15日,DAO组织BuildFinance表示遭遇恶意治理攻击,攻击者通过获得足够多的投票成功了控制其Token合约。

详情:

在2020年9月4日的一笔交易中,BuildFinance合约创建者通过setGovernance函数将治理权限转移。通过查找内部的Storage,发现权限转移给了0x38bce4b地址。继续跟进0x38bce4b地址,发现是一个Timelock合约,而合约中可以调用setGovernance函数的只有executeTransaction函数。

BuildFinance被攻击流程

继续跟进发现,在2021年1月25日,0x38bce4b地址调用executeTransaction函数将权限转移到了0x5a6ebe地址。2022年2月11日,由于投票设置的阈值较低导致提案通过,0x5a6ebe地址的治理权限变更为了0xdcc8A38A地址。在获取到治理权限后,攻击者恶意铸币并耗尽了交易池的流动性。

建议:

DAO合约应该设置合适的投票阈值,实现真正的去中心化治理,避免很少的投票数量就使得提案通过并成功执行,建议可以参考openzeppelin官方提供的治理合约的实现。

案例三:Ronin6亿美元盗币案?

背景:

3月23日,SkyMavis的Ronin验证器节点和AxieDAO验证器节点遭到破坏,攻击者使用被黑的私钥来伪造假提款,获利约6.25亿美元。而RoninNetwork直到3月29日才发现自己遭受到了攻击。

详情:

SkyMavis的Ronin链目前由9个验证节点组成。为了识别存款事件或取款事件,需要九个验证者签名中的五个。攻击者设法控制了SkyMavis的四个Ronin验证器和一个由AxieDAO运行的第三方验证器。此后Ronin官方表示,所有证据都表明这次攻击或与社会工程学相关。

Ronin黑客过程

建议:

1、注意签名服务器的安全性;

2、签名服务在相关业务下线时,应及时更新策略,关闭对应的服务模块,并且可以考虑弃用对应的签名账户地址;

3、多签验证时,多签服务之间应该逻辑隔离,独立对签名内容进行验证,不能出现部分验证者能够直接请求其它验证者进行签名而不用经过验证的情况;

4、项目方应实时监控项目资金异常情况。

被盗资金流向分析

Tornado.Cash或为黑客惯用途径

80%的情况里,黑客在得手后,会立刻或几天内将盗取资金转入Tornado.Cash进行混币。

10%的情况里,黑客会暂时将赃款留在自己地址,等待几个月至几年才将资金转出。例如去年12月被盗的交易所AscendEX,黑客等到今年2月、3月才开始进行分批次。而今年Ronin的攻击者目前依然在进行频繁的操作。

有少部分黑客会归还盗取资金。Cashio的攻击者在盗取4800万美元的资金后,公开留言表示将向价值在10万美元以下账户进行退还,并声称“我的目的只是从不需要的人那里拿钱,而不是从需要的人那里拿钱”。

目前Tornado.cash依旧为黑客惯用的途径。

项目审计情况分析

30%未经审计的项目损失金额占总量的60%

项目审计情况:

70%的被攻击项目经过了第三方安全公司的审计;

30%未审计的项目,损失金额达7.2亿美元,占第一季度总损失金额的60%;

项目上线之前的审计依旧重要。在未审计的项目中,50%的攻击手法都为合约漏洞利用。因此,尽早审计和及时修复代码漏洞,可以避免上线后项目被攻击造成的严重损失。

项目审计情况及总损失金额

2022年Q1结语

安全事件频发,涉及金额大幅增加

2022年第一季度,区块链领域攻击类安全事件造成的损失高达约12亿美元,比2021年的任何一个季度损失的金额都要高。跨链桥项目被盗取金额巨大,DeFi项目被攻击频次最高,这两个领域今后或许也是黑客重点盯上的攻击目标。

项目方应及时关注资金异常情况,成都链安可以让项目方和用户及时发现风险交易,从而快速采取措施。例如立刻暂停相关服务,或告知用户取消授权等,避免后续更大的损失。

项目安全审计依旧重要,约50%的攻击方式为合约漏洞利用,这其中绝大多数漏洞都可以通过安全审计及早发现和修复。

标签:RONDEFIDEFEFINEURONPlutusDeFipinetworkdefi币最新消息Restaurant DeFi

Pol币热门资讯
以太坊:项目周刊|北京仲裁委:比特币属于虚拟财产 受到法律保护

金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、行情与合约数据、矿业信息、项目动态、技术进展等行业动态。本文是项目周刊,带您一览本周主流项目以及明星项目的进展.

1900/1/1 0:00:00
EFI:概念化的数字国家:看好化身 看空现实

你们中的大多数人可能都读过/看过玩家一号,对元宇宙中的生活会是什么样子和感到震惊。虽然“元宇宙”一词最近已经成为一个流行的词汇,让人们随意扔钱给垃圾项目,但这个概念从20世纪90年代就已经存在了.

1900/1/1 0:00:00
区块链:金色早报 | 环球音乐集团为其BAYC #5537申请4个商标

头条▌环球音乐集团为其BAYC#5537申请4个商标?????4月5日消息,环球音乐集团已提交四项与其此前购买的BAYC#5537有关的商标注册申请.

1900/1/1 0:00:00
比特币:项目周刊|墨西哥参议员提议立法使比特币成为法定货币

金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、行情与合约数据、矿业信息、项目动态、技术进展等行业动态。本文是项目周刊,带您一览本周主流项目以及明星项目的进展.

1900/1/1 0:00:00
IME:2022趋势与潜力项目价值研究:BTC Telegram+ 音乐Opul

2022年开始世界经济进入一个比较魔幻的节奏,美联储的加息,中国的政策都牵动着世界经济的神经。现在又加入了战争这个更加不确定性的因素,2022年的经济价值也许会进一步趋向务实与实际应用的回归,纯.

1900/1/1 0:00:00
NFT:晚间必读5篇 | 5种主题的NFT正在兴起

1.金色观察|5种主题的NFT正在兴起文章作者为WilliamM.Peaster,发布在bankless。NFT生态系统正在经历一个快速增长的时期.

1900/1/1 0:00:00