火星链 火星链
Ctrl+D收藏火星链
首页 > ICP > 正文

加密货币:报告解读之 2022 上半年区块链安全态势

作者:

时间:1900/1/1 0:00:00

本篇主要聚焦区块链生态安全概览及攻击手法。

区块链安全态势

近两年来,在疫情持续肆虐、经济衰退、能源短缺、地缘冲突升级、国际间竞争加剧等种种因素的影响之下,全球社会与经济发展遭遇了前所未有的挑战。与此同时,全球区块链行业也经历着一场不断加速的变革:区块链技术的效率、安全性和可扩展性得到不断改善,元宇宙、NFT 等新兴领域的兴起,使区块链行业正式迈入 3.0 时代。

根据慢雾区块链被黑事件档案库( SlowMist Hacked )统计,截至 6 月 30 日,2022 上半年安全事件共 187 件,损失高达 19.76 亿美元。

(2022 上半年安全事件)

在这些安全事件中,约 77% (144 起)源于项目自身存在漏洞被攻击者利用,损失金额约 18.4 亿美元,占安全事件总损失的 93%;约 21%(39 起) 源于包含 Phishing&Rug Pull 的 Scams,损失金额约 1.3 亿美元,占安全事件总损失的 6%。

(2022 上半年安全事件攻击原因分布图)

(2022 上半年安全事件攻击原因损失对比图)

区块链生态安全概览

根据被攻击对象的不同,我们将 187 起安全事故分为三部分:公链赛道、交易平台和其他。

报告:未来5年哈萨克斯坦可通过加密货币挖矿获得15亿美元收入:10月30日消息,哈萨克斯坦数据中心产业与区块链协会(NABDC)的一份报告估计,加密货币挖矿在未来五年内可能为该国带来15亿美元的收入。目前,该国企业数字货币挖矿活动每年产生约980亿坚戈(2.3亿美元)。当地新闻媒体kapital.kz援引NABDC主席AlanDordzhiev的话称,“980亿坚戈的数字只是官方参与挖矿的公司的经济效应。如果我们考虑到‘灰色’矿工,那么这个数字可以乘以2。”“灰色矿工”是指进行加密挖矿的个人,通常具有争议的法律地位。该协会呼吁加强监管,打击非法挖矿,以防止可能出现的电力短缺。据Dordzhiev估计,灰色矿工在该国消耗大约500兆瓦的电力。本月早些时候,哈萨克斯坦能源部提出一项命令草案,以限制加密挖矿业的用电量。(Cointelegraph)[2021/10/30 6:21:22]

公链赛道

作为区块链行业的基础设施,公链承载了人们对于区块链作为 Web3 底层网络的期望。随着一代又一代公链的崛起,NFT、DeFi、GameFi、元宇宙等生态热潮也相继迎来爆发,同时这些项目也促进了公链的发展与价值提升,使多链世界从理想走向了现实。据 Footprint Analytics 的数据,截至 6 月累计已收录的公链数量有 119 条,对比 2021 年 6 月收录的 31 条,同比增长约 284%。

(2021 与 2022 年 6 月公链数量对比)

但公链的快速发展同时是一把双刃剑,在促进产业进步的同时,引发的区块链安全问题也显著增加,我们分别从?DeFi、NFT、跨链桥三方面解析。

IOHK公布拜伦重启第三方安全审计报告:共发现11个漏洞,现已解决:在Byron(拜伦)重启的第三方审计的第一和第二阶段中,IOHK公布了11个被发现并成功解决的潜在漏洞,以“促进整个行业的更高的透明度和安全性”。截至2020年4月20日,网络安全公司root9B(R9B)发现了不安全的Genesis密钥生成(Genesis Key Generation),现在已经通过修改代码使用安全密钥生成进行了修正。

此前消息,Cardano的官方钱包Daedalus发布1.0版本。开发商IOHK介绍,他们花了18 个月的时间重建代码库,确保质量。IOHK还表示,将于5月开始推出主网下一个大版本Shelley的基础设施。(Bitcoin Exchange Guide)[2020/4/24]

DeFi 生态

DeFi 作为世界上最受欢迎的可编程区块链,2022 发展态势不可小觑,据 DeFi Llama 数据显示,6 月 30 日 DeFi 总锁仓价值为 1432 亿美元,其中 ETH 链以 945.5 亿美元的 TVL(Total Value Locked)占据了资金沉淀的半壁江山,其次是 BSC 链的 110.8 亿美元。2021 年以来,许多新兴公链如 Solana、Avalanche 等通过拥抱 DeFi 快速发展链上生态,也吸引了大量用户和资金沉淀。6 月 30 日 Solana TVL 为 26.4 亿美元,同比增长 77%;Avalanche TVL 为 55.4 亿美元,同比增长 96%。

动态 | 《2019安徽区块链产业发展报告》:目前安徽区块链产业相关企业共有161家:12月26日下午,由安徽日报报业集团徽商传媒、《徽商》杂志主办的2019徽商区块链产业发展高峰论坛在合肥举行。会上发布了《2019安徽区块链产业发展报告》(以下简称《报告》)。《报告》显示,目前安徽区块链产业相关企业共有161家,主要集中在省会合肥,其中两家已在国家网信办成功备案。不过,企业数量少、缺乏头部企业,生态圈不健全、应用场景有待搭建和完善等问题都不同程度地制约着安徽区块链产业的发展。(新浪安徽)[2019/12/27]

(2022 上半年 DeFi TVL)

随着 DeFi 热潮的兴起,该领域也自然成为了黑客觊觎的重点对象。根据 SlowMist Hacked 统计,截至 6 月 30 日 DeFi 安全事件约 100 起,损失超 16.3 亿美元。其中在 BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨链桥上发生的安全事件数量分别为 47 起、29 起、8 起、5 起、2 起、1 起、7 起,所造成损失分别为 1.4 亿美元、3.08 亿美元、5491 万美 元、6383 万美元、1310 万美元、830 万美元、10.43 亿美元。

(2022 上半年 DeFi 安全事件分布)

NFT 生态

基于区块链技术的 NFT 也是需要重点关注的对象,随着一批头部 NFT 项目的崛起和各路名人的参与,NFT 极速发展。根据 Dune Analytics 的数据,OpenSea 的交易量在 1 月份达到上半年最高峰 2.84 亿美元,而随着加密货币市场的变化,OpenSea 在 6 月份的交易量只有 1558 万美元,下滑 94%。在 NFT 的热潮中,目前以太坊生态的 NFT 在市值和交易量依旧占据市场的主流,交易量超 90%。除了以太坊外,从近 30 天交易量和近 7 天交易量这些短期数据来看,Solana,Flow 等生态的 NFT 也正在快速发展,且表现亮眼,多链时代距离我们越来越近。

动态 | 澳大利亚计算机协会发布“澳大利亚区块链挑战 ”报告:澳大利亚计算机协会本周发布了“澳大利亚区块链挑战 (Blockchain Challenges for Australia)”报告,报告研究了区块链技术在被广泛采用之前必须克服的技术,法律和教育障碍。报告作者悉尼大学的Vincent Gramoli博士表示,区块链在成为主流技术之前还有一段路要走,必须解决可扩展性,安全性,监管和就业问题。我们已经看到区块链存在可扩展性问题。例如,比特币区块链的速度还不够快,无法应对一段时间内所要求的交易量,而且它不是为了扩展而设计的。采矿业的竞争性导致大量非生产性用电 - 据估计每年高达61.4TWh,这足以为整个国家提供电力。报告指出,比特币的电力需求超过了整个新南威尔士州,一个区块的电力需求足以满足29户家庭一天的用电需求。研究发现,截至今年1月,比特币区块链的存储容量超过了197GB,超过了大多数移动设备的存储容量,这意味着并非所有设备都能完全参与区块链。报告还审查了围绕区块链和智能合约的未解决的法律和监管问题,呼吁在澳大利亚进行更明确的监管,并指出目前“代码”在多大程度上可被视为双方之间的法律协议仍然不明确,未经法庭审判。[2019/5/21]

(2022 上半年 OpenSea 交易量变化图)

(2022 上半年 NFT 攻击事件原因分布图)

动态 | Zebpay首席执行官对纽约司法部长的报告表示赞赏 强调数字分析:据ambcrypto消息,对于纽约发布的旨在保护参与数字货币交易投资者和爱好者的报告,Zebpay首席执行官Ajeet Khurana表示赞赏“很高兴看到纽约州检察长办公室发布的有关目前美国的数字货币交易状况的报告。“Ajeet Khurana还强调了数字分析,认为“审计虚拟资产的普遍方法不存在,交易平台缺乏一致的和透明的方法来独立审计数字货币。”[2018/9/21]

并且随着时间推移,不法分子的攻击逐渐猖獗,根据 TRM Labs 发布的报告 ,在 5、6 两个月,由 TRM Labs 社区主导的报告平台 Chainabuse 收到了超过 100 份关于 Discord 黑客攻击的报告;自 5 月以来,NFT 社区损失约 2200 万美元;6 月,黑客在被黑的 Discord 中发布 NFT 相关的钓鱼攻击同比增加了 55%。

跨链桥

随着区块链的发展,目前已经进入一个以太坊为核心多链并存的局面,链与链之间的资产转移、 智能合约的跨链交互已成为链上活动的日常,跨链桥作为区块链基础设施的地位越发凸显。根据 Dune Analytics 数据,截至 6 月 30 日以太坊中 15 个主要跨链桥的锁定总价值(TVL)约 83.9 亿美元。目前 TVL 最高的是 Polygon Bridges(35 亿美元),排名第二的是 Arbitrum Bridge(18.93 亿美 元),随后是 Avalanche Bridge(12.41 亿美元)。

(以太坊 15 个主要跨链桥的 TVL)

由于流动资金量大,去中心化程度低,权限几乎都掌握在多签钱包中等特性,跨链桥也成了黑客眼中的“香饽饽”。根据 SlowMist Hacked 统计,截至 6 月 30 日跨链桥安全事件共 7 起,损失高达 10.43 亿美元,占比 DeFi 上半年总损失的 64%,占比上半年总损失的 53%。值得注意的是上半年,损失金额上亿美元的事件 4 起中就有 3 起来自跨链桥。作为多链生态的重要基础设施,跨链桥一方面承担着巨量的资金流动,为用户带来了极大的便利,另一方面在安全性和去中心化水平上面临许多挑战,需要项目方提升安全、风控等能力。

(2022 上半年跨链桥安全事件)

交易平台

加密货币行业一直处在监管漩涡中,首当其冲的就是加密货币交易平台。交易平台发生的安全事故分析如下:以全球交易量最大的平台 Binance 为例,自 2021 年来,Binance 已遭到数十个国家和地区的监管警告,包括欧洲、美洲、 亚洲在内的多个地区。在全球强力监管信号下,Binance 陆续在西班牙、法国、阿布扎比、迪拜、意大利、巴林等国家或地区获得了监管许可并进行了注册,逐步推进其合规化进程。

在上半年,全球共发生 4 起交易平台安全事件,损失超 7770 万美元,具体如下:

1 月 9 日,LCX 技术团队在 LCX 交易平台上检测到一个未经授权的访问,总共约 794 万美 元的加密资产被盗。

1 月 17 日,Crypto.com 少数用户遭到未经授权提款,损失约 3400 万美元,包括 4,836.26 ETH、443.93 BTC 和约 66,200 美元的其他加密货币。

2 月 8 日,LockBit 勒索软件团伙称从加密货币交易平台 PayBito 窃取了大量客户数据。

2 月 12 日,来自美国南达科他州提供自主退休金账户的 IRA Financial Trust 对加密交易 平台 Gemini 提起诉讼,指控称由 Gemini 保管的属于客户退休账户的 3600 万美元加密资产被盗。

(2022 上半年交易平台攻击事件损失对比图)

慢雾安全团队建议各大交易平台健全内部管理与技术机制,通过引入安全审计机制、零信任机制、冷热资产安全解决方案等来加强对数字资产的安全保障。

其他

不法分子看中加密货币的匿名性,区块链已成为网络黑产的新风口,呈现出越来越明显的组织化与专业化趋势,“勒索”、“欺诈”及“盗窃”已成为加密货币巨大安全威胁。据中国人民银行支付结算司数据 ,2021 年涉诈款项的支付方式中,利用加密货币进行支付仅次于银行转账,排名第二位,高达 7.5 亿美元;而 2020 年、2019 年仅为 1.3、0.3 亿美元,逐年大幅增长的趋势明显。值得关注的是,加密货币转账在“杀猪盘”中增长迅速。2021 年“杀猪盘”资金中 1.39 亿美元使用加密货币支付,是 2020 年的 5 倍、2019 年的 25 倍。

攻击手法概览

以上 187 起安全事件中,攻击手法主要分为四类:由项目自身设计缺陷和各种合约漏洞引起的攻击;包含 Rug Pull、钓鱼攻击等手法的 Scam;由于私钥泄露引起的资产损失;前端恶意攻击,这四种主要攻击手法占比安全事件总数量的 95%。

(2022 上半年攻击手法数量对比图)

(2022 上半年攻击手法损失对比图)

总结

尽管 2022 年区块链技术正在飞速发展并且逐渐完善,但层出不穷的加密货币攻击事件对区块链生态安全态势提出了新的挑战。从统计数据来看,上半年发生安全事件次数较多的月份主要在 5、6 月;从各生态来看,BSC 上安全事件发生最多;从赛道来看,损失最多的是跨链桥。

(2022 上半年各月份各生态赛道事件分布)

对此慢雾安全团队建议:

对于机构和企业来说,最好能够建立全面的网络安全防护系统,防护从各个层次入侵的网络安全威胁,并通过威胁感知体系快捷获取病木马、钓鱼、网络安全预警、漏洞报告在内的安全情报,一旦发生安全威胁能够及时进行处理。

对于个人用户来说,遵守以下安全法则及原则,可以避免大部分风险:

两大安全法则:

零信任。简单来说就是保持怀疑,而且是始终保持怀疑。

持续验证。你要相信,你就必须有能力去验证你怀疑的点,并把这种能力养成习惯。

安全原则:

网络上的知识,凡事都参考至少两个来源的信息,彼此佐证,始终保持怀疑。

做好隔离,也就是鸡蛋不要放在一个篮子里。

对于存有重要资产的钱包,不做轻易更新,够用就好。

所见即所签。即你看到的内容就是你预期要签名的内容,当你签名发出去后,结果就应该 是你预期的,绝不是事后拍断大腿的。

重视系统安全更新,有安全更新就立即行动。

不乱下程序。

在此,十分推荐阅读并掌握 《区块链黑暗森林自救手册》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)。

区块链发展道阻且长,期望随着行业的不断完善,区块链可以迸发出更大的力量,走向更大的舞台

标签:区块链NFT加密货币EFI区块链运用的技术中不包括哪一项技术NFT币走势绿洲币是加密货币吗MEFI价格

ICP热门资讯
ETH:一文读懂去中心化ETH2.0质押平台SSV Network(附带详细质押教程)

SSV Network是一种使用DVT(分布式验证者技术)的Staking基础设施,其上可以构建各类去中心化质押DAPP.

1900/1/1 0:00:00
区块链:金色百科丨为何比特币的减产时间不是确定日期?

不知道大家有没有注意,一些地方已经开始为比特币减半倒计时,但倒计时的时间却总是变动的,并非严格的一秒一分的倒计时,只能预测减半时间是在5月7日左右,无法精确到几点几分.

1900/1/1 0:00:00
TEC:解读Aztec:将隐私带入Defi的L2

近期,链茶馆发布了L2系列文章,从L2概览到StarkWare、ZKSync等具体项目,分别做过详细介绍。除了之前介绍过的龙头项目外,L2中还有个较为特殊的项目Aztec,实现了隐私交易.

1900/1/1 0:00:00
BIT:一文了解Arbitrum借贷协议Radiant :吸引两亿美金锁定价值的秘诀

最近在 Arbitrum 上推出了一个很有趣的借贷协议,名叫 RadiantCapital。如今,它的 TVL 正在向着2亿美元进发。这篇文章我将为你们介绍一下这个借贷协议.

1900/1/1 0:00:00
STE:P12:为超10亿Steam玩家空投NFT

「我领了蓝色的 NFT,差不多 4000 小时。」 熊市里难得出现一个能刷群的项目,这不是 Mt''s NFT 那样的盘子,而是 Steam 玩家可以领取的空投,根据 Steam 玩家不同的游戏.

1900/1/1 0:00:00
WEB:一文探索DAO与Web3 治理的复杂性

一直以来,由于中心化机构未能以安全、公平和透明的方式,完成对社会基础设施和金融的监管,进而催生了Web3.

1900/1/1 0:00:00