随着2021年区块链行业迎来新的发展时期,区块链作为“新基建”的重要组成部分,与实体经济和数字经济加速融合,稳步推进,区块链应用价值得到进一步凸显。与此同时,各类区块链安全风险也伴随着技术的大规模应用不断升级。
在过去的2021年,区块链面对了更严峻的安全挑战,区块链生态领域发生了不少大规模和令人震惊的网络攻击事件。今天,跟着我们一起来回顾2021年区块链安全生态都发生了什么。
1.2021年区块链安全生态概览
根据成都链安监测到的数据不完全统计,截止发稿前,2021年整个区块链生态发生的相关典型安全事件数量超332起,相比于2020年的270起,增幅超22%;2021年,整个区块链生态造成的经济损失超153亿美金,较2020年增幅超26%。
值得注意的是,据成都链安安全团队历年数据统计,2018年区块链生态经济损失超20亿美元,2019年区块链生态经济损失超60亿美元;2020年区块链生态经济损失超121亿美元,加上2021年超153亿美元的经济损失,可见这几年来,区块链生态经济损失越发严峻。
2010年-2021年区块链生态经济损失
自2016年以来,区块链生态经济损失逐年增多,源于近几年来区块链行业进入到一个高速发展的阶段,伴随着区块链底层技术逐步走向成熟,区块链应用价值愈加获得认可,区块链生态所承载的经济效益逐年提升,随之而来的安全风险也愈发严峻。
全球加密资产普及程度提升且总市值不断突破历史新高,黑客与不法分子的犯罪行为随之更加猖獗。
反映问题方面,其一,整个区块链生态当下仍缺乏普适的安全标准和安全规范,行业乱象难以得到有效遏制;其二,区块底层技术在应用层、合约层、网络层、共识层分别仍然存在着各种不容忽视的安全风险;其三,区块链生态的安全监管进程亟待推进,如何实现高效可行的安全监管,是整个行业需要重点攻坚的难题所在。
除区块链技术架构本身所存在的安全风险之外,其诸如去中心化、难篡改、匿名等“基因特性”也为区块链安全监管层面带来了不容忽视的挑战。具体表现为三个方面。
1
一是区块链技术无国界限制,区块链网络节点可存在多个国家,链上产生的异常行为追踪,引发管辖权限困境、责任认定困境等问题。
Blockstream首席执行官:区块链是新数字时代的基础:Blockstream首席执行官Adam Back在推特表示,区块链是新的世界奇迹,比埃及金字塔投入的劳动和人类智慧还要多。它是数字纪念碑,也是新数字时代的基础。[2020/6/4]
2
二是区块链的强隐秘性,无疑增加了安全事件和犯罪行为的追踪溯源难度。
3
三是区块链的防篡改性,为有害信息、犯罪行为等形成天然庇护,向行业安全监管提出挑战。
2.2021年区块链安全事件全画像
典型安全事件数量
根据成都链安监测到的数据不完全统计,截止发稿前,2021年整个区块链生态发生的相关典型安全事件数量超332起,安全事件爆发峰值在8月,6、7月安全形势也较严峻。
典型安全事件类型占比
安全事件主要集中在交易所、DeFi、跑路/加密局、勒索软件/挖矿木马、暗网、其他等方面,其中DeFi安全事件101起、跑路/加密局95起,成为年度主要的安全事件来源。
2021年典型安全事件分布类型
典型安全事件导致的经济损失金额
据成都链安监测数据不完全统计,2021年安全事件造成的经济损失超153亿美金,较2020年的121亿美金趋势依然走高。其中跑路/加密局导致的经济损失形式最为严峻。
2021各类型典型安全事件造成的经济损失金额
3.安全风险分析及应对策略
作为多种技术整合的一种全新的数据记录、存储和表达的方式,区块链技术能够在不可信的竞争环境中低成本建立信任机制,同时又具备一系列加密算法和数字签名等方式以确保交易安全,并形成一种随时间戳排序的链式结构来保证数据不被篡改。可尽管如此,区块链既是坚韧的安全捍卫者,同时也是脆弱的被攻击对象。
声音 | 施扬:区块链公证书能实现瞬间核对 大幅提升效率:金色财经讯,近日,BTV《解码区块链》邀请了北京市中信公证处、互联网金融部部长施扬,施扬表示,有了区块链公证书,只需相关部门通过扫描公证书上的二维码,就能查到公证书上存档的内容,实现瞬间核完公证书。而传统的流程十分复杂,整体下来,这个过程少则几天,多则半个月。这之间的差距是非常大的,这也就是区块链公证书所带来的进步。[2019/5/30]
DeFi生态方面
由于DeFi热潮的兴起,该领域也自然成为了2021年黑客“大展拳脚”的重点对象。
建议
项目上线前,DeFi项目方应做好前置预防工作,寻求第三方安全公司进行严格的安全审计,引入一整套态势感知、威胁情报、安全响应等全生命周期的安全解决方案,完善安全防护机制。作为用户,在选择项目时,应留意该项目是否经过第三方安全公司的安全审计,是否具备权威的安全审计报告,切不可掉以轻心。
跑路/加密局方面
2021年跑路/加密局方面所造成的经济损失远超于黑客的攻击行为和盗窃行为。波及人数多、遍布区域广、涉案金额高等原因推波助澜,进而导致该领域安全事件高发,经济损失严重。
建议
作为用户和投资者,应提高警惕,谨慎甄别投资产品和投资项目,不盲从,不跟风。加强自身安全意识和防意识,谨慎分辨网络上的有关消息,切莫掉进圈套。行业各方从业者应积极配合相关部门,推动整个区块链生态安全监管的进程建设。
勒索软件/挖矿木马方面
勒索软件方面,黑客一般会通过钓鱼攻击、病软件、漏洞攻击锁定受害人的网络设备或加密重要文件,以此勒索指定加密资产;而挖矿木马方面,则会利用挖矿木马和蠕虫来完成大量计算以获取加密资产,在计算过程中,计算机大量的CPU、GPU资源被占用,将导致计算机变得异常卡慢,干扰正常系统运行。
建议
应避免使用弱口令密码,同一个密码不能重复使用。日常工作中应加强安全防护,不要轻信或下载来源不明的链接或文件,谨慎打开来历不明的邮件或网址。联合全球力量,严厉打击勒索软件/挖矿木马,推动行业安全监管进程建设。
暗网方面
2021年暗网方面依然是网络犯罪活动频发的不法之地,犯罪分子为逃避有关部门的监管和追踪,基于加密资产的匿名特性,多会选择以比特币、莱特币等作为交易媒介。
建议
作为用户,应正确使用互联网,规范网络道德。作为网络安全公司,需加强暗网治理有关技术,协助相关部门参与到打击暗网和黑灰产业链的专项行动中。加强国际合作,提升全球治理和管理暗网的整体实力。
声音 | 以太猫创始人:区块链在亚洲有很大发展空间:据bitcoinist报道,以太猫创始人Benny Giang在接受Techcrunch采访时表示,在区块链亚洲是一个巨大的未开发的市场,还有很大的发展空间。主要原因,一是在亚洲加密货币和区块链的普及程度更高;二是中国、韩国和日本的监管市场更加发达和成熟。[2018/8/20]
交易所方面
交易所是距离用户资产最近的地方,用于海量资产的管理存储及撮合交易,因此一直以来也是黑客首当其冲的攻击目标。
建议
从交易所应建立完善的安全风控应急预案,以及时响应并处置各类黑客攻击事件的发生。交易所应建立全面的安全防护机制,加固平台自身安全架构,并适时对平台进行来自第三方安全公司的整体安全测试。加强对内部员工和用户的安全意识普及,避免出现监守自盗的情况。
其它方面
其他方面,诸如信息泄露、隐私保护、私钥窃取、非法等各领域所发生的安全事件依然不容忽视。同时,随着区块链技术与多个产业领域实现大规模融合及应用,未来各类型的安全事件将呈高发态势,值得重点关注,需及时搭建起具备针对性的安全防御机制。
建议
行业各方从业者在关注热点领域安全事件的同时,也需兼顾其他方面的安全风险。在夯实传统安全、网络安全的基础上,积极应对区块链生态各领域的安全挑战。加强对区块链安全技术的投入与研究,建立覆盖区块链生态全生命周期的安全解决方案。
4.2021年区块链十大安全事件盘点
根据事件的损失金额大小,一起来回顾2021年十大安全事件。
No1.?
POLYNETWORK:6.11亿美元?
时间:2021年8月10日
攻击手法:合约权限管理逻辑存在问题
8月10日晚,链必安-区块链安全态势感知平台舆情监测显示,跨链协议PolyNetwork遭受攻击,Ethereum、BinanceChain、Polygon3条链上近6亿美元资金被盗。
经过分析,成都链安技术团队发现攻击者利用EthCrossChainManager合约中存在的逻辑缺陷,通过该合约调用EthCrossChainData合约中putCurEpochConPubKeyBytes函数更改Keeper为自有地址,然后使用该地址对提取代币的交易进行签名,从而将LockProxy合约中的大量代币套取出来。
英诺天使基金创始合伙人李竹:Token和区块链并非天然绑定的,没有Token区块链也可以用:今日,在清华大学区块链应用与投资论坛上,中国青年天使会会长、英诺天使基金创始合伙人李竹参与圆桌讨论,他指出Token和区块链并非天然绑定的,没有Token区块链也可以用。Token的价值一个是在社区激励方面,让更多人聚集到社区中做贡献,也可以方便社区的估值。使用Token的社群,其竞争力是其他社群的十倍左右。[2018/4/26]
相关阅读:
年度最大DeFi黑客事件!成都链安关于PolyNetwork被攻击事件全解析
独家|拨开PolyNetwork攻击事件的迷雾,成都链安成为首家提前找到攻击源头的安全公司
No2.?
BITMART:1.96亿美元?
时间:2021?年?12月4日
攻击手法:热钱包私钥被盗
10月4日,加密货币交易平台Bitmart遭黑客窃取1.96亿美元,该平台官方声明了黑客入侵事件,表示这是一次大规模安全攻击事件。其中约1亿美元来自以太坊区块链的各种加密货币,9600万美元来自币安智能链上的货币。后来,BitMart创始人兼CEOSheldonXia在社交媒体表示,BitMart已完成初步安全检查并确定受影响的资产,主要是由于两个热钱包被盗私钥造成的。
No3.?
Compound:1.47亿美元??
时间:2021?年9月30日
攻击手法:代币分发的速率初始设定出错
9月30日,头部去中心化借贷协议Compound于官推表示,在通过并执行「治理提案062」后,升级合约内发错了一个BUG,致使COMP代币出现了异常分发情况。错误分配了大约8000万美元的超额COMP,加上滴注后已经索赔的2200万美元以及处于风险中的4500万美元,那么漏洞总计为1.47亿美元。尽管这更像是“银行错误”而不是漏洞利用,但Compound在这个的排行榜上占有一席之地是公平的。
No4.?
VulcanForged:1.45亿美元?
时间:2021年12月13日
攻击手法:钱包造入侵
12月13日消息,据VulcanForged官方推特称,96个持有PYR的钱包遭到入侵。超过450万PYR已被盗。随后官方表示:1.我们无能为力,他们无法从PK被盗且资金未转移的钱包中取出资金。2.我们正在转向一个完整的去中心化钱包设置。3.所有被盗的PYR将由我们的国库代替。12月14日,VulcanForged在此前遭遇黑客攻击后已向全部受损用户赔偿价值1.45亿美元的TokenPYR,所有退款均来自VulcanForged财库。
科技部副部长李萌:区块链等技术未来是可以影响商业革命的技术:科技部副部长李萌24日表示,科技创新是新商业革命的强大引擎。未来中国将着眼新的市场需求继续加大科技创新力度,推动中国现代化经济体系建设。未来影响商业革命的技术,除了广泛应用的移动互联、大数据、云计算,还有一系列新技术值得关注,包括5G通信技术、新一代人工智能、物联网和区块链技术等。[2018/3/24]
No5.?
CreamFinance:1.3亿美元?
时间:10月27日
攻击手法:闪电贷攻击
DeFi借贷协议CreamFinance再次遭受攻击,损失达1.3亿美元。被盗的资金主要是CreamLP代币和其他ERC-20代币。关于本次攻击,成都链安技术团队第一时间进行了事件分析发现,本次攻击是典型的闪电贷进行价格操作,通过闪电贷获取大量资金后,利用合约设计缺陷,大幅改变价格导致获利。Cream的预言机价格计算使用与yUSD的totalAsset有关。向yUSD合约直接转账时,不会更新Debt,从而使totalAsset增大,从而使得yUSD价格变高,可以从Cream中借出更多的资金。
相关阅读:
被盗1.3亿美元!吸引“渣男”体质?CreamFinance今年第五次遭黑客攻击全解析
No6.?
BadgerDAO:1.2亿美元?
时间:12月2日
攻击手法:前端恶意代码注入
12月2日,一名攻击者利用“前端恶意代码注入”的攻击方式,从BadgerDAO收益金库协议的数十名用户的钱包中抽走了资金,总损失约为2100BTC和151ETH,合1.2亿美元。据悉。早在11月28日,Discord用户就开始报告来自Badger平台的异常支出请求问题,并在社交媒体和Discord上提醒管理员,不过,相关提醒却没有得到官方的重视。
No7.?
AscendEX:7770万美元?
时间:12月12日
攻击手法:热钱包私钥被盗
12月12日,热钱包事故致AscendEX损失近8000万美元。12月12日,AscendEX公告了其在前一天遇到的热钱包异常,「12月11日大约22:00UTC,我们在一个热钱包中发现了一些未经授权的转账。」该交易所未在公告中说明「未经授权的转账」出现的原因。从这起安全事件看,保管大量用户资产的中心化交易所在热钱包管理上仍存在疏漏。
No8.?
EasyFi:5900万美元?
时间:4月19日
攻击手法:热钱包私钥被盗
Easyfi.network创始人兼CEOAnkittGaur在推特上称,4月19日,黑客将大量EASY代币从EasyFi官方钱包转移到以太坊网络和Polygon网络上未知钱包;而管理这些代币的计算机有超一周处于离线状态并未使用。4月19日,借贷协议EasyFi创始人兼CEOAnkittGaur称,有大量EASY代币从EasyFi官方钱包大量转移到以太坊网络和Polygon网络上的几个未知钱包。EasyFi调查后称,本次事件为助记词破解安全事件,EasyFi智能合约未被黑客利用,只是MetaMask的助记词短语或管理员密钥遭到远程攻击,仅消耗了协议的流动性。
No9.?
UraniumFinance:5720万美元?
时间:4月28日
攻击手法:精度处理错误
北京时间2021年4月28日,币安智能链上区块链项目UraniumFinance发推提醒用户称:Uranium在流动性迁移过程中被攻击,提醒用户停止交易。由于从Uniswapv2代码分叉的UraniumPair合约中引入了一个简单的数学错误,导致本次攻击至少损失了57,000,000美元。
No10.?
bZx:5500万美元?
时间:11月5日
攻击手法:私钥泄露
11月5日,去中心化金融平台bZx发生攻击事故,一名黑客借助鱼叉式网络钓鱼攻击获得了bZx平台上用于与Polygon和Binance智能链区块链集成的两把私钥,通过私钥发起无限制消费操作,成功盗取bZx平台价值约5500万美元的加密货币资产。去中心化金融(DeFi)平台允许用户借贷和推测加密货币的价格变化。
5.最后总结
尽管2021年区块链技术正在加速演进和趋于完善,但层出不穷的区块链安全事件的高发对区块链生态安全形势发起了更为严峻的挑战。
从2021年的各项统计数据来看,整个区块链生态依然DeFi、跑路/加密局方面更容易成为黑客攻击和犯罪滋生的温床,无论是安全事件数量还是造成的经济损失数量都非常巨大。多个DeFi项目遭到黑客攻击,所造成的巨额经济损失严重影响着区块链生态的安全和稳定;虚拟货币的普及程度和财富效益逐步攀升,跑路/加密局方面的相关事件风起云涌。
对此成都链安建议:
广大项目方一定要确保项目安全审计,对存在异常的操作进行实时监控,即刻发现,即刻解决;
广大用户也应提升相关知识储备、增强自身的安全意识,避免造成严重经济损失。
6.年度安全事件扩展阅读
2021年安全事件分析
1、损失约820万美元,VisorFinance遭黑客攻击事件全解析
2、不安分的黑客又“偷袭”?MonoX被攻击事件全解析
3、被盗1.3亿美元!吸引“渣男”体质?CreamFinance今年第五次遭黑客攻击全解析
4、成都链安提醒:以太坊旧版本geth客户端节点出现BUG,请尽快升级至v1.10.8版本!
5、甜蜜一击?谁是幕后黑手?BSC链上XSURGE遭闪电贷攻击全解析
6、白话解说,你一定能看懂,全流程重现PolyNetwork6亿美元盗币案!
7、DeFi历史第一的黑客事件发生,除了吃瓜我们应该注意什么?
8、年度最大DeFi黑客事件!成都链安关于PolyNetwork被攻击事件全解析
9、近6亿美元资金被盗,PolyNetwork遭受攻击,成都链安正在对这三个地址进行实时监控
10、损失近2070万美元!防不胜防?PopsicleFinance被攻击事件全解析
11、狂跌100%,代币YELD价格直接跳水归零!PolyYeldFinance被攻击事件全解析
12、BSC生态又一起“闪电贷攻击”再现|ApeRocketFinance被黑事件简析
13、Polygon生态的“潘多拉魔盒”已打开?|SafeDollar攻击事件分析
14、BSC链上“闪电贷攻击”再袭!|xWinFinance被薅羊毛事件简析
15、BSC链上项目再遭黑客攻击,“黑色5月”阴云持续?|PancakeHunny被黑事件简析
16、闪电贷攻击+错误权限配置,2500万美元付诸东流|xToken被黑事件简析
17、搬起“石头”,竟砸了自己的脚?|DODO攻击事件分析
18、上线不到1天就携款跑路,3000万美金被卷走!|MeerkatFinance跑路事件分析
19、16万美元资产被盗竟是乌龙事件?|Yeld.finance“闪电贷攻击”事件简析
20、成都链安:DeFi项目YearnFinance闪电贷攻击事件分析
2021安全月报
1、盘点|1月发生典型安全事件超25起,整体风险评级为『中』
2、盘点|2月发生典型安全事件超26起,整体风险评级为『中』
3、盘点|3月发生典型安全事件超23起,虚拟货币跑路与加密局事件波澜再起
4、盘点|4月发生典型安全事件超19起,区块链生态安全风险指数偏低,依然不可掉以轻心
5、盘点|5月发生典型安全事件超32起,“黑色5月”,BSC链上项目超10起遭受攻击,损失约达3亿美元
6、盘点|6月发生典型安全事件超36起,“DeFi”与“虚拟货币”安全风险居高不下
7、盘点|7月发生较典型安全事件超36起,DeFi与加密局领域依然是重灾区
8、盘点|8月发生较典型安全事件超41起,黑客究竟还有多少攻击套路?
9、盘点|9月发生较典型安全事件超29起,注意交易所和资金盘跑路!
10、盘点|10月发生较典型安全事件超22起,主要集中于DeFi与加密局两个领域
11、盘点|11月发生较典型安全事件超21起,用户需继续加强自身防意识
巴比特现场报道,在今日举办的2021CCF中国区块链技术大会上,中央网信办信息化发展局政策规划处熊希贤发表致辞时分享了区块链创新应用工作的几点体会.
1900/1/1 0:00:00视频|链小6、林涵风?配音|?随易联合出品?|?DeFi之道2021年的加密世界混沌初开疯狂、混乱、魔幻但同时也孕育着生机 这一年荷兰加密货币经纪商LiteBit拟停止运营.
1900/1/1 0:00:00据U.Today1月11日报道,基于区块链的网络漫画平台TooNFT完成175万美元融资,HGVentures、GBIC、Alphabit、AdaptiveLabs、MindfulnessCap.
1900/1/1 0:00:001.知情人士:Diem协会正在考虑出售其资产以返还投资者成员2.Etherscan创始团队发布以太坊即时通讯应用“BlockscanChat”测试版数据:Pantera Capital获2412.
1900/1/1 0:00:00原文标题:《ThePixelArtRevolutionWillBeTelevised》原文来源:AidanMoher,作家,雨果奖获得者原文编译:律动0x21NFT市场经过一年的洗礼.
1900/1/1 0:00:00据CoinDesk1月22日消息,推特加密团队TwitterCrypto正在招聘高级产品经理,该岗位的职责包括为区块链和Web3领域的新战略计划提供信息;设计特定于加密的功能和产品.
1900/1/1 0:00:00