宇宙链 宇宙链
Ctrl+D收藏宇宙链

慢雾:盘点2021年典型安全事件,回顾区块链生态安全态势

作者:

时间:1900/1/1 0:00:00

2021年,对区块链行业来说,是跌宕起伏的一年,尽管如此,区块链凭借其去中心化、开放透明的特性,在行业内外的努力下,仍取得了良好的成绩。同时,继DeFi之后,全球用户、媒体对NFT、元宇宙的疯狂热潮,将区块链带到了前所未有的高度。这一年到底发生了什么?本文将从区块链市场发展及典型安全事件切入,带你一探究竟。区块链生态安全态势

政策、合规、监管

从国内环境看,一方面政府加大对区块链技术的研发和应用的重视程度,工信部指出到2025年区块链等设施服务能力显著增强;另一方面,政府继续收紧对加密货币的监管。9月,多部门发布了《关于进一步防范和处置虚拟货币交易炒作风险的通知》、发改委等部门联合发布了《关于整治虚拟货币“挖矿”活动的通知》。相关材料显示,2021年国家层面出台的涉及区块链相关内容的政策文件,内容覆盖高校科研、人才培育、技术应用标准、知识产权、数字农业、航运交通、疫情防控、网络安全、社会救助、数字文化产业等方面。从国外环境看,各国政府仍对加密货币持续关注,对加密货币的监管逐步完善、政策也逐步放开。全球反机构金融行动特别工作组发布加密货币最新监管指南;韩国首尔将打造公共服务“元宇宙平台”;美国德州虚拟货币法案已正式生效;比特币正式成为萨尔瓦多法定货币;乌克兰议会通过虚拟资产法案等。可以看出,全球各政府对区块链的重视程度进一步提升,区块链作为“新基建”的重要组成部分,正在被越来越多的主流机构拥抱。技术、应用、经济

我国“区块链+产业”同样稳步发展,各类落地应用项目不断涌现。全国首个区块链知识产权保护工作站揭牌成立;广东省发放全国首张公共数据资产凭证。巨头公司也加入赛道:华为公开“安全芯片及处理方法”专利、腾讯云区块链发布三款产品、百度新增“区块链系统升级方法、装置、设备及存储介质”专利;中国移动通信联合会元宇宙产业委员会正式成立;中国区块链专利申请量全球第一,占比约63%;商务部表示推动区块链等新技术标准化应用等。2021年,区块链底层技术也实现了关键突破。以太坊预计将在2022年Q2合并,V神等人提出EIP-4488旨在降低以太坊二层扩容解决方案的Gas;以太坊Layer2扩容方案Arbitrum将推出基于WASM的新版本Nitro;8月5日以太坊完成伦敦升级。安全事件

区块链技术就是一把双刃剑,其去中心化、匿名性、不可篡改等特性在促进产业进步的同时,引发的区块链安全问题也显著增加,加密货币犯罪五花八门,、、盗窃、贩、挖矿犯罪等案件频发。据慢雾科技区块链被黑档案数据不完全统计,截止发文前,2021年区块链生态被公开的区块链安全事件共231起,损失超98亿美元。

慢雾:区块链因黑客攻击损失总金额已超300亿美元:金色财经报道,据慢雾统计数据显示,自2012年1月以来,区块链黑客造成的损失总金额约为30,011,604,576.24美元;黑客事件总数达到1101起。

其中Exchange、ETH Ecosystem、Bridge是在黑客攻击中损失最大的类别,损失金额分别为10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合约漏洞、Rug Pull、闪电贷攻击是最常见的攻击方式,分别发生黑客事件137起,106起,87起。[2023/7/7 22:24:09]

其中各生态DApp、DeFi等安全事件170起,交易所安全事件15起,公链安全事件8起,钱包安全事件3起,其他类型安全事件35起。

自2018年以来,总体损失走势还是升高的。

下面带大家来回顾典型事件,同时对每类事件附上慢雾观点。虽然本文列举的仅是冰山一角,但具有很大的代表性。安全事件与观点

公链

BSV遭51%攻击8月4日,BSV疑似遭受到51%攻击,近100个区块发生重组。ETC主网遭遇分叉9月4日,EthereumClassic发推称,因以太坊客户端Geth漏洞导致ETC主网遭遇分叉。Solana的主网Beta版遭拒绝服务攻击9月14日,公链Solana的主网Beta版自北京时间19:52开始出现不稳定状况,9月21日,Solana官方发布网络中断初步概述:Solana网络离线17个小时,没有资金损失,网络在24小时内恢复了全部功能。网络停滞的原因是拒绝服务攻击。UTC时间12:00,GrapeProtocol在Raydium上启动IDO,机器人生成的交易使网络拥堵。这些交易造成了内存溢出,导致许多验证节点崩溃,迫使网络变慢并最终停止。慢雾观点公链安全漏洞虽造成损失较小,但对整个链生态的影响巨大。所以公链在上线前一定要经过专业的安全审计。建议公链团队与可信且职业的安全团队进行深入合作,部署因地制宜的安全建议,将引起安全问题的可能性降到最低,从而保障整个公链的安全。交易所

慢雾:近期出现假冒UniSat的钓鱼网站,请勿交互:5月13日消息,慢雾首席信息安全官 @IM_23pds 在社交媒体上发文表示,近期有假冒比特币铭文钱包及交易市场平台 UniSat 的钓鱼网站出现,经慢雾分析,假网站有明显的传统针对 ETH、NFT 钓鱼团伙的作案特征,或因近期 BRC-20 领域火热故转而制作有关该领域的钓鱼网站,请用户注意风险,谨慎辨别。[2023/5/13 15:01:11]

Cryptopia再次遭黑客入侵2月20日,新西兰交易所Cryptopia再次遭黑客入侵,调查显示,黑客访问了一个钱包,该钱包自2019年1月黑客入侵以来一直处于休眠状态。该钱包属于Stakenet,由Cryptopia的清算人GrantThornton控制。根据调查结果,休眠的钱包持有价值约196万美元的Xtake,这是Stakenet的原生代币。Liquid热钱包遭攻击8月19日,日本加密交易平台Liquid称其热钱包遭到攻击。慢雾AML团队利用旗下MistTrack反追踪系统分析统计,Liquid共计损失约9,135万美元,被盗币种涉及BTC、ETH、ERC20代币、TRX、TRC20代币、XRP等超70种,币种之多,数额之高,令人惊叹。慢雾观点交易所安全问题已经成为交易所和用户关注的首要问题,甚至成为决定交易所存亡的关键。尤其今年第四季度各种交易所接连遭攻击,损失十分惨重。交易所频受攻击,原因如下:交易所聚集大量资金,一直是黑客觊觎的对象;交易所多数情况下防御脆弱,容易产生安全漏洞,容易被黑客从薄弱点切入用户缺乏足够的安全意识;内部作案。针对交易所,建议各大交易所健全内部管理与技术机制,通过引入安全审计机制、零信任机制、冷热资产安全解决方案等来加强对数字资产的安全保障。同时,积极迎接监管。针对用户,一定要加强安全意识,无论任何时候都不要把私钥泄露给任何人,同时,认准官方平台,避免钓鱼事件的发生。钱包

Ledger钱包多次发生泄露事件6月18日,比特币硬件钱包提供商Ledger提醒用户称,近期发生了一系列利用伪造Ledger硬件钱包取用户资产的新型局,部分一年前信息遭到泄露的用户收到要求用户更换硬件钱包的包裹,该包裹包括一份伪造的官方信件及一个被篡改过的Ledger硬件钱包。Ledger表示,信中关于「需要更换现有的硬件钱包来保护你的资金」为局,附赠的LedgerNano也是假的,如用户按照信中说明输入种子单词,用户的加密资产将会被盗。多个Chivo钱包被盗Chivo钱包是萨尔瓦多政府为推行比特币法案而在9月7日发布的国家级数字钱包,为此,萨尔瓦多承诺,下载并认证的Chivo钱包用户将获得30美元的比特币奖励。此举使这个萨尔瓦多官方钱包在1个月内的用户量超过200万人。然而,在10月9日至10月14日期间,萨尔瓦多的人权组织Cristosal收到了755份关于萨尔瓦多人报告Chivo钱包身份被盗的通知。慢雾观点虽然今年与钱包本身相关的事件数量有所下降,但因下载假钱包App被盗的事件数量却十分庞大。据慢雾11月份的报告,假钱包App已致上万人被盗,损失高达十三亿美元。树立安全意识、掌握正确方法才能真正保护你的资产。首先,认准官方网站,不要点击除官方外的链接;其次,做好钱包备份并妥善保管好私钥助记词;最后,时刻保持怀疑之心,天下没有免费的午餐。DApp、DeFi、NFT、跨链

慢雾:Quixotic黑客盗取约22万枚OP,跨链至BNB Chain后转入Tornado Cash:7月1日消息,据慢雾分析,Quixotic黑客盗取了大约22万枚OP(约11.9万美元),然后将其兑换成USDC并跨链到BNB Chain,之后将其兑换成BNB并转入Tornado Cash。[2022/7/1 1:44:55]

ETH生态SushiSwap再次遭攻击1月27日,SushiSwap再次遭遇攻击,损失81ETH。本次攻击和SushiSwap第一次攻击类似,都是通过操控交易对的兑换价格来产生获利。这次的攻击利用了DIGG本身没有对WETH交易对,而攻击者创建了这个交易对并操控了初始的交易价格,导致手续费兑换过程中产生了巨大的滑点,攻击者使用少量的DIGG和WETH提供初始流动性即可获取巨额利润。SIL被盗后追回1215万美元3月19日,DeFi聚合理财服务SIL.Finance合约出现高危漏洞。后SIL.Finance发文称,此次事件是由智能合约权限漏洞引起的,该漏洞继而触发了一个通用抢先交易机器人提交一系列交易以获利。在发现智能合约因存在高危漏洞而无法提现后,经过慢雾等多方36小时的努力,已经成功追回1215万美元。BSC生态Compound漏洞与提案9月30日,去中心化借贷协议Compound通过推特确认,在执行62号提案后,该协议的流动性挖矿出现COMP代币分发异常情况,CompoundLabs和社区成员正在进行调查。Compound表示,存款和借款资金目前未发现存在风险。Compound创始人RobertLeshner表示,出现的问题看起来是根据62号提案进行COMP代币分发的速率初始设定出错,导致过多COMP代币被分发。10月4日,就在Compound试图修补漏洞时,另外一笔价值6880万美元的COMP代币因为drip()函数的调用而被打入了已经存在漏洞的流动性挖矿代币分发合约。CreamFinance三遭攻击10月27日,DeFi借贷协CreamFinance遭受攻击,损失约1.3亿美元。被盗的资金主要是CreamLP代币和其他ERC-20代币。据悉,这是有史以来第三大DeFi黑客攻击。此外,CreamFinance此前曾多次遭受闪电贷攻击,2月份损失3750万美元,8月份又损失1900万美元。EOS生态flash.sx智能合约遭重入攻击自5月14日11:28UTC开始,flash.sx闪电贷智能合约遭受到”re-entry”攻击漏洞,相继有大约120万EOS和46.2万USDT被盗。据官方消息,EOSNation旗下闪电贷被黑客攻击后,项目方发起提案直接更改了黑客EOS账号权限转回资产。PIZZA遭黑客攻击12月8日下午8点,黑客账户itsspiderman利用溢出漏洞在eCurve凭空增发tripool做市凭证,在PIZZA质押并借出协议中的绝大部分代币。事后黑客创建一百三十余万账户并将盗窃资产分散。PIZZA协议在本次攻击中的损失约折合500万美元。Polygon生态算法稳定币项目SafeDollar遭攻击6月28日,Polygon上算法稳定币项目SafeDollar疑似遭到黑客攻击,一份未经证实的合约似乎抽走了25万美元的USDC和USDT。PolyYeldFinance合约遭利用收益耕作协议PolyYeldFinance遭到攻击,项目合约被利用铸造了4.9万亿个YELD代币并在二级市场进行倾销。HECO生态HSO卷走3万HT跑路3月10日,火币生态链HECO上的预言机项目HSO进行IDO后卷走3万HT跑路,网站、Telegram均无法打开。后在HECO核心代码贡献团队星辰实验室、HECO技术社区与HECO白帽安全联盟等有关各方的全力推动下,已追回24823枚HT。XDXSwap遭攻击7月2日,Heco链上跨链去中心化交易所DDEX上XDXSwap遭到攻击,攻击者获利85.17ETH并将其全部跨链至以太坊。DDEX代码疑似存在后门。在DDEX及星辰实验室、HECO白帽安全联盟等方面的支持和配合下,XDXSwap陆续追回涉及此次攻击事件中的大部分资金,总价值超过500万美元。其他生态NEAR生态Ref.Finance因合约错误被利用8月15日,NEAR生态Ref.Finance团队发推称,UTC时间8月14日下午2点左右,Ref团队注意到REF-NEAR交易对的异常行为,随即发现最近所部署合约的修补程序中的一个错误,且该错误已被多个用户利用,致使约100万枚REF和58万枚NEAR受到影响。Solana生态Solend遭到黑客攻击8月19日,Solana生态借贷协议Solend发推称,协议于北京时间8月19日20:40遭到黑客攻击,攻击者破解了UpdateReserveConfig函数中对不安全身份的检查,使得其可以清算所有账户。此外,黑客还将借入资金的APY设置为了250%。此期间,有5名用户的资金被误清算。Solend表示,本次攻击没有造成资金被盗的情况,之后将提高漏洞赏金的规模并建立更好的监控和报警系统。波卡生态IDO平台Polkatrain被套利4月5日,波卡生态IDO平台Polkatrain发生事故,据慢雾分析,本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。Avalanche链上借贷协议Vee.Finance被盗9月20日,Avalanche链上借贷协议Vee.Finance团队注意到多次异常转账,经过进一步监控,共有8804.7ETH和213.93BTC被盗。稳定币部分不受此次攻击影响。Fantom链上GrimFinance遭闪电贷攻击12月19日,Fantom链上复合收益平台GrimFinance遭遇闪电贷攻击,损失已超3000万美元。攻击者使用GrimFinance的保险库策略中名为「beforeDeposit()」的函数进行攻击,输入恶意Token合约。跨链系统跨链交易协议THORChain三遭攻击6月29日,THORChain遭“假充值”攻击,损失近35万美元;7月16日,THORChain二次遭“假充值”攻击,损失近800万美元;7月23日,THORChain再三遭攻击,损失近800万美元。跨链桥Chainswap被盗影响多个平台7月11日,跨链桥项目Chainswap再次遭到黑客攻击,在该桥梁部署智能合约的超20个项目代币都遭遇黑客盗取,预计总损失为400万美元,几乎酿成DeFi史上影响范围最大的一次安全事故。根据Chainswap调查,由于代币跨链配额代码中的错误,链上交换桥配额由签名节点自动增加,其目的是在无需人工控制的情况下更加去中心化。但是,由于代码中的逻辑缺陷,这导致了通过允许未列入白名单的无效地址自动增加数量的漏洞。此前在7月2日,Chainswap也曾遭遇黑客攻击,部分用户代币被主动从与ChainSwap交互的钱包中取出,预计总损失为80万美元。PolyNetwork6.1亿美元被盗后被归还发生在8月10日的PolyNetwork攻击事件可能是史上涉及金额最大的一起网络安全事件,超过6.1亿美元的加密资产在15天内被盗并被归还。整个区块链行业及所有相关方,和PolyNetwork一起经历了这跌宕起伏的过程。目前所有涉及资产已经全部归还用户,系统功能已经基本恢复至事件前水平。NFTNFT欺诈蔓延8月2日,一个名为「cryptopunksbot」的子在CryptoPunk的Discord服务器上发布,为NFT投资者提供赢得10个NFT头像的机会。NFT项目创始人Stazie因接受了虚假报价的海报,而失去了16个CryptoPunk,价值至少100万美元。随后欺诈者以149ETH的价格出售了5个CryptoPunk。慢雾观点自DeFi诞生以来,就伴随着无数的风险。尽管现在许多DeFi项目价值一直在爆炸式的翻倍增长,但被黑事件也愈演愈烈。经慢雾统计,DeFi通常存在以下攻击方式:闪电贷攻击;合约漏洞;兼容性或架构问题;私钥泄露或前端攻击;内部作案,跑路。对项目方来说,想要尽可能的消除漏洞、降低安全风险,就必须做出有效的努力——在项目上线之前,对其进行全面深入的安全审计。同时,建议各DeFi项目方通过引入多签机制来加大资产保护的力度。另一方面,各DeFi项目在进行协议间交互时,需要做好协议之间的兼容性,开发者在移植其他协议的代码时,需充分了解移植协议的架构以及自己项目的架构设计,防止资金损失情况的发生。对用户来说,随着区块链领域的玩法愈发多样化,用户在进行投资前认真了解项目背景,查看该项目是否有开源、是否经过审计,在参与项目时需要提高警惕,注意项目风险。其他类型

慢雾:iCloud 用戶的MetaMask钱包遭遇钓鱼攻击是由于自身的安全意识不足:据官方消息,慢雾发布iCloud 用戶的MetaMask钱包遭遇钓鱼攻击简析,首先用户遭遇了钓鱼攻击,是由于自身的安全意识不足,泄露了iCloud账号密码,用户应当承担大部分的责任。但是从钱包产品设计的角度上分析,MetaMask iOS App 端本身就存在有安全缺陷。

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup=\"false\" 来禁止应用程序被用户和系统进行备份,从而避免备份的数据在其他设备上被恢复。

MetaMask iOS端代码中没有发现存在这类禁止钱包数据(如 KeyStore 文件)被系统备份的机制。默认情况下iCloud会自动备份应用数据,当iCloud账号密码等权限信息被恶意攻击者获取,攻击者可以从目标 iCloud 里恢复 MetaMask iOS App 钱包的相关数据。

慢雾安全团队经过实测通过 iCloud 恢复数据后再打开 MetaMask 钱包,还需要输入验证钱包的密码,如果密码的复杂度较低就会存在被破解的可能。[2022/4/18 14:31:38]

勒索5月7日,全美最大油气输送管道运营商ColonialPipeline遭到勒索软件定向攻击而被迫暂停营运,之后支付75枚比特币,超过4百万美元的赎金,才得以让营运恢复正常。此次勒索攻击由于涉及到国家级关键基础设施,故而引起了全球的震动和广泛关注。针对此事件,美国司法部官员表示,已成功追讨回超过200万美元的赎金。不过,美国政府官员没有具体说明「如何取得私钥、收回赎金」的详细过程,仅表示这项行动展现了美国将不遗余力应对勒索攻击。8月20日,俄罗斯最大的加密货币局之一的创始人已入狱,罪名是涉嫌从其投资者那里取超过15亿美元。Finiko于2019年在喀山市成立,并冒充一家合法的BTC投资公司。2020年12月,Finiko发布了其原生加密货币FNK。根据当地报道,创始人将从投资者那里拿走BTC并奖励他们FNK代币。钓鱼10月15日,Sophos发布的报告称,加密欺诈应用CryptoRom通过利用“超级签名服务”及苹果开发者企业计划窃取140万美元。迄今为止,与该局相关的比特币地址已发送超过139万美元,并且可能还有更多地址与该局有关。报告称,大多数受害者是iPhone用户。该报告称,CryptoRom绕过AppStore的所有安全检查,并且每天都保持活跃。报告还表示,苹果“应该就通过临时分发或通过企业配置系统安装应用程序警告用户,这些应用程序未经苹果审查。”慢雾观点区块链在大力发展的过程中,各种打着区块链名号的新型投资局,也如雨后春笋般层出不穷。以勒索软件为例,美国财政部金融犯罪执法网络发布的一份报告指出,2021上半年发生的与勒索软件相关的交易,已经达到了5.9亿美元。慢雾在此提醒用户,不要打开来历不明的邮件附件,仔细辨别钓鱼网站,始终持有怀疑谨慎的态度,有效利用杀软件。总结

慢雾:Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函数相关问题:据Multichain(AnySwap)早前消息,2022年01月18日,一个影响6个跨链Token的关键漏洞正在被利用。慢雾安全团队进行分析后表示,此次主要是由于anySwapOutUnderlyingWithPermit函数为检查用户传入的Token的合法性,且未考虑并非所有underlying代币都有实现permit函数,导致用户资产被未授权转出。慢雾安全团队建议:应对用户传入的参数是否符合预期进行检查,且在与其他合约进行对接时应考虑好兼容性问题。[2022/1/19 8:57:49]

尽管现在许多以BTC为代表的加密货币的市值一直在翻新高,区块链行业当前发展态势整体越来越好,但加密货币犯罪随之也更猖獗。从统计数据来看,发生安全事件次数较多、金额损失较大的月份主要在4月、6月和8月;从各生态来看,以太坊上损失最多,超13亿美元,其次是BSC生态;从攻击领域来看,受攻击较多的是交易所和DeFi。对项目方来说,建议健全内部管理与技术机制,内部安全人员及时对安全相关内容查漏补缺。最重要也是最有效的方式——在项目上线之前,对其进行全面深入的安全审计,将引起安全问题的可能性降到最低。对用户来说,正确和理性看待区块链,树立正确的货币观念和投资理念,切实提高风险防范意识。比如在投资前要注意智能合约有没有开源、平台本身有没有安全审计,最重要的是一定要保管好自己的私钥助记词,不要泄露给任何人。最后,期待区块链新的一年能迸发出更大的能量,出现更多的落地应用,创造更大的价值。

标签:区块链SWAPAINFIN银行区块链swap币是啥平台New XChain TokenCryptowolf Finance

酷币交易所热门资讯
了解SBF的另一面:10个最令人惊讶且鲜为人知的事实

在29岁时,因加密货币而成为亿万富翁的SamBankman-Fried是除MarkZuckerberg之外,唯一一个能够如此迅速致富的人.

1900/1/1 0:00:00
自动做市商协议MonoX遭闪电贷攻击事件全解析

11月30日,链必应-区块链安全态势感知平台舆情监测显示,自动做市商协议MonoX遭闪电贷攻击,获利约3100万美元。关于本次攻击,成都链安技术团队第一时间进行了事件分析.

1900/1/1 0:00:00
Binance Labs领投,「BBS Network」要做Web3版Reddit

作者|秦晓峰编辑|郝方舟出品|Odaily星球日报 如今主要的社交媒体,基本由中心化巨头所掌控。不仅用户创作内容受限,而且由内容产生的流量收益也分成失衡,不少创作者正将视线投向去中心化内容平台.

1900/1/1 0:00:00
元宇宙,只是扎克伯格一时兴起的想法?

很难在2021年谈论游戏,也很难不提及Metaverse。Fortnite、Roblox和Minecraft都可以声称正在构建它,许多其他人试图参与其中.

1900/1/1 0:00:00
每周编辑精选 Weekly Editors' Picks(1211-1217)

「每周编辑精选」是Odaily星球日报的一档“功能性”栏目。星球日报在每周覆盖大量即时资讯的基础上,也会发布许多优质的深度分析内容,但它们也许会藏在信息流和热点新闻中,与你擦肩而过.

1900/1/1 0:00:00
Web3.0学习笔记第三期:内卷的加密圈都送什么圣诞礼物?

原文作者:木木&一点点一晃眼,我们已经来到了2021年末。这一年,我们依然在这个「热闹」的市场中「忙碌」着.

1900/1/1 0:00:00