回顾过去的一年,我们看到加密领域出现了很多新场景,新应用和新变化。玩家也在逐渐增多,但是安全问题也一直困扰着行业的发展。因此,金色财经联合慢雾整理了2022年行业中出现的那些重大的安全时间,并进行了相应的分析和解读。
根据慢雾区块链被黑事件档案库统计,2022年安全事件共295件,损失高达37.28亿美元。相比2021年的97.95亿美元下降约62%,但这并不包括因市场动荡而损失的资产。
其中各生态DeFi、跨链桥、NFT等安全事件245起,交易所安全事件10起,公链安全事件11起,钱包安全事件5起,其他类型安全事件24起。
从时间上来看,5月和10月攻击事件数量最高,达到38件。3月损失金额最高,达到约7亿美元。
一、区块链生态安全概览
公链
公链是Web3领域最重要的基础设施,也是行业中竞争最激烈的赛道之一。而2022年最令人讶异的莫过于Terra事件了。5月8日,加密货币市场上出现了史上最具破坏性的一次崩盘。Terra网络的算法稳定币UST出现了2.85亿美元的巨额抛售,引发了一系列连锁反应。Terra的原生代币?LUNA的价格突然毫无征兆的连续跳崖式暴跌,一天时间,Luna市值蒸发了近400亿美元,全生态项目TVL也几乎归零。此次事件或许成为了开启2022加密寒冬的死亡按钮。
DeFi/跨链桥
据DeFiLlama?数据显示,截止12月底,DeFi总锁仓价值约为398亿美元,同比巨降75%。Ethereum以占比整个DeFiTVL的58.5%占据主导地位,紧随其后的是TRON,TVL为43亿美元,BNBChain(BNB?)为42亿美元。有趣的是,2022年5月,Ethereum的TVL在DeFi中的占比减少了35%,而TRON的TVL占比增长了47%。
根据SlowMistHacked?统计,2022年BNBChian上发生安全事件约90起,总损失金额约7.85亿美元,居各链平台损失金额第一位。而Ethereum上发生安全事件约50起,总损失金额约5.28亿美元,其次是Solana上发生安全事件约11起,总损失金额约1.96亿美元。
Yuga Labs已为“Otherside”主题饮料申请商标:3月5日消息,根据美国专利局披露信息显示,Yuga Labs已为以旗下元宇宙项目“Otherside”为主题的饮料申请了商标。
据悉,Yuga Labs一直在为The Otherside的发布做准备,而在一年前的Otherside预告片中就展示过一款名为“Don’t Drink Me”的饮料,本次申请的商标中也有该字样,目前商标涵盖范围包括啤酒类、能量饮品、不含酒精的饮料、软饮料、水果汁、苏打水、苹果酒等。(uspto)[2023/3/5 12:43:31]
据DuneAnalytics的数据,以太坊跨链桥的锁定总价值约83.9亿美元,对比上半年降低了约31%。目前TVL最高的是PolygonBridges,排名第二的是ArbitrumBridges,随后是OptimismBridges。跨链桥允许用户将加密资产从一条链转移到另一条链,主要解决多链扩展问题。然而,跨链桥智能合约中的大量资金加上缺少安全审计,引来了黑客的目光。
根据SlowMistHacked?统计,2022年跨链桥安全事件共15起,损失高达12.1亿美元,占比2022年总损失的32.45%。
总而言之,对项目方来说,想要尽可能的消除漏洞、降低安全风险,就必须做出有效的努力——在项目上线之前,对其进行全面深入的安全审计。同时,建议各项目方通过引入多签机制来加大资产保护的力度。另一方面,各项目在进行协议间交互或移植其他协议的代码时,需充分了解移植协议的架构以及自己项目的架构设计,做好协议之间的兼容性,防止资金损失情况的发生。对用户来说,随着区块链领域的玩法愈发多样化,用户在进行投资前认真了解项目背景,查看该项目是否有开源、是否经过审计,在参与项目时需要提高警惕,注意项目风险。
NFT
NFT在2022年表现极为抢眼,据NFTScan?数据显示,在以太坊上的NFT全年交易次数达1.98亿次,明显高于2020年和2021年。而在BNBChain上的NFT全年交易次数达3.45亿次,在BNBChain上的NFT全年交易次数达7.93亿次。
另一方面,根据SlowMistHacked?不完全统计,2022年NFT赛道安全事件约56起,损失超6543万美元,其中大部分是由钓鱼攻击导致,占比约为40%,其次是RugPull,占比约为21%。
智度股份预计2022年亏损逾3.95亿元,子公司购买比特币减值6318.32万:金色财经报道,1月31日,A股上市公司智度股份(000676)公告称,预计2022年将由盈转亏,亏损额达3.05亿元至3.95亿元。智度股份表示,造成公司业绩亏损的主要原因是公司基于谨慎性考虑,对应收款项及合同资产计提减值,并结合年终的复核、测试情况,对无形资产、长期股权投资、商誉计提减值,2022年度拟计提减值准备合计5.6亿元。
其中,智度股份称,公司之子公司智度投资(香港)有限公司向Bit Maintech公司购买云算力服务所产生的数字资产(比特币)。公司预计,该无形资产存在减值的迹象,预计可收回金额低于其账面价值。为此,智度股份计提了6318.32万元的减值准备。[2023/2/2 11:42:43]
钱包/交易平台
2月8日,美国司法部发布公告称,已经查获了价值36亿美元的比特币,这些比特币与2016年加密货币交易所Bitfinex的黑客事件有关。34岁的IlyaLichtenstein和其31岁的妻子HeatherMorgan在纽约被捕,两人被指控共谋和罪。这也是美国司法部有史以来最大规模的金融扣押。
11月6日,币安创始人CZ发推称决定清算账面上所有剩余的FTT,由此引发两大交易所之间的对峙。尽管AlamedaCEO和FTXCEOSBF接连发推试图稳固用户信心并辟谣此前曝光的消息,但还是引发FTX在流动性枯竭后迅速破产。最终,FTX暴雷,SBF被捕。中心化交易所的不透明再度引发人们的信任危机,缺乏审慎监管的问题越发凸显。无论是对消费者更严格的保护,还是对机构更明确的规则,监管的脚步都将愈发清晰。
在FTX暴雷后,硬件钱包的销量大幅增长,用户量最多的钱包MetaMask月活用户达3000万。根据Finbold?数据显示,基于排名前21个加密货币存储APP应用,在2022年1月至2022年10月期间,Android和iOS设备上的加密钱包下载量已经达到约1.0206亿次。虽然这个数字低于2021年牛市期间的1.7785亿次下载量,但比除2021年之外的任何一年都高。按月细分数据显示,加密钱包下载量年初呈下降趋势,但在Terra/Luna崩溃以及FTX暴雷后均出现较大幅度增长。
其他
区块链技术不可逆、匿名性特征在有效保护隐私的同时,也为网络犯罪提供了“保护伞”。随着元宇宙、NFT等概念受到热捧,加密货币盗窃事件、欺诈事件时有发生,很多不法分子打着区块链旗号发行所谓的虚拟资产,实施,黑灰产的先进与专业度已经远超想象。
数据:2022年以太坊占据所有区块空间费用的80%,BNB Chain占据剩余的80%:1月3日消息,加密研究员Data_Always发布文章表示,2022年以太坊占据所有区块空间费用的80%,BNB Chain占据了剩余费用的80%,而最大的简单传输模型(Bitcoin、Dogecoin和Litecoin)相比之下仅占微不足道的费用。在Otherdeed NFT铸造的一天里,以太坊上产生的费用就超过了2022年比特币全年费用。
L2使用的Gas份额增加了两倍,但采用率仍不高,但随着EIP-4844的推出可能会改善。对于以太坊而言,必须继续扩展并优先考虑协议的可用性,尽管费用将始终是KPI,但扩展速度比采用速度快是新的目标,这将是推高价格和巩固以太坊在加密生态系统的关键。
尽管采取补贴交易模式,Tron在区块空间需求上仍超过了比特币,并且全年费用保持相对稳定,最重要原因是Tron对低价值USDT转账的捕获。比特币闪电网络尚未看到有意义的增长,对闪电网络采用预期过于乐观,大部分交易费用峰值可归因于加密机构的崩溃。[2023/1/3 22:22:25]
据中国人民银行支付结算司数据,2021年涉诈款项的支付方式中,利用加密货币进行支付仅次于银行转账,排名第二位,高达7.5亿美元;而2020年、2019年仅为1.3、0.3亿美元,逐年大幅增长的趋势明显。值得关注的是,加密货币转账在“杀猪盘”中增长迅速。2021年“杀猪盘”资金中1.39亿美元使用加密货币支付,是2020年的5倍、2019年的25倍。
根据美国联邦贸易委员会(FTC)发布的一份报告,在自2021年年初以来的一年多时间里,已有超过4.6万人报告自己遭遇了加密货币局,损失总额超过10亿美元。根据报告,最常见的加密货币局类型是投资相关欺诈,在总金额10亿美元中占5.75亿美元,最常向者支付的加密货币包括BTC、USDT和ETH。
二、攻击手法
295起安全事件中,攻击手法主要分为三类:由项目自身设计缺陷和各种合约漏洞引起的攻击;包含RugPull、钓鱼、Scam类型的手法;由私钥泄露引起的资产损失。
2022年最常见的攻击手法是由项目自身设计缺陷和各种合约漏洞引起,约92起,造成损失10.6亿美元,占总数量的40.5%。其中较为主要的是利用闪电贷引起的攻击,约19起,造成损失6133万美元,其他包括重入问题、价格操纵、验证问题等等。
Chillchat完成650万美元融资,FTX和Cryptocom领投:6月8日消息,像素艺术NFT元宇宙Chillchat宣布完成650万美元种子轮Token融资,本轮融资由FTX和Cryptocom领投,Griffin Gaming Partners、Animoca Brands、The Spartan Group、Diamon Hands Ventures、Mighty Jaxx、A&T Capital、Morningstar Ventures、Shima Capital、Old Fashion Research、Double Peak Group、DAOvergence、DeFi Capital、Zipmex Labs、Gate Labs、overwolf、Monke Ventures 等参投。Chillchat表示,目前该项目的融资总额已达到869万美元。
Chillchat是一个以CreateToEarn为特色的像素艺术NFT游戏元宇宙,基于Solana网络。玩家可以使用Chillchat的像素编辑器来创建例如角色、宠物、表情和物品的各种NFT,旨在让玩家构建他们自己的身份和空间,在元宇宙内体验休闲活动、社交和游戏冒险等。
此前消息,Chillchat于今年2月22日宣布完成185万美元种子轮融资。[2022/6/8 4:10:38]
因私钥被盗引起的资产损失发生率约为6%,损失金额却达到7.46亿美元,仅次于合约漏洞利用,因私钥被盗的事件中,损失最大的来自Ronin事件,其次是Harmony,都是来自跨链桥。
在Web3世界,用户的安全意识往往是参差不齐,这也导致了针对用户的钓鱼攻击花样多多且频繁发生。例如,攻击者利用恶意手段将各项目的官方媒体平台占为己有或者伪造官方媒体号并发布钓鱼Mint、AirDrop链接,还时不时转发真正的官方号内容来混肴视听。例如,利用搜索引擎上的广告宣传虚假网站或者与官方域名高度相似的域名及内容来以假乱真;例如通过伪造的邮件、吸引人的赠品活动来引你入局;又例如利用新用户信息差提供假APP下载链接。无论如何,提高安全意识才是最必要的,同时,一旦发现自己中招,第一时间转移资产,及时止损并保留证据,必要时寻求业内安全机构的帮助。
其次,最令人憎恶的则是RugPull。RugPull通常指项目的开发者放弃项目,带着资金逃跑,更多是项目方主动作恶。它可以以多种方式发生:比如当开发者启动初始流动性,推高价格,然后撤回流动性项目方先创建一个加密项目,通过各种营销手段吸引加密用户投资,并在合适的时机毫无征兆地卷走用户投资的资金,抛售加密资产,最终销声匿迹,投资该项目的用户也将蒙受巨大损失。再比如推出一个网站,但在吸引了数十万存款后关闭。2022年RugPull事件达到起,损失约美元,常发生于BSC生态。
全民国际与丰猫网络订立区块链技术业务主协议:金色财经消息,近日,全民国际(08170)宣布,于2022年5月,该公司已与丰猫网络技术(深圳)有限公司(丰猫网络)(一间于中国成立的公司,主要从事以分布式系统为特征的区块链技术的开发及应用(区块链技术业务))订立主协议(该协议)。
根据该协议,该集团将于中国成立全资拥有的附属公司(中国公司)代理丰猫网络在中国推广及经营区块链技术业务,而丰猫网络将协助中国公司进行经营及管理;以及中国公司将与丰猫网络签订代理协议(代理协议)。(智通财经网)[2022/5/6 2:55:02]
2022年其他较为新型的手法为前端恶意攻击、DNS攻击以及BGP劫持;最为奇葩的则是人为配置操作失误导致的资产损失。
三、钓鱼/局手法
此节只选取部分SlowMist曾披露过的钓鱼/局手法。
浏览器恶意书签盗取DiscordToken
现在的浏览器都有自带的书签管理器,在提供便利的同时却也容易被攻击者利用。通过精心构造恶意的钓鱼页面可以让你收藏的书签中插入一段JavaScript代码,有了这个几乎可以做任何事情,包括通过Discord封装好的webpackChunkdiscord_app前端包进行信息获取。当Discord用户点击时,恶意JavaScript代码就会在用户所在的Discord域内执行,盗取DiscordToken,攻击者获得项目方的DiscordToken后就可以直接自动化接管项目方的Discord账户相关权限。攻击者拿到了Token等同于登录了Discord账号,可以做登录Discord的任何同等操作,比如建立一个Discordwebhook机器人,在频道里发布公告等虚假消息进行钓鱼。下面是演示受害者点击了钓鱼的书签:
下面是演示攻击者编写的JavaScript代码获取Token等个人信息后,通过DiscordServer的webhook接收到。
可以看到,在用户登录Web端Discord的前提下,假设受害者在钓鱼页面的指引下添加了恶意书签,在Discord?Web端登录时,点击了该书签,触发恶意代码,受害者的Token等个人信息便会通过攻击者设置好的Discordwebhook发送到攻击者的频道上。
“零元购”NFT钓鱼
例如下图钓鱼网站,签名内容为
Maker:用户地址
Taker:0xde6135b63decc47d5a5d47834a7dd241fe61945a
Exchange:0x7f268357A8c2552623316e2562D90e642bB538E5
这是一种较为常见的NFT钓鱼方式,即子能够以0ETH购买你所有授权的NFT。也就是说,这是用户签名NFT的销售订单,NFT是由用户持有的,一旦用户签名了此订单,子就可以直接通过OpenSea购买用户的NFT,但是购买的价格由子决定,也就是说子不花费任何资金就能“买”走用户的NFT。
此外,签名本身是为攻击者存储的,不能通过Revoke.Cash或Etherscan等网站取消授权来废弃签名的有效性,但可以取消你之前的挂单授权,这样也能从根源上避免这种钓鱼风险。
RedlineStealer木马盗币
这种攻击主要是通过Discord邀请用户参与新的游戏项目内测,打着“给予优惠”等幌子,或是通过群内私聊等方式发一个程序让你下载,一般是发送压缩包,解压出来是一个大概800M左右的exe文件,一旦你在电脑上运行,它会扫描你电脑上的文件,然后过滤包含Wallet等关键词的文件上传到攻击者服务器,达到盗取加密货币的目的。
RedLineStealer是一种恶意木马软件,2020年3月被发现,在地下论坛上单独出售。该恶意软件从浏览器中收集保存的凭据、自动完成数据和信用卡等信息。在目标机器上运行时,会搜集如用户名、位置数据、硬件配置和已安装的安全软件等详细信息。新版本的RedLine增加了窃取加密货币的能力,能够自动扫描本地计算机已安装的数字货币钱包信息,并上传到远端控制机。该恶意软件具有上传和下载文件、执行命令以及定期发回有关受感染计算机的信息的能力。常常针对加密货币钱包目录、钱包文件进行扫描:
空白支票eth_sign钓鱼
连接钱包后并点击Claim后,弹出一个签名申请框,同时MetaMask显示了一个红色提醒警告,而光从这个弹窗上无法辨别要求签名的到底是什么内容。其实这是一种非常危险的签名类型,基本上就是以太坊的“空白支票”。通过这个钓鱼,子可以使用您的私钥签署任何交易。
这种eth_sign方法可以对任意哈希进行签名,那么自然可以对我们签名后的bytes32数据进行签名。因此攻击者只需要在我们连接DApp后获取我们的地址对我们账户进行分析查询,即可构造出任意数据让我们通过eth_sign进行签名。
除此之外,还有一种钓鱼:在你拒绝上述的sign后,它会在你的MetaMask自动显示另一个签名框,趁你没注意就到你的签名。而看看签名内容,使用了SetApprovalForAll方法,同时Approvedasset的目标显示为AllofyourNFT,也就是说,一旦你签名,子就可以毫无节制地盗走你的所有NFT。
这种钓鱼方式对用户会有很强的迷惑性,以往我们碰到的授权类钓鱼在MetaMask会给我直观的展示出攻击者所要我们签名的数据。而当攻击者使用eth_sign方法让用户签名时,MetaMask展示的只是一串bytes32的哈希。
尾号相同+TransferFrom零转账局
用户的地址转账记录中不断出现陌生地址转账0USDT,而这笔交易均是通过调用TransferFrom函数完成的。究其原因主要是代币合约的TransferFrom函数未强制要求授权转账数额必须大于0,因此可以从任意用户账户向未授权的账户发起转账0的交易而不会失败。恶意攻击者利用此条件不断地对链上活跃用户发起TransferFrom操作,以触发转账事件。
除了0USDT转账骚扰,还伴随着攻击者针对交易规模较大频率较高的用户不断空投小额数量的Token,攻击者地址尾数和用户地址尾数几乎一样,通常为后几位,用户去复制历史转账记录中的地址时一不小心就复制错,导致资产损失。
以上只是举例了一些常见的攻击手法和场景,实际上道高一尺魔高一丈,黑客的攻击手法永远都在推陈出新,我们能做的就是不断提高自己的见识。
对于个人用户来说,遵守以下安全法则及原则,可以避免大部分风险:
两大安全法则:
零信任。简单来说就是保持怀疑,而且是始终保持怀疑。
持续验证。你要相信,你就必须有能力去验证你怀疑的点,并把这种能力养成习惯。
安全原则:
网络上的知识,凡事都参考至少两个来源的信息,彼此佐证,始终保持怀疑。
做好隔离,也就是鸡蛋不要放在一个篮子里。
对于存有重要资产的钱包,不做轻易更新,够用就好。所见即所签。即你看到的内容就是你预期要签名的内容,当你签名发出去后,结果就应该是你预期的,绝不是事后拍断大腿的。
重视系统安全更新,有安全更新就立即行动。
不乱下程序。
在此,十分推荐阅读并掌握《区块链黑暗森林自救手册》?。
在FTX崩溃之后,储备证明一直是一个热门话题。投资者要求交易所提供其加密货币持有量的证明。但它们究竟是什么,又为何重要呢?储备证明即ProofofReserves,用来验证用户的加密资产是否完全保留在交易平台/加密公司.
1900/1/1 0:00:00撰文:angelilu 传统巨头没办法再忽视Web3的崛起,作为在自身领域获得了最多的资源也是最有能力率先探索神秘的Web3世界的公司,从DeFi、NFT到元宇宙,巨头纷纷开始向能和其本身业务挂上钩的方向探索.
1900/1/1 0:00:00人生如戏,戏如人生。以下文字属于非纪实的文学创作。 舞台剧:《钱花花》 角色表: 钱老大 多多:钱老大之子 钱花花:钱老大之女 毕(币)公子:开钱庄的二代 张三:投机暴发户 欧巴韩:金融永动机制造商暴仔:另一家开钱庄的“天才”小子,外.
1900/1/1 0:00:002022年第四季度的主要事件想必无人不知,而这也是能够被载入Web3.0史册的事件:FTX的急转直下,近乎于一夜之间崩塌.
1900/1/1 0:00:00撰文:MaxBerger编译:Blockunicorn当我调查SBF的捐赠以写上周的后续文章时,我想我知道我在寻找什么。这是我以前写过的一个主题。但是,当我看了周期末的FEC数据后,结果确实令人震惊.
1900/1/1 0:00:00纽约时间1月12日周四,美国劳工部公布的通胀数据显示,美国12月份消费者价格指数(CPI)下降0.1%,该数字为2020年4月以来最大的月环比跌幅,意味着美央行抗击通胀的努力终于没有白费,通胀在2022年结束时温和回落.
1900/1/1 0:00:00