CEL:报告解读之 2022 上半年区块链安全态势_RAD

本篇主要聚焦区块链生态安全概览及攻击手法。

区块链安全态势

近两年来，在疫情持续肆虐、经济衰退、能源短缺、地缘冲突升级、国际间竞争加剧等种种因素的影响之下，全球社会与经济发展遭遇了前所未有的挑战。与此同时，全球区块链行业也经历着一场不断加速的变革：区块链技术的效率、安全性和可扩展性得到不断改善，元宇宙、NFT等新兴领域的兴起，使区块链行业正式迈入3.0时代。

根据慢雾区块链被黑事件档案库统计，截至6月30日，2022上半年安全事件共187件，损失高达19.76亿美元。

在这些安全事件中，约77%源于项目自身存在漏洞被攻击者利用，损失金额约18.4亿美元，占安全事件总损失的93%；约21%源于包含Phishing&RugPull的Scams，损失金额约1.3亿美元，占安全事件总损失的6%。

区块链生态安全概览

根据被攻击对象的不同，我们将187起安全事故分为三部分：公链赛道、交易平台和其他。

公链赛道

Circle 2022年12月储备报告：金库储备资金超445亿美元:金色财经报道，美元稳定币 USDC 发行方 Circle 发布 2022 年 12 月的储备报告，该报告由 GrantThornton 会计集团审计，详细说明了稳定币发行方 Circle 的储备金库的构成，目前 44,553,543,212 USDC由托管账户中的 44,693,963,701 美元支持，其中很大一部分为美国国债。Circle 的储备基金注册为政府货币市场基金，该基金的股权由 Circle 全资拥有，包括 14 种不同的美国债券，价值超过 235 亿美元，该基金还持有 4890 万美元现金，另外还有 3300 万美元应归该基金（due to the Fund），但被“时间和结算差异”所抵消。持有 Circle 现金储备的美国银行包括纽约梅隆银行、Citizens Trust Bank、Customers Bank、New York Community Bank、Signature Bank、硅谷银行和Silvergate Bank。（cointelgraph）[2023/1/30 11:36:50]

作为区块链行业的基础设施，公链承载了人们对于区块链作为Web3底层网络的期望。随着一代又一代公链的崛起，NFT、DeFi、GameFi、元宇宙等生态热潮也相继迎来爆发，同时这些项目也促进了公链的发展与价值提升，使多链世界从理想走向了现实。据FootprintAnalytics的数据，截至6月累计已收录的公链数量有119条，对比2021年6月收录的31条，同比增长约284%。

报告：目前明星参与NFT主要分为直接/间接发行新项目或增持项目等:1月20日，欧科云链链上大师发布行业报告《明星扎堆入局NFT，谁才是真正的「掘金者」》。报告以比伯（Justin Bieber）、荷兰弟（Tom Holland）、周杰伦、余文乐、黄立成等知名艺人投资或入局NFT为切入点，对明星参与NFT项目形式进行分类，借以分析未来明星入局NFT的趋势变化及相关投资建议。

报告提到，目前明星参与NFT主要分为直接/间接发行新项目或增持项目，以及个人投资两种类型。报告指出，NFT发展至今，人们对于审美的追求并未出现明显提升，反倒是愈发重视社交网络的联结与社交资本的增值，而明星与NFT的结合恰好迎合了当下的市场心态。对于普通人来说，将明星NFT项目作为投资参考无可非议，但仍须考虑下跌风险以及第三方公司规划明星NFT的潜力等多种复杂因素。[2022/1/21 9:04:32]

但公链的快速发展同时是一把双刃剑，在促进产业进步的同时，引发的区块链安全问题也显著增加，我们分别从?DeFi、NFT、跨链桥三方面解析。

DeFi生态

DeFi作为世界上最受欢迎的可编程区块链，2022发展态势不可小觑，据DeFiLlama数据显示，6月30日DeFi总锁仓价值为1432亿美元，其中ETH链以945.5亿美元的TVL占据了资金沉淀的半壁江山，其次是BSC链的110.8亿美元。2021年以来，许多新兴公链如Solana、Avalanche等通过拥抱DeFi快速发展链上生态，也吸引了大量用户和资金沉淀。6月30日SolanaTVL为26.4亿美元，同比增长77%；AvalancheTVL为55.4亿美元，同比增长96%。

分析 | 报告：比特币早期购买者大多数在比特币达到2万美元时离开了市场:加密数据和分析公司Coin Metrics最近发布的一份报告显示，早期进入比特币市场并购买大量比特币的人，大多数可能在比特币达到2万美元历史高点时已经卖掉了他们的资金，获得了丰厚的利润并离开了这个市场。Coin Metrics接着指出，比特币市场现在可能比过去更稳定，因为数据表明，目前交易比特币的大多数持有者最有可能是在比特币价格处于“3000美元至12000美元区间”时进入该领域的。（Zycrypto）[2019/8/31]

随着DeFi热潮的兴起，该领域也自然成为了黑客觊觎的重点对象。根据SlowMistHacked统计，截至6月30日DeFi安全事件约100起，损失超16.3亿美元。其中在BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨链桥上发生的安全事件数量分别为47起、29起、8起、5起、2起、1起、7起，所造成损失分别为1.4亿美元、3.08亿美元、5491万美元、6383万美元、1310万美元、830万美元、10.43亿美元。

NFT生态

基于区块链技术的NFT也是需要重点关注的对象，随着一批头部NFT项目的崛起和各路名人的参与，NFT极速发展。根据DuneAnalytics的数据，OpenSea的交易量在1月份达到上半年最高峰2.84亿美元，而随着加密货币市场的变化，OpenSea在6月份的交易量只有1558万美元，下滑94%。在NFT的热潮中，目前以太坊生态的NFT在市值和交易量依旧占据市场的主流，交易量超90%。除了以太坊外，从近30天交易量和近7天交易量这些短期数据来看，Solana，Flow等生态的NFT也正在快速发展，且表现亮眼，多链时代距离我们越来越近。

动态 | USDC审计报告：截至4月30日已发行和未发行的USDC未超过托管的美元余额:据Cointelegraph消息，高盛支持的加密金融初创公司Circle已于5月17日发布了USDC审计报告。审计由总部位于芝加哥的会计师事务所Grant Thornton LLP进行。报告显示，截至2019年4月30日太平洋时间晚上11:59，发行了293,184,174枚，该公司的储备金为293,351,374美元，已发行和未发行的USDC代币未超过托管的美元余额。[2019/5/19]

蓬勃发展的同时意味着赛道发生的安全事故也不在少数，根据SlowMistHacked不完全统计，截至6月30日NFT赛道安全事件约48起，损失超6281万美元。其中33.4%源于项目自身存在的漏洞被攻击者利用，20.8%源于RugPull，而钓鱼攻击占了大部分，占比为45.8%，多数都是由于Discord/Twitter等媒体平台被黑后黑客发布钓鱼链接。

并且随着时间推移，不法分子的攻击逐渐猖獗，根据TRMLabs发布的报告，在5、6两个月，由TRMLabs社区主导的报告平台Chainabuse收到了超过100份关于Discord黑客攻击的报告；自5月以来，NFT社区损失约2200万美元；6月，黑客在被黑的Discord中发布NFT相关的钓鱼攻击同比增加了55%。

报告指出，区块链等技术将改变财富管理传统业务逻辑:波士顿咨询公司与陆金所近日在上海联合发布《全球数字财富管理报告2018：科技驱动、铸就信任、重塑价值》。报告认为，作为与财富科技相关度最高的四项技术，大数据、人工智能、区块链和机器人流程自动化将在客户画像与分析、规划与配置、交易与执行、组合管理等环节改变传统业务逻辑，从而使财富管理更普惠、更专业、更开放。[2018/5/16]

跨链桥

随着区块链的发展，目前已经进入一个以太坊为核心多链并存的局面，链与链之间的资产转移、智能合约的跨链交互已成为链上活动的日常，跨链桥作为区块链基础设施的地位越发凸显。根据DuneAnalytics数据，截至6月30日以太坊中15个主要跨链桥的锁定总价值约83.9亿美元。目前TVL最高的是PolygonBridges，排名第二的是ArbitrumBridge，随后是AvalancheBridge。

由于流动资金量大，去中心化程度低，权限几乎都掌握在多签钱包中等特性，跨链桥也成了黑客眼中的“香饽饽”。根据SlowMistHacked统计，截至6月30日跨链桥安全事件共7起，损失高达10.43亿美元，占比DeFi上半年总损失的64%，占比上半年总损失的53%。值得注意的是上半年，损失金额上亿美元的事件4起中就有3起来自跨链桥。作为多链生态的重要基础设施，跨链桥一方面承担着巨量的资金流动，为用户带来了极大的便利，另一方面在安全性和去中心化水平上面临许多挑战，需要项目方提升安全、风控等能力。

交易平台

加密货币行业一直处在监管漩涡中，首当其冲的就是加密货币交易平台。交易平台发生的安全事故分析如下：以全球交易量最大的平台Binance为例，自2021年来，Binance已遭到数十个国家和地区的监管警告，包括欧洲、美洲、亚洲在内的多个地区。在全球强力监管信号下，Binance陆续在西班牙、法国、阿布扎比、迪拜、意大利、巴林等国家或地区获得了监管许可并进行了注册，逐步推进其合规化进程。

在上半年，全球共发生4起交易平台安全事件，损失超7770万美元，具体如下：

1月9日，LCX技术团队在LCX交易平台上检测到一个未经授权的访问，总共约794万美元的加密资产被盗。

1月17日，Crypto.com少数用户遭到未经授权提款，损失约3400万美元，包括4,836.26ETH、443.93BTC和约66,200美元的其他加密货币。

2月8日，LockBit勒索软件团伙称从加密货币交易平台PayBito窃取了大量客户数据。

2月12日，来自美国南达科他州提供自主退休金账户的IRAFinancialTrust对加密交易平台Gemini提起诉讼，指控称由Gemini保管的属于客户退休账户的3600万美元加密资产被盗。

慢雾安全团队建议各大交易平台健全内部管理与技术机制，通过引入安全审计机制、零信任机制、冷热资产安全解决方案等来加强对数字资产的安全保障。

其他

不法分子看中加密货币的匿名性，区块链已成为网络黑产的新风口，呈现出越来越明显的组织化与专业化趋势，“勒索”、“欺诈”及“盗窃”已成为加密货币巨大安全威胁。据中国人民银行支付结算司数据，2021年涉诈款项的支付方式中，利用加密货币进行支付仅次于银行转账，排名第二位，高达7.5亿美元；而2020年、2019年仅为1.3、0.3亿美元，逐年大幅增长的趋势明显。值得关注的是，加密货币转账在“杀猪盘”中增长迅速。2021年“杀猪盘”资金中1.39亿美元使用加密货币支付，是2020年的5倍、2019年的25倍。

攻击手法概览

以上187起安全事件中，攻击手法主要分为四类：由项目自身设计缺陷和各种合约漏洞引起的攻击；包含RugPull、钓鱼攻击等手法的Scam；由于私钥泄露引起的资产损失；前端恶意攻击，这四种主要攻击手法占比安全事件总数量的95%。

上半年由项目自身设计缺陷和各种合约漏洞引起的攻击共92起，造成损失10.6亿美元，其中利用闪电贷引起的攻击有19起，造成损失6133万美元。因私钥被盗引起的资产损失发生率约为4%，损失金额却达到7.2亿美元。随着Web3的火热发展，针对用户和开发人员的攻击层出不穷，尤其是针对Discord、Twitter等媒体平台的钓鱼攻击，黑客通常会在获取到管理员或者账户权限后，伪装成管理员身份并发布钓鱼链接。并且这些钓鱼网站的制作成本非常低，在对知名NFT项目进行Copy后，通过赠送、免费等字眼诱导用户授权，从而转移用户资产。而RugPull则是项目方主动作恶，上半年RugPull事件已达到42起，大部分发生在BSC链。

总结

尽管2022年区块链技术正在飞速发展并且逐渐完善，但层出不穷的加密货币攻击事件对区块链生态安全态势提出了新的挑战。从统计数据来看，上半年发生安全事件次数较多的月份主要在5、6月；从各生态来看，BSC上安全事件发生最多；从赛道来看，损失最多的是跨链桥。

对此慢雾安全团队建议：

对于机构和企业来说，最好能够建立全面的网络安全防护系统，防护从各个层次入侵的网络安全威胁，并通过威胁感知体系快捷获取病木马、钓鱼、网络安全预警、漏洞报告在内的安全情报，一旦发生安全威胁能够及时进行处理。

对于个人用户来说，遵守以下安全法则及原则，可以避免大部分风险：

两大安全法则：

零信任。简单来说就是保持怀疑，而且是始终保持怀疑。

持续验证。你要相信，你就必须有能力去验证你怀疑的点，并把这种能力养成习惯。

安全原则：

网络上的知识，凡事都参考至少两个来源的信息，彼此佐证，始终保持怀疑。

做好隔离，也就是鸡蛋不要放在一个篮子里。

对于存有重要资产的钱包，不做轻易更新，够用就好。

所见即所签。即你看到的内容就是你预期要签名的内容，当你签名发出去后，结果就应该是你预期的，绝不是事后拍断大腿的。

重视系统安全更新，有安全更新就立即行动。

不乱下程序。

在此，十分推荐阅读并掌握《区块链黑暗森林自救手册》。

区块链发展道阻且长，期望随着行业的不断完善，区块链可以迸发出更大的力量，走向更大的舞台

标签：CELCelsius区块链RADCELCcelsius币官网区块链是什么概念Traders Global Business

TUSD热门资讯