報告解讀之 2022 上半年區塊鏈安全態勢_EFI:有人靠區塊鏈4天就掙了30萬塊錢

本篇主要聚焦區塊鏈生態安全概覽及攻擊手法。

區塊鏈安全態勢

近兩年來，在疫情持續肆虐、經濟衰退、能源短缺、地緣沖突升級、國際間競爭加劇等種種因素的影響之下，全球社會與經濟發展遭遇了前所未有的挑戰。與此同時，全球區塊鏈行業也經歷著一場不斷加速的變革：區塊鏈技術的效率、安全性和可擴展性得到不斷改善，元宇宙、NFT 等新興領域的興起，使區塊鏈行業正式邁入 3.0 時代。

根據慢霧區塊鏈被黑事件檔案庫（ SlowMist Hacked ）統計，截至 6 月 30 日，2022 上半年安全事件共 187 件，損失高達 19.76 億美元。

（2022 上半年安全事件）

在這些安全事件中，約 77% （144 起）源于項目自身存在漏洞被攻擊者利用，損失金額約 18.4 億美元，占安全事件總損失的 93%；約 21%（39 起） 源于包含 Phishing&Rug Pull 的 Scams，損失金額約 1.3 億美元，占安全事件總損失的 6%。

（2022 上半年安全事件攻擊原因分布圖）

（2022 上半年安全事件攻擊原因損失對比圖）

區塊鏈生態安全概覽

根據被攻擊對象的不同，我們將 187 起安全事故分為三部分：公鏈賽道、交易平臺和其他。

Circle 2022年12月儲備報告：金庫儲備資金超445億美元:金色財經報道，美元穩定幣 USDC 發行方 Circle 發布 2022 年 12 月的儲備報告，該報告由 GrantThornton 會計集團審計，詳細說明了穩定幣發行方 Circle 的儲備金庫的構成，目前 44,553,543,212 USDC由托管賬戶中的 44,693,963,701 美元支持，其中很大一部分為美國國債。Circle 的儲備基金注冊為政府貨幣市場基金，該基金的股權由 Circle 全資擁有，包括 14 種不同的美國債券，價值超過 235 億美元，該基金還持有 4890 萬美元現金，另外還有 3300 萬美元應歸該基金（due to the Fund），但被“時間和結算差異”所抵消。持有 Circle 現金儲備的美國銀行包括紐約梅隆銀行、Citizens Trust Bank、Customers Bank、New York Community Bank、Signature Bank、硅谷銀行和Silvergate Bank。（cointelgraph）[2023/1/30 11:36:50]

公鏈賽道

作為區塊鏈行業的基礎設施，公鏈承載了人們對于區塊鏈作為 Web3 底層網絡的期望。隨著一代又一代公鏈的崛起，NFT、DeFi、GameFi、元宇宙等生態熱潮也相繼迎來爆發，同時這些項目也促進了公鏈的發展與價值提升，使多鏈世界從理想走向了現實。據 Footprint Analytics 的數據，截至 6 月累計已收錄的公鏈數量有 119 條，對比 2021 年 6 月收錄的 31 條，同比增長約 284%。

報告：山寨幣的市場份額自 2014 年以來飆升了三倍:金色財經報道，Tradingplatforms在周一發布的一份報告顯示，自 2014 年以來，山寨幣的市場份額從 2014 年的 21% 飆升了三倍至今天的 62%。本周，在所有12,046 種加密資產的市值中，比特幣的市場份額一直徘徊在 38% 左右。

“山寨幣市場主導地位的增長表明人們對加密資產的看法發生了轉變。許多人將它們視為BTC 的替代品。隨著加密貨幣領域的不斷發展，BTC的主導地位將面臨越來越大的壓力，”tradeplatforms研究人員指出。（bitcoin.com）[2021/12/29 8:12:00]

（2021 與 2022 年 6 月公鏈數量對比）

但公鏈的快速發展同時是一把雙刃劍，在促進產業進步的同時，引發的區塊鏈安全問題也顯著增加，我們分別從?DeFi、NFT、跨鏈橋三方面解析。

DeFi 生態

DeFi 作為世界上最受歡迎的可編程區塊鏈，2022 發展態勢不可小覷，據 DeFi Llama 數據顯示，6 月 30 日 DeFi 總鎖倉價值為 1432 億美元，其中 ETH 鏈以 945.5 億美元的 TVL（Total Value Locked）占據了資金沉淀的半壁江山，其次是 BSC 鏈的 110.8 億美元。2021 年以來，許多新興公鏈如 Solana、Avalanche 等通過擁抱 DeFi 快速發展鏈上生態，也吸引了大量用戶和資金沉淀。6 月 30 日 Solana TVL 為 26.4 億美元，同比增長 77%；Avalanche TVL 為 55.4 億美元，同比增長 96%。

英國監管機構FCA計劃利用區塊鏈技術加強其監管報告:9月23日消息，英國監管機構FCA計劃利用區塊鏈技術來加強其監管報告。據FCA稱，基于區塊鏈的數字監管報告計劃旨在降低合規檢查的成本，目前正在與英國央行合作進行。FCA負責人Nikhil Rathi指出，目前的監管報告預計每年要為5.8萬家公司的2萬條法規花費15億至40億英鎊：“這就是為什么我們正在與英格蘭銀行合作開展數字監管報告計劃（Digital Regulatory Reporting Initiative）。通過區塊鏈和API技術與公司連接，并部署機器可讀和可執行的法規，合規檢查可以近乎實時地完成。”該機構還將利用區塊鏈技術來監管那些被認為數據量更大的企業，并指出，隨著數據需求的增加，企業可能會以造成不良用戶結果的方式使用、營銷或限制數據。（Finbold）[2021/9/23 17:01:36]

（2022 上半年 DeFi TVL）

隨著 DeFi 熱潮的興起，該領域也自然成為了黑客覬覦的重點對象。根據 SlowMist Hacked 統計，截至 6 月 30 日 DeFi 安全事件約 100 起，損失超 16.3 億美元。其中在 BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨鏈橋上發生的安全事件數量分別為 47 起、29 起、8 起、5 起、2 起、1 起、7 起，所造成損失分別為 1.4 億美元、3.08 億美元、5491 萬美 元、6383 萬美元、1310 萬美元、830 萬美元、10.43 億美元。

普華永道報告：列支敦士登虛擬貨幣稅收指數排名第一:10月3日消息，普華永道發布各國關于虛擬貨幣稅收的報告。報告指出，列支敦士登、馬耳他和澳大利亞分別位列虛擬貨幣稅收指數排名前三位。該指數主要基于各國是否為20種不同的虛擬貨幣項目提供了稅收指導，指導內容質量不考慮在內。總體而言，報告考慮的各國是如何將現有稅法應用于數字資產，而不是引入針對數字資產（包括虛擬貨幣）特征的新法規。此外，稅收指導內容方面，一半以上的地區為虛擬貨幣交易和虛擬貨幣采礦收入設定了資本收益。虛擬貨幣定位方面，多數國家認為它是“財產或無形財產”、“其他”或“無明確規定”。具體征稅時間，各國最常見的做法是對“虛擬貨幣和法幣兌換”征稅，其次是“虛擬貨幣之間兌換”。其中，法國在“虛擬貨幣之間兌換”方面超出正常氛圍。最后，報告指出，多數國家地區尚未決定ICO的稅收政策。（CoinPost）[2020/10/3]

（2022 上半年 DeFi 安全事件分布）

NFT 生態

基于區塊鏈技術的 NFT 也是需要重點關注的對象，隨著一批頭部 NFT 項目的崛起和各路名人的參與，NFT 極速發展。根據 Dune Analytics 的數據，OpenSea 的交易量在 1 月份達到上半年最高峰 2.84 億美元，而隨著加密貨幣市場的變化，OpenSea 在 6 月份的交易量只有 1558 萬美元，下滑 94%。在 NFT 的熱潮中，目前以太坊生態的 NFT 在市值和交易量依舊占據市場的主流，交易量超 90%。除了以太坊外，從近 30 天交易量和近 7 天交易量這些短期數據來看，Solana，Flow 等生態的 NFT 也正在快速發展，且表現亮眼，多鏈時代距離我們越來越近。

動態 | 報告：亞太地區預計將在未來幾年主導全球區塊鏈財富管理市場:Industry Today發布報告稱，2019年全球區塊鏈財富管理市場上的頂級玩家是由瑞士證券交易所SIX、瑞士電信（Swisscom）、蘇黎世州銀行組成的財團。報告對2018年全球區塊鏈財富管理市場的規模、份額、最新趨勢進行了說明，并預測了到2026年的前景。 報告將全球區塊鏈財富管理市場細分為北美、歐洲、亞太、拉丁美洲、中東和非洲。其中，亞太地區預計將在未來幾年主導全球市場。對改進的安全解決方案日益增長的需求預計將推動該地區的市場需求。報告稱，目前該領域一些主要參與者包括一個由瑞士證券交易所SIX、瑞士電信（Swisscom）、蘇黎世州銀行組成的財團。[2019/6/10]

（2022 上半年 OpenSea 交易量變化圖）

（2022 上半年 NFT 攻擊事件原因分布圖）

并且隨著時間推移，不法分子的攻擊逐漸猖獗，根據 TRM Labs 發布的報告 ，在 5、6 兩個月，由 TRM Labs 社區主導的詐騙報告平臺 Chainabuse 收到了超過 100 份關于 Discord 黑客攻擊的報告；自 5 月以來，NFT 社區損失約 2200 萬美元；6 月，黑客在被黑的 Discord 中發布 NFT 相關的釣魚攻擊同比增加了 55%。

跨鏈橋

隨著區塊鏈的發展，目前已經進入一個以太坊為核心多鏈并存的局面，鏈與鏈之間的資產轉移、 智能合約的跨鏈交互已成為鏈上活動的日常，跨鏈橋作為區塊鏈基礎設施的地位越發凸顯。根據 Dune Analytics 數據，截至 6 月 30 日以太坊中 15 個主要跨鏈橋的鎖定總價值（TVL）約 83.9 億美元。目前 TVL 最高的是 Polygon Bridges（35 億美元），排名第二的是 Arbitrum Bridge（18.93 億美 元），隨后是 Avalanche Bridge（12.41 億美元）。

（以太坊 15 個主要跨鏈橋的 TVL）

由于流動資金量大，去中心化程度低，權限幾乎都掌握在多簽錢包中等特性，跨鏈橋也成了黑客眼中的“香餑餑”。根據 SlowMist Hacked 統計，截至 6 月 30 日跨鏈橋安全事件共 7 起，損失高達 10.43 億美元，占比 DeFi 上半年總損失的 64%，占比上半年總損失的 53%。值得注意的是上半年，損失金額上億美元的事件 4 起中就有 3 起來自跨鏈橋。作為多鏈生態的重要基礎設施，跨鏈橋一方面承擔著巨量的資金流動，為用戶帶來了極大的便利，另一方面在安全性和去中心化水平上面臨許多挑戰，需要項目方提升安全、風控等能力。

（2022 上半年跨鏈橋安全事件）

交易平臺

加密貨幣行業一直處在監管漩渦中，首當其沖的就是加密貨幣交易平臺。交易平臺發生的安全事故分析如下：以全球交易量最大的平臺 Binance 為例，自 2021 年來，Binance 已遭到數十個國家和地區的監管警告，包括歐洲、美洲、 亞洲在內的多個地區。在全球強力監管信號下，Binance 陸續在西班牙、法國、阿布扎比、迪拜、意大利、巴林等國家或地區獲得了監管許可并進行了注冊，逐步推進其合規化進程。

在上半年，全球共發生 4 起交易平臺安全事件，損失超 7770 萬美元，具體如下：

1 月 9 日，LCX 技術團隊在 LCX 交易平臺上檢測到一個未經授權的訪問，總共約 794 萬美 元的加密資產被盜。

1 月 17 日，Crypto.com 少數用戶遭到未經授權提款，損失約 3400 萬美元，包括 4,836.26 ETH、443.93 BTC 和約 66,200 美元的其他加密貨幣。

2 月 8 日，LockBit 勒索軟件團伙稱從加密貨幣交易平臺 PayBito 竊取了大量客戶數據。

2 月 12 日，來自美國南達科他州提供自主退休金賬戶的 IRA Financial Trust 對加密交易 平臺 Gemini 提起訴訟，指控稱由 Gemini 保管的屬于客戶退休賬戶的 3600 萬美元加密資產被盜。

（2022 上半年交易平臺攻擊事件損失對比圖）

慢霧安全團隊建議各大交易平臺健全內部管理與技術機制，通過引入安全審計機制、零信任機制、冷熱資產安全解決方案等來加強對數字資產的安全保障。

其他

不法分子看中加密貨幣的匿名性，區塊鏈已成為網絡黑產的新風口，呈現出越來越明顯的組織化與專業化趨勢，“勒索”、“欺詐”及“盜竊”已成為加密貨幣巨大安全威脅。據中國人民銀行支付結算司數據 ，2021 年涉詐款項的支付方式中，利用加密貨幣進行支付僅次于銀行轉賬，排名第二位，高達 7.5 億美元；而 2020 年、2019 年僅為 1.3、0.3 億美元，逐年大幅增長的趨勢明顯。值得關注的是，加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。2021 年“殺豬盤”詐騙資金中 1.39 億美元使用加密貨幣支付，是 2020 年的 5 倍、2019 年的 25 倍。

攻擊手法概覽

以上 187 起安全事件中，攻擊手法主要分為四類：由項目自身設計缺陷和各種合約漏洞引起的攻擊；包含 Rug Pull、釣魚攻擊等手法的 Scam；由于私鑰泄露引起的資產損失；前端惡意攻擊，這四種主要攻擊手法占比安全事件總數量的 95%。

（2022 上半年攻擊手法數量對比圖）

（2022 上半年攻擊手法損失對比圖）

總結

盡管 2022 年區塊鏈技術正在飛速發展并且逐漸完善，但層出不窮的加密貨幣攻擊事件對區塊鏈生態安全態勢提出了新的挑戰。從統計數據來看，上半年發生安全事件次數較多的月份主要在 5、6 月；從各生態來看，BSC 上安全事件發生最多；從賽道來看，損失最多的是跨鏈橋。

（2022 上半年各月份各生態賽道事件分布）

對此慢霧安全團隊建議：

對于機構和企業來說，最好能夠建立全面的網絡安全防護系統，防護從各個層次入侵的網絡安全威脅，并通過威脅感知體系快捷獲取病木馬、釣魚詐騙、網絡安全預警、漏洞報告在內的安全情報，一旦發生安全威脅能夠及時進行處理。

對于個人用戶來說，遵守以下安全法則及原則，可以避免大部分風險：

兩大安全法則：

零信任。簡單來說就是保持懷疑，而且是始終保持懷疑。

持續驗證。你要相信，你就必須有能力去驗證你懷疑的點，并把這種能力養成習慣。

安全原則：

網絡上的知識，凡事都參考至少兩個來源的信息，彼此佐證，始終保持懷疑。

做好隔離，也就是雞蛋不要放在一個籃子里。

對于存有重要資產的錢包，不做輕易更新，夠用就好。

所見即所簽。即你看到的內容就是你預期要簽名的內容，當你簽名發出去后，結果就應該 是你預期的，絕不是事后拍斷大腿的。

重視系統安全更新，有安全更新就立即行動。

不亂下程序。

在此，十分推薦閱讀并掌握 《區塊鏈黑暗森林自救手冊》（https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md）。

區塊鏈發展道阻且長，期望隨著行業的不斷完善，區塊鏈可以迸發出更大的力量，走向更大的舞臺

Tags：區塊鏈NFTEFIDEF有人靠區塊鏈4天就掙了30萬塊錢NFTM價格PEFIxDEF2

波場