作者:比特叢林
隨著數字化進程的不斷深入,區塊鏈技術已成為許多領域的重要驅動力,它不僅為金融、醫療、物流等傳統行業帶來了顛覆性的變革,而且也為參與者帶來了更加開放和透明的體驗。然而,隨著區塊鏈技術的廣泛應用,與之相關的安全問題也變得愈發嚴峻。近年來,區塊鏈安全事件頻發,不僅對個人和企業造成了巨大損失,而且也對區塊鏈技術的發展帶來了挑戰。
本報告對2023年上半年的區塊鏈安全事件進行梳理和分析,旨在探究區塊鏈安全存在的隱患,以及分析區塊鏈安全事件的成因,并提出相應的解決方案和建議。我們希望通過這份報告引起各方對區塊鏈安全問題的關注,共同推動區塊鏈技術的安全發展,為數字化世界的未來奠定堅實的基礎。
2023年上半年共發生主要攻擊事件192起,總損失金額約為9.2億美元。
損失金額超過 1 億美元的安全事件共 4 起:
·Euler Finance閃電貸攻擊事件損失 1.97 億美元
·Blockchain for dog nose wrinkles詐騙項目造成損失 1.27 億美元
·BonqDAO & AllianceBlock操縱價格造成損失 1.2 億美元
美國銀行:預計美聯儲今年加息7次 對2023年經濟構成壓力:1月29日消息,美國銀行經濟學家預計,美聯儲可能為應對高通脹而在今年歷次會議上加息。“我們現在預計今年將有7次各25個基點的加息,聯邦基金利率峰值將達2.75%-3.00%,”Ethan Harris在周五給客戶的報告中寫道。“這應該會對經濟產生滯后影響,對2023年經濟增長構成壓力。” (金十)[2022/1/29 9:20:25]
·Atomic Wallet錢包被盜造成損失1億美元
損失金額在1000萬美元至1億美元區間的事件 12 起
損失金額在100萬美元至1000萬美元區間的事件 40 起。
根據分析安全事件使用的攻擊手法,其中頻率最高的攻擊手法為Rug Pull與合約漏洞,均為32次攻擊。其次為閃電貸攻擊,共發生了20次,占所有事件數量的14.93%。
在發生數量TOP8的攻擊手段中,閃電貸損失金額最大,共造成2.5億美元的損失。位于其后的是區塊鏈騙局,雖然只發生了七次,但是造成的損失達2.3億美元。
2022年拉丁美洲成為了比特幣挖礦的新中心:金色財經報道,據數據分析公司Arcane Research稱,拉丁美洲將成為全球增長最快的比特幣挖礦地區之一。據預測,到2022年,加密貨幣的哈希率將繼續更加地理分布。自2021年年中中國開始打擊比特幣挖礦以來,礦工們已經將業務轉移到其他國家。比特幣挖礦最多的地方是美國、哈薩克斯坦、俄羅斯、加拿大和伊朗。然而,礦工的流動將在2022年繼續。許多人會選擇薩爾瓦多等提供法律保護和清潔的拉丁美洲國家。為礦工提供能源。在該公司的分析師看來,許多礦業公司快速的地理變化表明,盡管它是一個物理行業,但它是高度流動性的,計算能力的地理分布可以迅速變化。[2022/1/4 8:24:08]
而合約漏洞和Rug Pull雖然發生總數相對較多,占所有攻擊手法的47.76%,但其造成的損失遠不及前兩者,僅有6649萬美元的損失。這些攻擊手段的高發生率和巨大的損失金額再次凸顯了加密貨幣市場中的風險。盡管區塊鏈技術有著很大的潛力和應用前景,但是它仍然面臨著安全風險和技術挑戰。
Rug Pull事件頻發,其中75%的項目跑路金額在1000萬美元以下、28%的項目跑路金額在100萬美元以下。這類項目通常官網、推特、電報、Github等信息缺失,沒有Roadmap或白皮書,團隊成員信息可疑,項目上線到最后跑路周期不超過三個月。
貝萊德:2022年美聯儲將以溫和方式應對通脹:1月4日消息,以Jean Boivin為首的貝萊德智庫策略師預計,美聯儲將以比以往任何時候都更溫和的方式應對通脹。該機構還調低了決策者或投資者誤判形勢的風險。在他們的基本情境下,策略師們預計今年重演2021年的狀況,即債券下跌、股票上漲,但他們預計股市回報將下降。(金十)[2022/1/4 8:22:32]
此類安全事件帶來的損失,不容忽視,需要加強對項目背景的調查,提高對陌生信息的防范意識,以及通過提前預防,從而提高防范能力,避免損失的發生。
鏈上應用(On-chain Application),也稱為去中心化應用(Decentralized Application,DApp),是構建在區塊鏈或分布式賬本技術之上的應用程序。使用區塊鏈的特性和功能進行數據存儲、交易處理和智能合約執行。
2023年上半年,鏈上應用共發生 157 次安全事件,占總事件數量的 81%。鏈上應用總損失金額達到了 7.4億 美元 ,占總損失金額的 79%。鏈上應用為這半年中被攻擊頻次最高、損失金額最多的類型。
鏈上應用類型的安全事件在上半年六個月發生的頻率幾近相同,安全事件出現原因的前三分別是Rug Pull、合約漏洞、Twitter 被黑。
Bituan幣團交易所2021年第一季度BT回購計劃正式啟動:據官方公告,Bituan幣團已正式啟動2021年第一季度的BT回購計劃,待平臺悉數回購完畢,將第一時間在官網進行公布。[2021/2/1 18:34:27]
建議:
項目方在設計、構建項目時充分考慮項目的安全性,在實現功能的同時考慮到校驗功能是否會被繞過、是否存在缺陷,在項目上線前充分進行安全審計。
用戶投資鏈上應用前盡量多方考察、慎重決策,謹慎投資。
交易所(Exchange)是指提供數字資產買賣和交易服務的平臺或機構。它允許用戶以一種數字資產(如比特幣、以太坊等)交換另一種數字資產,或者以法定貨幣(如美元、歐元等)購買或出售數字資產。
2023年上半年,交易所是安全事件發生數量排名第二的類型,上半年共發生11起交易所領域內的安全事件,共造成了7318萬美元的損失。主要被攻擊原因為合約漏洞。
有關交易所的安全事件每個月都有發生。而且由于安全事件損失的金額也不在少數。
用戶要小心處理釣魚和惡意鏈接:避免點擊不信任的鏈接,尤其是通過電子郵件或社交媒體收到的鏈接。
定期檢查賬戶活動;不集中存儲所有資金;更新和保護設備;選擇值得信任的安全公司進行提前審計。
Asproex將于2021年1月12日開啟ZY壹號基金申購:據官方消息,Asproex(阿波羅)將1月12日上線ZY壹號基金,并于當天零點開啟為期3天的基金申購。第一天申購價格0.016U/枚,額度為2000萬。第二天申購價格0.019U/枚,額度為3000萬。第三天申購價格0.023U/枚,額度為5000萬。ZY壹號是Asproex(阿波羅)平臺上的首期基金,是由眾贏國際基金會推出的以ZY通證為標的的加密數字基金。
Asproex(阿波羅)作為一家離岸銀行控股持牌交易平臺,涵蓋CTO(Corporate Token Offering)企業通證上市、合約跟單、ETT指數通證、數字礦業、Digital Bank板塊并持有5國合法牌照,致力于為全球中小微企業提供數字化上市一站式服務。[2021/1/11 15:51:22]
公有鏈(Public Blockchain)簡稱公鏈,是指全世界任何人都可隨時進入讀取、任何人都能發送交易且能獲得有效確認的共識區塊鏈。側鏈是平行于主鏈的一條區塊鏈,可以理解為是區塊鏈的一種擴展協議。以滿足特定的業務需求,例如跨鏈資產交換、私有鏈擴展和特定行業的區塊鏈解決方案。
2023年上半年,公鏈/側鏈是安全事件發生數量排名第三的類型。主要被攻擊原因為智能合約漏洞。
選擇可靠的共識機制。
使用安全的加密算法生成和存儲密鑰,使用多重簽名技術增加交易的安全性。
進行定期的安全審計,包括代碼審查、安全性測試和漏洞掃描,以識別潛在的安全漏洞和弱點。
跨鏈橋(Cross-Chain Bridge)是一種允許在不同區塊鏈網絡之間傳輸數字資產的技術解決方案。跨鏈橋通常會在起始鏈上的智能合約中鎖定或銷毀通證,并通過目標鏈上的另一個智能合約解鎖或鑄造通證。跨鏈通信本質上需要在安全、信任和靈活性三個維度上做出權衡。由于這些復雜因素的存在,跨鏈橋成為了Web3領域主要的攻擊對象。
2023年上半年就發生了8次跨鏈橋安全事件,損失金額為1137萬美元。
在2022年,12次跨鏈橋安全事件共造成了約18.9億美元損失,居所有項目類型損失的第一位。相比于去年,跨鏈橋在今年的上半年已經發生了7次安全事件,再加上近日出現的Poly Network 和Multichain的安全事件已出現了10起安全事件,跨鏈橋安全事件有比去年更為嚴重的發展態勢。主要被攻擊原因為智能合約漏洞、閃電貸等。
項目方在設計跨鏈消息傳輸協議時將安全放在第一位。
區塊鏈錢包是區塊鏈中一個重要組成部分,是一種數字貨幣存儲和管理工具,它允許用戶安全地保存、接收和發送各種加密貨幣,如比特幣、以太坊和其他代幣。錢包安全一直是區塊鏈行業的一個熱門話題,一旦錢包受到攻擊,攻擊者可以輕易地竊取用戶的私鑰和助記詞等敏感信息,進而掌握用戶的數字資產。這些數字資產的價值可能非常高,一旦被盜,損失也會非常慘重。因此,為了最大限度地保障用戶的數字資產安全,我們建議用戶采取一些安全措施。
2023年上半年中,錢包被攻擊的安全事件相比于其他類型數量較少,但是,當錢包受到攻擊,損失便是較大的數額。如Atomic與MyAlgo的錢包事件,兩次攻擊事件造成了高達1.09億美元的損失。
事件數量總數排名第三的類型為錢包,該類別發生安全事件的原因大多是私鑰、助記詞泄露。
選擇可信的錢包提供商:選擇一個有良好聲譽和可靠歷史記錄的錢包提供商。確保了解他們的安全實踐,如何保護用戶數據和私鑰等敏感信息。
使用雙重身份驗證:啟用雙重身份驗證可以增加您賬戶的安全性。這種方法需要您在登錄時輸入除用戶名和密碼外的另一種身份驗證方式,例如驗證碼或指紋識別。
不要分享您的私鑰:私鑰是您加密貨幣的所有權證明。不要與任何人分享您的私鑰,包括錢包提供商。如果有人要求您提供私鑰,那么這很有可能是一種詐騙行為。
定期備份您的錢包:定期備份您的錢包可以確保您在錢包丟失或遭受攻擊時可以恢復您的加密貨幣。您可以將備份保存在安全的地方,例如離線設備或硬件錢包中。
小心處理未知的電子郵件或信息:不打開或下載未知來源的電子郵件或信息。這些可能包含惡意軟件或鏈接,可能會導致您的錢包被攻擊。
確保您的計算機和手機設備是安全的:確保您的計算機和手機設備具有最新的防病和安全更新,以保護您的設備免受攻擊。
不要在公共場所使用未知的Wi-Fi網絡,因為這些網絡可能不安全,可能會被黑客用來攻擊您的錢包。
確保您的錢包軟件是最新的:確保您的錢包軟件是最新版本。新版本通常包含安全更新和修復,可以幫助您保護您的錢包免受攻擊。
關注有關錢包安全的最新信息:了解有關錢包安全的最新信息和事件,以幫助您保持對錢包安全的了解,并采取適當的預防措施。
通過對2023年上半年區塊鏈安全事件的整理,發現鏈上應用是半年來被攻擊頻次最高、損失金額最多的項目類型。鏈上應用領域共發生157次安全事件,其中32次都基于合約漏洞進行攻擊。
面對頻出的安全事件,研發者應該進一步遵循安全編碼、審計合約代碼、使用成熟的安全庫等保障用戶權益;而作為使用智能合約的用戶也應該謹慎選擇合約,并在使用前仔細檢查其代碼和安全性,選擇專業的安全公司進行審計。當安全事件發生時,用戶能做到的很有限,只有不斷提高自身的安全意識,提前發現漏洞,解決漏洞,做好防范才能盡可能避免被攻擊。
本報告提供的信息僅供參考和研究,信息來源于公開渠道,作者已經盡力核實準確性和完整性,但不能保證其準確性和完整性,也不承擔因使用或依賴該信息而產生的任何損失或損害的責任。本報告不應視為對任何特定區塊鏈項目或加密貨幣投資的推薦或建議,讀者應該自行進行研究和決策。本報告的內容不能替代讀者的判斷和決策,也不能保證所述情況的持續存在或實現。
金色財經
企業專欄
閱讀更多
金色薦讀
Block unicorn
區塊鏈騎士
金色財經 善歐巴
Foresight News
深潮TechFlow
Tags:區塊鏈數字資產比特幣加密貨幣區塊鏈技術通俗講解中山大學數字資產和數字貨幣的區別泰達幣和比特幣一樣嗎加密貨幣市場行情走勢最新
美國司法部宣布了首個涉及對 DEX 運行的智能合約攻擊的刑事案件。身為一家國際科技公司高級安全工程師的 Shakeeb Ahmed 利用他的專業知識,欺詐了在 Solana 上的去中心化交易所及.
1900/1/1 0:00:00作者:Vitalik,以太坊創始人;翻譯:金色財經cryptonaitive隨著以太坊從一項年輕的實驗性技術發展成為能夠為普通用戶帶來開放、全球和無需許可體驗的成熟技術堆棧.
1900/1/1 0:00:00來源:湖北新聞網 自從漢繡“上了”區塊鏈,任煒只需一部手機,就能將圖案設計、手工繡制、成品出爐等關鍵環節存證確權,為自己的作品編織一張“數字保護網”.
1900/1/1 0:00:00人工智能領域的領軍人物,包括像 ChatGPT 這樣眾所周知的“生成式人工智能”的系統架構師,現在都公開表示,擔心自己創造的東西可能會帶來可怕的后果.
1900/1/1 0:00:00據安全資訊媒體「安全419」與網絡安全公司「零零信安」推出的《2022年數據泄露觀察回顧》統計數據顯示,2022年全球數據泄露事件總計超過20000件.
1900/1/1 0:00:00作者:秦曉峰 2020 年 12 月,Ripple遭美國 SEC 起訴。經過三年艱苦的法律斗爭后,Ripple 終于迎來了「短暫」的勝利.
1900/1/1 0:00:00