2022年Q1全球區塊鏈安全生態報告 攻擊類安全事件造成的損失高達12億美元_區塊鏈:MooniWar

2022年，區塊鏈行業迎來新的發展時期，但各類安全風險也在不斷升級。

成都鏈安新推出的《安全研究季報》欄目，將為大家盤點每季度全球區塊鏈安全態勢。

今天，跟著我們一起來回顧，2022年Q1區塊鏈安全生態都發生了什么。

2022年Q1區塊鏈安全生態概覽

安全事件造成的損失高達約12億美元

2022年第一季度，根據成都鏈安監測到的數據統計，攻擊類安全事件造成的損失高達約12億美元，較去年同期的1.3億美元上漲約9倍。同時也比2021年的任何一個季度損失的金額都要高。

2022年3月，Ronin攻擊事件造成6.25億美元資金被盜，超越2021年8月PolyNetwork被攻擊的6.1億美元，登上Defi黑客攻擊損失榜第一位。當然，不是每個項目都能像PolyNetwork一樣能夠追回資金。截止本報告撰寫時，Ronin的黑客依舊在分批次進行洗錢。

從鏈平臺來看

Ethereum和BNB依舊是被攻擊頻次最高的兩條鏈，但高攻擊頻次并不意味著高損失金額。2022年第一季度，我們監測到Solana鏈典型攻擊事件2起，損失金額卻高達3億7400萬美元，遠遠多于BNBChain上的損失。

從資金流向來看

80%的情況下，黑客都會最終將盜取資金轉入Tornado.Cash進行混幣。有10%的情況，黑客會將資金暫時留在自己的地址，有時要等待幾個月，甚至幾年才對贓款進行轉移。有少部分黑客會主動歸還盜取資金。

從攻擊手法來看

合約漏洞利用和閃電貸攻擊是黑客最常使用的手段。50%的攻擊手法為合約漏洞利用。

GMX 2022年度回顧：年度交易總量達850億美元:12月29日消息，衍生品協議GMX發布2022年度回顧。相關數據顯示，GMX2022年度交易總量達850億美元、年度費用收入1.15億美元、年度新增用戶數20萬。GMX表示，計劃于2023年初上線合成資產，對于GMX現存的大部分問題，開發者已有明確計劃，將在2023年初的更新中解決大部分問題。[2022/12/29 22:14:25]

從審計情況來看

在被攻擊的項目中，70%的項目經過了第三方安全公司的審計。然而在剩余30%未經審計的項目中，因攻擊事件遭受的損失卻占了整個損失金額的60%以上。

從項目類型來看

DEFI項目依舊是黑客攻擊的熱點領域，占了總共被攻擊項目數量的60%。而跨鏈橋雖然被攻擊的次數不多，但涉及的金額卻巨大。

Q1發生典型攻擊事件超30起

跨鏈橋類項目損失慘重

2022年第一季度，區塊鏈領域共發生典型安全事件約30起。總損失金額約為12億美元，與去年同期相比增長了823%。

在前20排名里，損失金額最高的Ronin為6.25億，約是金額最低的BuildFinance的558倍。

從統計圖表可以看到，Ronin和Wormhole兩個項目的損失金額達到了9億5000萬美元，占2022年Q1總損失金額的80%。值得注意的是，這兩者均為跨鏈橋類項目。

報告：2022年將有360萬美國人使用加密貨幣進行購物:金色財經報道，據研究公司Insider Intelligence發布的一份報告顯示，到 2022 年，美國將使用加密貨幣進行購物的成年人數量將增加到 360 萬。加密貨幣作為一種支付手段的價值今年將上漲 70%。根據該公司的首席分析師大衛莫里斯的說法，加密貨幣的波動性正在因穩定幣使用量的增長而得到緩解。隨著 CBDC 的發展，人們將更多地關注加密貨幣成為一種支付手段。 該公司還預測，到 2022 年底，作為加密貨幣用戶的美國成年人將增加到 3370 萬。到 2023 年，該公司預計這一數字將進一步增長至 3720 萬。這些數字大大低于美國此前聲稱的加密所有權在 2021 年達到 4600 萬。 （cointelegraph）[2022/4/21 14:37:27]

被攻擊項目類型方面

DeFi仍為黑客攻擊的重點領域

2022年第一季度，區塊鏈領域，DeFi項目仍為黑客攻擊的重點領域，共發生19起安全事件，約60%的攻擊發生在DeFi領域。

此外，針對NFT的攻擊事件在2022年第一季度有所上升，跨鏈橋項目被攻擊了4次，造成的損失卻高達9億5000萬美元，占到2022年一季度損失金額的80%，跨鏈橋安全事件頻發，涉及金額巨大。

Chainalysis：新興經濟體在2021年全球加密采用指數中占據主導地位:加密追蹤公司Chainalysis的2021年全球加密貨幣采用指數基于三個關鍵指標評估了154個國家：收到的鏈上加密貨幣價值、轉移的鏈上零售價值和點對點交易所交易量。每個指標都是按購買力平價加權。其中越南、印度和巴基斯坦排名前三，突顯了新興經濟體點對點貨幣體系的彈性。排在前20位的國家大多是新興經濟體，坦桑尼亞、多哥甚至阿富汗都榜上有名。美國和中國的排名分別下滑至第八位和第九位。在2020年的指數中，中國排名第四，美國排名第六。該報告指出，隨著p2p平臺推動加密貨幣在新興經濟體的使用，全球加密貨幣資產的使用率躍升了1200%以上。（Cointelegraph）[2021/8/18 22:22:08]

鏈平臺損失金額方面

Ethereum損失金額占比最高

2022年第一季度，Ethereum和Solana鏈上攻擊損失金額排名前2，分別為6億5448萬和3億7400萬美元。

Ethereum被攻擊的頻次也是最多的，占到了總頻次的45%；排名第二的是BNBChain，占比19%。

Solana鏈上的兩次攻擊事件都造成了巨額損失：Wormhole損失3億2600萬美元，Cashio損失4800萬美元。兩者的攻擊手法同為合約漏洞利用。

歐科云鏈發布2021財年年度報告：營收4.53億港元，區塊鏈技術服務業務收益增長15%:北京時間7月26日，歐科云鏈控股（01499.HK）發布了2021財年年度報告。報告顯示，截至2021年3月31日，歐科云鏈實現總營收4.53億港元，較上一年減少約20%，主要受傳統業務的負面影響。財報顯示，集團未來將專注的技術服務、證券投資及信托和托管服務表現亮眼，推動全年毛利率提升2.8個百分點至百分之10.3，盈利能力增長勢頭強勁。年內，來自技術服務部分的收益增加約2800萬港元，較去年增長約15%，成為拉動歐科云鏈營收增長的新引擎。

年內，歐科云鏈集團審時度勢，加快布局金融科技領域、重點發力區塊鏈技術的研發與應用。未來，歐科云鏈也將繼續加大以區塊鏈為主的金融科技相關方面的投入，不斷推進區塊鏈相關技術創新，拓寬區塊鏈技術應用場景。2021年是我國“十四五”計劃的開局之年，關于區塊鏈技術的政策紅利也不斷增加，未來區塊鏈技術或將與實體經濟深度結合，這將為歐科云鏈帶來更多利好，商業價值可期。業內人士認為，憑借領先的技術實力以及對區塊鏈行業前景的準確預判，歐科云鏈將為更多產業的健康發展保駕護航，其增長空間已經打開。[2021/7/26 1:15:59]

鏈平臺損失金額占比

此外，一些TVL排名靠前的公鏈在2022年第一季度未檢測到重大安全事件，如：Terra、Avalanche、Tron等。

攻擊手法分析

合約漏洞利用和閃電貸最常見

2022年第一季度，區塊鏈安全生態領域，約50%的攻擊方式為合約漏洞利用，24%的攻擊方式為閃電貸。

有12%的攻擊為私鑰泄露、釣魚攻擊和社會工程學攻擊。此類攻擊源于項目方沒有保管好私鑰或警惕性不足。

歐科云鏈OKLink斬獲“2020年度金融科技先鋒獎”:3月27日消息，歐科云鏈OKLink在《華夏時報》主辦的主題為“金融業2021：雙循環下的變革與信心”的華夏機構投資者年會上，斬獲“2020年度金融科技先鋒獎”。

OKLink是首家區塊鏈大數據公司，基于區塊鏈+大數據技術為用戶提供精準的鏈上數據分析、高延展的信息解決方案及區塊鏈科普教育服務。 目前已落地的產品包括高性能、多幣種“區塊鏈瀏覽器”、鏈上追蹤工具 OKLink 鏈上天眼及歐科學院。[2021/3/27 19:23:13]

被黑客利用的合約漏洞中，最常見的漏洞為重入漏洞，其次分別為業務邏輯不當、call注入攻擊和驗證不當或不足；其中絕大部分漏洞都可以通過安全審計盡早發現和修復。

典型安全事件分析

案例一：TreasureDAO被攻擊事件

背景：

3月3日，TreasureDAONFT交易市場被曝發現漏洞，導致100多個NFT被盜。然而在事件發生幾小時后，攻擊者卻開始歸還被盜NFT。

詳情：

交易發起者通過合約的buyItem函數傳入了數值為0的_quantity參數，從而無需費用就能購買TokenID為5490的ERC-721代幣。

項目合約的buyItem函數代碼

從代碼上來看，合約的buyItem函數在傳入_quantity參數后，并沒有做代幣類型判斷，直接將_quantity與_pricePerItem相乘計算出了totalPrice，因此safeTransferFrom函數可以在ERC-20代幣支付數額只有0的情況下，調用合約的buyItem函數來進行代幣購買。

然而在調用buyItem函數時，函數只對購買代幣類型進行了判斷，并沒有對代幣數量進行非0判斷，導致ERC-721類型的代幣可以在無視_quantity數值的情況下直接購買，從而實現了漏洞攻擊。

建議：

本次安全事件主要原因是ERC-1155代幣和ERC-721代幣混用導致的邏輯混亂，ERC-721代幣并沒有數量的概念，但是合約卻使用了數量來計算代幣購買價格，最后在代幣轉賬時也沒有進行分類討論。

建議開發者在開發多種代幣的銷售販賣合約時，需要根據不同代幣的特性來進行不同情況的業務邏輯設計。

案例二：BuildFinance項目遭遇治理攻擊

背景：

2月15日，DAO組織BuildFinance表示遭遇惡意治理攻擊，攻擊者通過獲得足夠多的投票成功了控制其Token合約。

詳情：

在2020年9月4日的一筆交易中，BuildFinance合約創建者通過setGovernance函數將治理權限轉移。通過查找內部的Storage，發現權限轉移給了0x38bce4b地址。繼續跟進0x38bce4b地址，發現是一個Timelock合約，而合約中可以調用setGovernance函數的只有executeTransaction函數。

BuildFinance被攻擊流程

繼續跟進發現，在2021年1月25日，0x38bce4b地址調用executeTransaction函數將權限轉移到了0x5a6ebe地址。2022年2月11日，由于投票設置的閾值較低導致提案通過，0x5a6ebe地址的治理權限變更為了0xdcc8A38A地址。在獲取到治理權限后，攻擊者惡意鑄幣并耗盡了交易池的流動性。

建議：

DAO合約應該設置合適的投票閾值，實現真正的去中心化治理，避免很少的投票數量就使得提案通過并成功執行，建議可以參考openzeppelin官方提供的治理合約的實現。

案例三：Ronin6億美元盜幣案?

背景：

3月23日，SkyMavis的Ronin驗證器節點和AxieDAO驗證器節點遭到破壞，攻擊者使用被黑的私鑰來偽造假提款，獲利約6.25億美元。而RoninNetwork直到3月29日才發現自己遭受到了攻擊。

詳情：

SkyMavis的Ronin鏈目前由9個驗證節點組成。為了識別存款事件或取款事件，需要九個驗證者簽名中的五個。攻擊者設法控制了SkyMavis的四個Ronin驗證器和一個由AxieDAO運行的第三方驗證器。此后Ronin官方表示，所有證據都表明這次攻擊或與社會工程學相關。

Ronin黑客洗錢過程

建議：

1、注意簽名服務器的安全性；

2、簽名服務在相關業務下線時，應及時更新策略，關閉對應的服務模塊，并且可以考慮棄用對應的簽名賬戶地址；

3、多簽驗證時，多簽服務之間應該邏輯隔離，獨立對簽名內容進行驗證，不能出現部分驗證者能夠直接請求其它驗證者進行簽名而不用經過驗證的情況；

4、項目方應實時監控項目資金異常情況。

被盜資金流向分析

Tornado.Cash或為黑客洗錢慣用途徑

80%的情況里，黑客在得手后，會立刻或幾天內將盜取資金轉入Tornado.Cash進行混幣。

10%的情況里，黑客會暫時將贓款留在自己地址，等待幾個月至幾年才將資金轉出。例如去年12月被盜的交易所AscendEX，黑客等到今年2月、3月才開始進行分批次洗錢。而今年Ronin的攻擊者目前依然在進行頻繁的洗錢操作。

有少部分黑客會歸還盜取資金。Cashio的攻擊者在盜取4800萬美元的資金后，公開留言表示將向價值在10萬美元以下賬戶進行退還，并聲稱“我的目的只是從不需要的人那里拿錢，而不是從需要的人那里拿錢”。

目前Tornado.cash依舊為黑客慣用的洗錢途徑。

項目審計情況分析

30%未經審計的項目損失金額占總量的60%

項目審計情況：

70%的被攻擊項目經過了第三方安全公司的審計；

30%未審計的項目，損失金額達7.2億美元，占第一季度總損失金額的60%；

項目上線之前的審計依舊重要。在未審計的項目中，50%的攻擊手法都為合約漏洞利用。因此，盡早審計和及時修復代碼漏洞，可以避免上線后項目被攻擊造成的嚴重損失。

項目審計情況及總損失金額

2022年Q1結語

安全事件頻發，涉及金額大幅增加

2022年第一季度，區塊鏈領域攻擊類安全事件造成的損失高達約12億美元，比2021年的任何一個季度損失的金額都要高。跨鏈橋項目被盜取金額巨大，DeFi項目被攻擊頻次最高，這兩個領域今后或許也是黑客重點盯上的攻擊目標。

項目方應及時關注資金異常情況，成都鏈安可以讓項目方和用戶及時發現風險交易，從而快速采取措施。例如立刻暫停相關服務，或告知用戶取消授權等，避免后續更大的損失。

項目安全審計依舊重要，約50%的攻擊方式為合約漏洞利用，這其中絕大多數漏洞都可以通過安全審計及早發現和修復。

Tags：區塊鏈RONONI加密貨幣區塊鏈工程專業學什么女生好Wrapped TRONMooniWar我國為什么禁止加密貨幣

幣贏交易所