速讀慢霧 2022 區塊鏈安全及反洗錢年度報告_區塊鏈:Chainlist

慢霧科技發布《2022區塊鏈安全與反洗錢分析年度回顧》報告，聚焦于2022年區塊鏈行業所發生的重大事件，介紹區塊鏈行業各賽道的安全狀況，延伸并提煉出常見攻擊手法，并披露其中幾種釣魚手法。接著對部分安全事件的被盜資金流向進行分析，并通過歸納總結，公布一種針對混幣器資金追蹤的高級分析方法。

由于篇幅限制，這里僅羅列分析報告中的關鍵內容，完整內容可通過?PDF下載。

一、背景

本節分為區塊鏈安全及反洗錢兩部分。

區塊鏈安全

根據慢霧區塊鏈被黑事件檔案庫統計，2022年安全事件共303件，損失高達37.77億美元。

相比2021年的97.95億美元下降約61%，但這并不包括因市場動蕩而損失的資產。

委內瑞拉封鎖超75個因加密貨幣相關活動的賬戶:金色財經報道，根據委內瑞拉法律公司Legalrocks的數據，自2021年底以來，超過75個賬戶被委內瑞拉私人銀行封鎖，原因是為加密貨幣到法幣以及法幣到加密貨幣的轉換提供便利。同樣，通過未經Sunacrip（國家加密貨幣資產監管局）授權的加密貨幣交易所進行的交易，也可能被金融當局認為是可疑的，并有理由進行調查。[2022/12/28 22:12:21]

其中各生態DeFi、跨鏈橋、NFT等安全事件255起，交易所安全事件10起，公鏈安全事件11起，錢包安全事件6起，其他類型安全事件21起。

區塊鏈反洗錢

匿名性與不可逆是加密貨幣交易的天然屬性，正是這樣的原因，在加密貨幣犯罪頻發的情況下，區塊鏈反洗錢處于一個至關重要的位置，也是阻止黑客成功變現的最后防線。面對黑客無孔不入的威脅，不同的群體也不約而同的「組建」起反洗錢同盟，其中包括交易平臺/資金管理平臺/項目方、監管方和區塊鏈安全公司。2022上半年這些群體的反洗錢動態如何？在反洗錢分析過程中，始終存在著幾個核心的問題：發起攻擊的手續費來自哪里？洗錢的資金去了哪里？詳情見文末的PDF文件內容。

Rango Exchange已集成Celer IM框架，以實現一鍵式跨鏈:據官方消息，Rango Exchange成功地將Celer消息跨鏈（Celer IM）框架集成至其跨鏈DEX聚合器，為用戶提供無縫的跨鏈體驗。通過此次集成，Rango的用戶只需一鍵點擊，即可通過一筆交易將一條鏈上的A資產跨鏈交換為另一條鏈上的B資產。[2022/8/25 12:46:38]

二、區塊鏈安全現狀

本節分為區塊鏈生態安全概覽、攻擊手法、釣魚/騙局手法及損失Top10安全事件四部分。

區塊鏈生態安全概覽

2022年最令人訝異的莫過于Terra事件了。5月8日，加密貨幣市場上出現了史上最具破壞性的一次崩盤。Terra網絡的算法穩定幣UST出現了2.85億美元的巨額拋售，引發了一系列連鎖反應。Terra的原生代幣LUNA的價格突然毫無征兆的連續跳崖式暴跌，一天時間，LUNA市值蒸發了近400億美元，全生態項目TVL也幾乎歸零。此次事件或許成為了開啟2022加密寒冬的死亡按鈕。

巴西金融科技公司Nu Holdings二季度新增客戶達570萬名:金色財經報道，巴西數字銀行Nubank的母公司、巴西金融科技公司Nu Holdings在第二季度增加了570萬客戶，使用其服務的個人和企業數量達到6530萬。Nu在7月涉足加密貨幣領域，其Nucripto平臺推出后三周內就增加了100萬客戶，Nu Holdings在巴西擁有最大的業務，但第二季度在墨西哥和哥倫比亞增加了近700,000名客戶。

此外，Nu Holdings第二季度的凈虧損增至2990萬美元，而2021年同期為1520萬美元。該公司在收益中表示，這是由于“本季度更高的股票薪酬和相關稅收影響”。[2022/8/16 12:27:31]

根據慢霧區塊鏈被黑事件檔案庫統計，2022年DeFi安全事件共183起，損失高達20.75億美元，占比2022年總損失約55%。其中，BNBChian上發生安全事件約79起，總損失金額約7.85億美元，居各鏈平臺損失金額第一位。而Ethereum上發生安全事件約50起，總損失金額約5.28億美元，其次是Solana上發生安全事件約11起，總損失金額約1.96億美元。2022年跨鏈橋安全事件共16起，損失高達12.12億美元，占比2022年總損失的32%。2022年損失上億的安全事件共10件，跨鏈橋就占了4件，大多是由于私鑰泄露導致。2022年NFT賽道安全事件約56起，損失超6544萬美元，其中大部分是由釣魚攻擊導致，占比約為39%，其次是RugPull占比約為21%，由合約漏洞或自身原因導致占比30%。

前美國SEC委員Allison Lee已從SEC離職，曾倡導發展加密監管:金色財經報道，美國證券交易委員會（SEC）五名委員之一的Allison Lee已從SEC離職。其他委員在一份聯合聲明中表示：“Lee一直是強大和穩定市場的堅定倡導者，包括強調市場參與者需要保持最高的道德標準。”

Lee在美國證券交易委員會任職期間表示，委員會需要在加密監管方面“隨著不斷變化的技術而發展”，并表示政府機構應保持其原則。（Cointelegraph）[2022/7/16 2:17:11]

攻擊手法概覽

303起安全事件中，攻擊手法主要分為三類：由項目自身設計缺陷和各種合約漏洞引起的攻擊；包含RugPull、釣魚、Scam類型的手法；由私鑰泄露引起的資產損失。

釣魚/騙局手法

香港金管局：加密資產有需要納入監管框架:6月24日消息，據香港電臺，香港金管局副總裁劉應彬表示，部分穩定幣價格近期較為波動，是向市場發出清晰警號，顯示有關資產可能衍生的風險。劉應彬在一個論壇上提到，加密資產快速增長，目前占全球金融資產約2%，由于相關資產可以用作支付和交易、用途廣泛，與主流金融系統緊密聯系，不能低估相關挑戰，有需要納入監管框架。金管局計劃以“相同風險、相同監管”方法，規管相關機構和活動，過程將參考其他司法管轄區的做法。(金十)[2022/6/24 1:29:00]

此節選取部分SlowMist于2022年披露過的釣魚/騙局手法。

1、瀏覽器惡意書簽盜取DiscordToken

2、零元購NFT釣魚

3、RedlineStealer木馬盜幣

4、空白支票eth_sign釣魚

5、尾號相同空投騙局

6、TransferFrom零轉賬騙局

損失Top10安全事件

此節選取了2022年損失Top10的安全事件。

1、RoninNetwork損失超6.1億美元

2、BNBChain遭到漏洞利用

3、Wormhole損失超3億美元

4、BeanstalkFarms遭閃電貸和提案攻擊

5、Wintermute損失1.6億美元

6、Nomad橋遭受黑客攻擊

7、Elrond出現安全漏洞

8、Mango因價格操縱被提取1億美元

9、Harmony損失超1億美元

10、Qubit遭攻擊損失8000萬美元

三、部分安全事件反洗錢分析

工具和方法

1、工具：MistTrack

MistTrack反洗錢追蹤系統?是一套由慢霧科技創建的專注于打擊加密貨幣洗錢活動的SaaS系統，具有資金風險評分模塊、交易行為分析模塊、資金溯源追蹤模塊、資金監控模塊等核心功能。

通過標記1千多個地址實體、2億多個地址標簽，10萬多個威脅情報地址，以及超過9000?萬個與惡意活動相關的地址，MistTrack為反洗錢分析和研究提供了全面的情報數據幫助。通過對任意錢包地址進行交易特征分析、行為畫像以及追蹤調查，MistTrack?在反洗錢分析評估工作中起到至關重要的作用。

2、方法：

從區塊鏈反洗錢資金態勢中我們可以看到很多被黑事件發生后，在ETH/BSC鏈上的資金都不約而同的流向了一片灰暗之地——Tornado.Cash，Tornado.Cash已成為ETH/BSC鏈上反洗錢的主戰場。我們將提出一個針對Tornado.Cash資金轉出的分析方法。

而在BTC鏈上，通過區塊鏈反洗錢資金態勢我們可以看到ChipMixer和Blender是黑客的常用洗錢平臺。Blender目前已被美國財政部制裁，ChipMixer流入洗錢資金量巨大，我們同樣需要提出一個針對ChipMixer資金轉出的分析方法。

反洗錢分析詳述

本小節使用MistTrack基礎分析工具對4起安全事件展開了反洗錢分析，通過反洗錢分析清晰闡述「攻擊手續費來源是什么」、「錢去了哪里」的問題，并創造性的提出了一種數據分析方法來分析Tornado.Cash和ChipMixer的提款。

四、展望

2023年在加密貨幣世界中我們還需要關注什么？

監管合規化加強對安全審計的關注擴容繼續升溫，多鏈和諧共存反洗錢與鏈上追蹤分析加強對備份的關注零知識證明：擴容與隱私

五、寫在最后

本次報告內容基于我們對區塊鏈行業的理解、慢霧區塊鏈被黑檔案庫SlowMistHacked以及反洗錢追蹤系統MistTrack的數據支持。但由于區塊鏈的「匿名」特性，我們在此并不能保證所有數據的絕對準確性，也不能對其中的錯誤、疏漏或使用本報告引起的損失承擔責任。同時，本報告不構成任何投資建議或其他分析的根據。本報告中若有疏漏和不足之處，歡迎大家批評指正。

縱覽整個2022，「動蕩」一詞貫穿全年。盡管仍有暴雷的余震回蕩，盡管我們正在經歷寒冬，但任何事物都無法改變區塊鏈發展的方向，只有如履薄冰，認真做有利于行業發展的事情才能穩固長久。無論如何，我們仍期待著區塊鏈行業在2023年的發展。

Tags：區塊鏈加密貨幣MISTIST銀行區塊鏈幣有什么用穩定幣和加密貨幣哪個好mist幣怎么質押Chainlist

FTT