慢霧科技發布《2022區塊鏈安全與反洗錢分析年度回顧》報告,聚焦于2022年區塊鏈行業所發生的重大事件,介紹區塊鏈行業各賽道的安全狀況,延伸并提煉出常見攻擊手法,并披露其中幾種釣魚手法。接著對部分安全事件的被盜資金流向進行分析,并通過歸納總結,公布一種針對混幣器資金追蹤的高級分析方法。
由于篇幅限制,這里僅羅列分析報告中的關鍵內容,完整內容可通過?PDF下載。
一、背景
本節分為區塊鏈安全及反洗錢兩部分。
區塊鏈安全
根據慢霧區塊鏈被黑事件檔案庫統計,2022年安全事件共303件,損失高達37.77億美元。
相比2021年的97.95億美元下降約61%,但這并不包括因市場動蕩而損失的資產。
委內瑞拉封鎖超75個因加密貨幣相關活動的賬戶:金色財經報道,根據委內瑞拉法律公司Legalrocks的數據,自2021年底以來,超過75個賬戶被委內瑞拉私人銀行封鎖,原因是為加密貨幣到法幣以及法幣到加密貨幣的轉換提供便利。同樣,通過未經Sunacrip(國家加密貨幣資產監管局)授權的加密貨幣交易所進行的交易,也可能被金融當局認為是可疑的,并有理由進行調查。[2022/12/28 22:12:21]
其中各生態DeFi、跨鏈橋、NFT等安全事件255起,交易所安全事件10起,公鏈安全事件11起,錢包安全事件6起,其他類型安全事件21起。
區塊鏈反洗錢
匿名性與不可逆是加密貨幣交易的天然屬性,正是這樣的原因,在加密貨幣犯罪頻發的情況下,區塊鏈反洗錢處于一個至關重要的位置,也是阻止黑客成功變現的最后防線。面對黑客無孔不入的威脅,不同的群體也不約而同的「組建」起反洗錢同盟,其中包括交易平臺/資金管理平臺/項目方、監管方和區塊鏈安全公司。2022上半年這些群體的反洗錢動態如何?在反洗錢分析過程中,始終存在著幾個核心的問題:發起攻擊的手續費來自哪里?洗錢的資金去了哪里?詳情見文末的PDF文件內容。
Rango Exchange已集成Celer IM框架,以實現一鍵式跨鏈:據官方消息,Rango Exchange成功地將Celer消息跨鏈(Celer IM)框架集成至其跨鏈DEX聚合器,為用戶提供無縫的跨鏈體驗。通過此次集成,Rango的用戶只需一鍵點擊,即可通過一筆交易將一條鏈上的A資產跨鏈交換為另一條鏈上的B資產。[2022/8/25 12:46:38]
二、區塊鏈安全現狀
本節分為區塊鏈生態安全概覽、攻擊手法、釣魚/騙局手法及損失Top10安全事件四部分。
區塊鏈生態安全概覽
2022年最令人訝異的莫過于Terra事件了。5月8日,加密貨幣市場上出現了史上最具破壞性的一次崩盤。Terra網絡的算法穩定幣UST出現了2.85億美元的巨額拋售,引發了一系列連鎖反應。Terra的原生代幣LUNA的價格突然毫無征兆的連續跳崖式暴跌,一天時間,LUNA市值蒸發了近400億美元,全生態項目TVL也幾乎歸零。此次事件或許成為了開啟2022加密寒冬的死亡按鈕。
巴西金融科技公司Nu Holdings二季度新增客戶達570萬名:金色財經報道,巴西數字銀行Nubank的母公司、巴西金融科技公司Nu Holdings在第二季度增加了570萬客戶,使用其服務的個人和企業數量達到6530萬。Nu在7月涉足加密貨幣領域,其Nucripto平臺推出后三周內就增加了100萬客戶,Nu Holdings在巴西擁有最大的業務,但第二季度在墨西哥和哥倫比亞增加了近700,000名客戶。
此外,Nu Holdings第二季度的凈虧損增至2990萬美元,而2021年同期為1520萬美元。該公司在收益中表示,這是由于“本季度更高的股票薪酬和相關稅收影響”。[2022/8/16 12:27:31]
根據慢霧區塊鏈被黑事件檔案庫統計,2022年DeFi安全事件共183起,損失高達20.75億美元,占比2022年總損失約55%。其中,BNBChian上發生安全事件約79起,總損失金額約7.85億美元,居各鏈平臺損失金額第一位。而Ethereum上發生安全事件約50起,總損失金額約5.28億美元,其次是Solana上發生安全事件約11起,總損失金額約1.96億美元。2022年跨鏈橋安全事件共16起,損失高達12.12億美元,占比2022年總損失的32%。2022年損失上億的安全事件共10件,跨鏈橋就占了4件,大多是由于私鑰泄露導致。2022年NFT賽道安全事件約56起,損失超6544萬美元,其中大部分是由釣魚攻擊導致,占比約為39%,其次是RugPull占比約為21%,由合約漏洞或自身原因導致占比30%。
前美國SEC委員Allison Lee已從SEC離職,曾倡導發展加密監管:金色財經報道,美國證券交易委員會(SEC)五名委員之一的Allison Lee已從SEC離職。其他委員在一份聯合聲明中表示:“Lee一直是強大和穩定市場的堅定倡導者,包括強調市場參與者需要保持最高的道德標準。”
Lee在美國證券交易委員會任職期間表示,委員會需要在加密監管方面“隨著不斷變化的技術而發展”,并表示政府機構應保持其原則。(Cointelegraph)[2022/7/16 2:17:11]
攻擊手法概覽
303起安全事件中,攻擊手法主要分為三類:由項目自身設計缺陷和各種合約漏洞引起的攻擊;包含RugPull、釣魚、Scam類型的手法;由私鑰泄露引起的資產損失。
釣魚/騙局手法
香港金管局:加密資產有需要納入監管框架:6月24日消息,據香港電臺,香港金管局副總裁劉應彬表示,部分穩定幣價格近期較為波動,是向市場發出清晰警號,顯示有關資產可能衍生的風險。劉應彬在一個論壇上提到,加密資產快速增長,目前占全球金融資產約2%,由于相關資產可以用作支付和交易、用途廣泛,與主流金融系統緊密聯系,不能低估相關挑戰,有需要納入監管框架。金管局計劃以“相同風險、相同監管”方法,規管相關機構和活動,過程將參考其他司法管轄區的做法。(金十)[2022/6/24 1:29:00]
此節選取部分SlowMist于2022年披露過的釣魚/騙局手法。
1、瀏覽器惡意書簽盜取DiscordToken
2、零元購NFT釣魚
3、RedlineStealer木馬盜幣
4、空白支票eth_sign釣魚
5、尾號相同空投騙局
6、TransferFrom零轉賬騙局
損失Top10安全事件
此節選取了2022年損失Top10的安全事件。
1、RoninNetwork損失超6.1億美元
2、BNBChain遭到漏洞利用
3、Wormhole損失超3億美元
4、BeanstalkFarms遭閃電貸和提案攻擊
5、Wintermute損失1.6億美元
6、Nomad橋遭受黑客攻擊
7、Elrond出現安全漏洞
8、Mango因價格操縱被提取1億美元
9、Harmony損失超1億美元
10、Qubit遭攻擊損失8000萬美元
三、部分安全事件反洗錢分析
工具和方法
1、工具:MistTrack
MistTrack反洗錢追蹤系統?是一套由慢霧科技創建的專注于打擊加密貨幣洗錢活動的SaaS系統,具有資金風險評分模塊、交易行為分析模塊、資金溯源追蹤模塊、資金監控模塊等核心功能。
通過標記1千多個地址實體、2億多個地址標簽,10萬多個威脅情報地址,以及超過9000?萬個與惡意活動相關的地址,MistTrack為反洗錢分析和研究提供了全面的情報數據幫助。通過對任意錢包地址進行交易特征分析、行為畫像以及追蹤調查,MistTrack?在反洗錢分析評估工作中起到至關重要的作用。
2、方法:
從區塊鏈反洗錢資金態勢中我們可以看到很多被黑事件發生后,在ETH/BSC鏈上的資金都不約而同的流向了一片灰暗之地——Tornado.Cash,Tornado.Cash已成為ETH/BSC鏈上反洗錢的主戰場。我們將提出一個針對Tornado.Cash資金轉出的分析方法。
而在BTC鏈上,通過區塊鏈反洗錢資金態勢我們可以看到ChipMixer和Blender是黑客的常用洗錢平臺。Blender目前已被美國財政部制裁,ChipMixer流入洗錢資金量巨大,我們同樣需要提出一個針對ChipMixer資金轉出的分析方法。
反洗錢分析詳述
本小節使用MistTrack基礎分析工具對4起安全事件展開了反洗錢分析,通過反洗錢分析清晰闡述「攻擊手續費來源是什么」、「錢去了哪里」的問題,并創造性的提出了一種數據分析方法來分析Tornado.Cash和ChipMixer的提款。
四、展望
2023年在加密貨幣世界中我們還需要關注什么?
監管合規化加強對安全審計的關注擴容繼續升溫,多鏈和諧共存反洗錢與鏈上追蹤分析加強對備份的關注零知識證明:擴容與隱私
五、寫在最后
本次報告內容基于我們對區塊鏈行業的理解、慢霧區塊鏈被黑檔案庫SlowMistHacked以及反洗錢追蹤系統MistTrack的數據支持。但由于區塊鏈的「匿名」特性,我們在此并不能保證所有數據的絕對準確性,也不能對其中的錯誤、疏漏或使用本報告引起的損失承擔責任。同時,本報告不構成任何投資建議或其他分析的根據。本報告中若有疏漏和不足之處,歡迎大家批評指正。
縱覽整個2022,「動蕩」一詞貫穿全年。盡管仍有暴雷的余震回蕩,盡管我們正在經歷寒冬,但任何事物都無法改變區塊鏈發展的方向,只有如履薄冰,認真做有利于行業發展的事情才能穩固長久。無論如何,我們仍期待著區塊鏈行業在2023年的發展。
自Arbitrum開始火熱以來,每周都有新的DEX協議在Arbitrum上推出,但排名前4位的DEX表現如何.
1900/1/1 0:00:002022年,馬斯克收購推特并進行高調改造、推特用戶遭遇大規模泄露等熱點,進一步加深了了對中心化社交媒體的數據安全和壟斷等方面的詬病,用戶對去中心化社交媒體或工具的需求變得更加迫切.
1900/1/1 0:00:00如果Web3要依賴中心化市場,那么它需要找到管理交易對手風險的方法。這一年發生的事情在提醒我們,Web3的推廣仍然需要中心化市場,但「理想很豐滿,現實很骨感」.
1900/1/1 0:00:00本文是AztecNetwork獲得1億美金B輪融資的官方公告,MarsBit編譯如下: AztecNetwork宣布由a16zcrypto領投的1億美元B輪融資.
1900/1/1 0:00:00相比于?Aptos、Sui,同樣是被?a16z押注的Diem?繼承者Linera?節奏一直相對緩慢,于今年6月底獲得?a16z?領投的600萬美元融資后,今日才正式發布項目白皮書.
1900/1/1 0:00:00正文開始 當用戶登錄到web2服務時需要使用用戶名或電子郵件地址和密碼。然而以太坊登錄將會改變這一方式。通常在登錄“web2”服務時,我們需要使用用戶名或電子郵件地址和密碼.
1900/1/1 0:00:00