2021 年,对区块链行业来说,是跌宕起伏的一年,尽管如此,区块链凭借其去中心化、开放透明的特性,在行业内外的努力下,仍取得了良好的成绩。同时,继 DeFi 之后,全球用户、媒体对 NFT、元宇宙的疯狂热潮,将区块链带到了前所未有的高度。这一年到底发生了什么?本文将从区块链市场发展及典型安全事件切入,带你一探究竟。
政策、合规、监管
从国内环境看,一方面政府加大对区块链技术的研发和应用的重视程度,工信部指出到 2025 年区块链等设施服务能力显著增强;另一方面,政府继续收紧对加密货币的监管。9 月,多部门发布了《关于进一步防范和处置虚拟货币交易炒作风险的通知》、发改委等部门联合发布了《关于整治虚拟货币“挖矿”活动的通知》。相关材料显示,2021 年国家层面出台的涉及区块链相关内容的政策文件,内容覆盖高校科研、人才培育、技术应用标准、知识产权、数字农业、航运交通、疫情防控、网络安全、社会救助、数字文化产业等方面。
从国外环境看,各国政府仍对加密货币持续关注,对加密货币的监管逐步完善、政策也逐步放开。全球反机构金融行动特别工作组发布加密货币最新监管指南;韩国首尔将打造公共服务“元宇宙平台”;美国德州虚拟货币法案已正式生效;比特币正式成为萨尔瓦多法定货币;乌克兰议会通过虚拟资产法案等。
可以看出,全球各政府对区块链的重视程度进一步提升,区块链作为“新基建”的重要组成部分,正在被越来越多的主流机构拥抱。
技术、应用、经济
我国“区块链+产业”同样稳步发展,各类落地应用项目不断涌现。全国首个区块链知识产权保护工作站揭牌成立;广东省发放全国首张公共数据资产凭证。巨头公司也加入赛道:华为公开“安全芯片及处理方法”专利、腾讯云区块链发布三款产品、百度新增“区块链系统升级方法、装置、设备及存储介质”专利;中国移动通信联合会元宇宙产业委员会正式成立;中国区块链专利申请量全球第一,占比约 63%;商务部表示推动区块链等新技术标准化应用等。
2021 年,区块链底层技术也实现了关键突破。以太坊预计将在 2022 年 Q2 合并,V 神等人提出 EIP-4488 旨在降低以太坊二层扩容解决方案的 Gas;以太坊 Layer2 扩容方案 Arbitrum ?将推出基于? WASM 的新版本 Nitro;8 月 5 日以太坊完成伦敦升级。
区块链技术就是一把双刃剑,其去中心化、匿名性、不可篡改等特性在促进产业进步的同时,引发的区块链安全问题也显著增加,加密货币犯罪五花八门,、、盗窃、贩、挖矿犯罪等案件频发。
据慢雾科技区块链被黑档案数据不完全统计,截止发文前,2021 年区块链生态被公开的区块链安全事件共 231 起,损失超 98 亿美元。
报告:加密市场的托管业务2022年仍保持在4479亿美元的水平:金色财经报道,普华永道 (PwC) 和财富科技平台Aspen Digital于7月11日发布发布关于数字资产托管状况联合报告。报告显示,加密资产在2021年11月达到顶峰,市值达到超过3万亿美元。然而,加密市场的托管业务2022年仍保持在4479亿美元的水平。?截至2023年4月,托管服务提供商数量为 120 家,将其分为两大类:第三方服务提供商和自助托管解决方案。包括以太坊合并导致对加密货币质押兴趣的上升,以及NFT和元宇宙的出现,吸引了机构投资者。
报告称,由于缺乏适当的治理、风险管理和内部控制,托管行业面临的主要挑战是安全。托管商面临的另一个挑战在于保险政策领域。自托管解决方案不提供保险服务,用户因疏忽而造成的数字资产损失不会得到赔偿。据家族办公室人士透露,健全的保险政策是选择数字资产托管机构的重要标准。[2023/7/11 10:48:36]
(来源:hacked.slowmist.io)
其中各生态 DApp、DeFi 等安全事件 170 起,交易所安全事件 15 起,公链安全事件 8 起,钱包安全事件 3 起,其他类型安全事件 35 起。
自 2018 年以来,总体损失走势还是升高的。
下面带大家来回顾典型事件,同时对每类事件附上慢雾观点。虽然本文列举的仅是冰山一角,但具有很大的代表性。
BSV?遭?51% 攻击
8 月 4 日,BSV 疑似遭受到 51% 攻击,近 100 个区块发生重组。
ETC 主网遭遇分叉
9 月 4 日,Ethereum Classic (ETC)发推称,因以太坊客户端 Geth 漏洞导致 ETC 主网遭遇分叉。
Solana 的主网 Beta 版遭拒绝服务攻击
9 月 14 日,公链 Solana 的主网 Beta 版自北京时间 19:52 开始出现不稳定状况,9 月 21 日,Solana 官方发布网络中断初步概述:Solana 网络离线 17 个小时,没有资金损失,网络在 24 小时内恢复了全部功能。网络停滞的原因是拒绝服务攻击。UTC 时间 12:00,Grape Protocol 在 Raydium 上启动 IDO,机器人生成的交易使网络拥堵。这些交易造成了内存溢出,导致许多验证节点崩溃,迫使网络变慢并最终停止。
THORChain发布2022年第一季度财报,财政收入超2亿美元:4月1日消息,THORChain发布2022年第一季度财报,2022年第一季度THORChain财政收入为2.17亿美元,且所有负债已全部偿还或担保。目前协议拥有1.73亿枚RUNE(约21亿美元)的储备,计划于2022年7月全部投入使用,其中1.13亿枚RUNE已部署至网络,剩余的6000万枚RUNE将用于向协议准备金等供款。(Medium)[2022/4/1 14:31:28]
慢雾观点
公链安全漏洞虽造成损失较小,但对整个链生态的影响巨大。所以公链在上线前一定要经过专业的安全审计。建议公链团队与可信且职业的安全团队进行深入合作,部署因地制宜的安全建议,将引起安全问题的可能性降到最低,从而保障整个公链的安全。
Cryptopia 再次遭黑客入侵
2 月 20 日,新西兰交易所 Cryptopia 再次遭黑客入侵,调查显示,黑客访问了一个钱包,该钱包自 2019 年 1 月黑客入侵以来一直处于休眠状态。该钱包属于 Stakenet,由 Cryptopia 的清算人 Grant Thornton 控制。根据调查结果,休眠的钱包持有价值约 196 万美元的 Xtake,这是 Stakenet 的原生代币。
Liquid?热钱包遭攻击
8 月 19 日,日本加密交易平台 Liquid 称其热钱包遭到攻击。慢雾 AML 团队利用旗下 MistTrack 反追踪系统分析统计,Liquid 共计损失约 9,135 万美元(按事发当天价格计),被盗币种涉及 BTC、ETH、ERC20 代币、TRX、TRC20 代币、XRP 等超 70 种,币种之多,数额之高,令人惊叹。
交易所安全问题已经成为交易所和用户关注的首要问题,甚至成为决定交易所存亡的关键。尤其今年第四季度各种交易所接连遭攻击,损失十分惨重。
交易所频受攻击,原因如下:(1)交易所聚集大量资金,一直是黑客觊觎的对象;(2)交易所多数情况下防御脆弱,容易产生安全漏洞,容易被黑客从薄弱点切入(3)用户缺乏足够的安全意识;(4)内部作案。
针对交易所,建议各大交易所健全内部管理与技术机制,通过引入安全审计机制、零信任机制、冷热资产安全解决方案等来加强对数字资产的安全保障。同时,积极迎接监管。针对用户,一定要加强安全意识,无论任何时候都不要把私钥泄露给任何人,同时,认准官方平台,避免钓鱼事件的发生。
Ledger 钱包多次发生泄露事件
6 月 18 日,比特币硬件钱包提供商 Ledger 提醒用户称,近期发生了一系列利用伪造 Ledger 硬件钱包取用户资产的新型局,部分一年前信息遭到泄露的用户收到要求用户更换硬件钱包的包裹,该包裹包括一份伪造的官方信件及一个被篡改过的 Ledger 硬件钱包。Ledger 表示,信中关于「需要更换现有的硬件钱包来保护你的资金」为局,附赠的 Ledger Nano 也是假的,如用户按照信中说明输入种子单词,用户的加密资产将会被盗。
报告:2021年至今已检测到超1500个针对潜在加密投资者的欺诈性网站:网络安全公司卡巴斯基表示,自2021年初以来,该公司发现了超过1500个欺诈性的网站,这些网站的目标是对加密货币挖矿感兴趣的潜在加密投资者或用户。在此期间,该公司阻止了超过7万名用户试图访问这些网站。该公司在一份报告中详细介绍了网络犯罪分子针对这类用户使用的最常见的手法。根据该报告,网络罪犯倾向于创建虚假的加密货币交易网站,以瞄准潜在的加密货币投资者。在这种情况下,据称用户会在加密交易所获得一张充值优惠券。然而要使用它,他们必须进行通常不超过0.005比特币(约200美元)的验证支付,这就成了网络罪犯的利润。(The Hindu Business Line)[2021/8/22 22:29:55]
多个 Chivo 钱包被盗
Chivo 钱包是萨尔瓦多政府为推行比特币法案而在 9 月 7 日发布的国家级数字钱包,为此,萨尔瓦多承诺,下载并认证的 Chivo 钱包用户将获得 30 美元的比特币奖励。此举使这个萨尔瓦多官方钱包在 1 个月内的用户量超过 200 万人。然而,在 10 月 9 日至 10 月 14 日期间,萨尔瓦多的人权组织 Cristosal 收到了 755 份关于萨尔瓦多人报告 Chivo 钱包身份被盗的通知。
虽然今年与钱包本身相关的事件数量有所下降,但因下载假钱包 App 被盗的事件数量却十分庞大。据慢雾?11 月份的报告,假钱包 App 已致上万人被盗,损失高达十三亿美元。树立安全意识、掌握正确方法才能真正保护你的资产。首先,认准官方网站,不要点击除官方外的链接;其次,做好钱包备份并妥善保管好私钥助记词;最后,时刻保持怀疑之心,天下没有免费的午餐。
DApp、DeFi、NFT、跨链
(1)ETH 生态
SushiSwap 再次遭攻击
1 月 27 日,SushiSwap 再次遭遇攻击,损失 81 ETH。本次攻击和 SushiSwap 第一次攻击类似,都是通过操控交易对的兑换价格来产生获利。这次的攻击利用了 DIGG 本身没有对 WETH 交易对,而攻击者创建了这个交易对并操控了初始的交易价格,导致手续费兑换过程中产生了巨大的滑点,攻击者使用少量的 DIGG 和 WETH 提供初始流动性即可获取巨额利润。
SIL 被盗后追回 1215 万美元
3 月 19 日,DeFi 聚合理财服务 SIL.Finance 合约出现高危漏洞。后 SIL.Finance 发文称,此次事件是由智能合约权限漏洞引起的,该漏洞继而触发了一个通用抢先交易机器人提交一系列交易以获利。在发现智能合约因存在高危漏洞而无法提现后,经过慢雾等多方 36 小时的努力,已经成功追回 1215 万美元。
Circle CEO:USDC流通量将达到40亿 2020年增幅达800%:Circle联合创始人兼CEO Jeremy Allaire在推特上表示,USDC流通量将达到40亿,12月增加了10亿美,2020年增长了800%。[2021/1/1 16:12:52]
(2)BSC 生态
Compound?漏洞与提案
9 月 30 日,去中心化借贷协议 Compound 通过推特确认,在执行 62 号提案后,该协议的流动性挖矿出现 COMP 代币分发异常情况,Compound Labs 和社区成员正在进行调查 。Compound 表示,存款和借款资金目前未发现存在风险。Compound 创始人 Robert Leshner 表示,出现的问题看起来是根据 62 号提案进行 COMP 代币分发的速率初始设定出错,导致过多 COMP 代币被分发。10 月 4 日,就在 Compound 试图修补漏洞时,另外一笔价值 6880 万美元的 COMP 代币(共计 202472 枚 COMP)因为 drip() 函数的调用而被打入了已经存在漏洞的流动性挖矿代币分发合约。
Cream Finance 三遭攻击
10 月 27 日,DeFi 借贷协 Cream Finance 遭受攻击,损失约 1.3 亿美元。被盗的资金主要是 Cream LP 代币和其他 ERC-20 代币。据悉,这是有史以来第三大 DeFi 黑客攻击。此外,Cream Finance 此前曾多次遭受闪电贷攻击,2 月份损失 3750 万美元,8 月份又损失 1900 万美元。
(3)EOS 生态
flash.sx 智能合约遭重入攻击
自 5 月 14 日 11:28 UTC 开始,flash.sx 闪电贷智能合约遭受到 ”re-entry” 攻击漏洞,相继有大约 120 万 EOS 和 46.2 万 USDT 被盗。据官方消息,EOS Nation 旗下闪电贷被黑客攻击后,项目方发起提案直接更改了黑客 EOS 账号权限转回资产。
PIZZA 遭黑客攻击
12 月 8 日下午 8 点,黑客账户 itsspiderman 利用溢出漏洞在 eCurve 凭空增发 tripool 做市凭证,在 PIZZA 质押并借出协议中的绝大部分代币。事后黑客创建 一百三十余万账户并将盗窃资产分散。PIZZA 协议在本次攻击中的损失约折合 500 万美元。
(4)Polygon 生态
算法稳定币项目 SafeDollar 遭攻击
6 月 28 日,Polygon 上算法稳定币项目 SafeDollar 疑似遭到黑客攻击,一份未经证实的合约似乎抽走了 25 万美元的 USDC 和 USDT。
报告:2020年上半年比特币表示优于股市:金色财经报道,根据Arcane Research发布的2020年上半年加密市场报告,尽管存在全球不确定性,但在同一时期,比特币仍然跑赢股市。在经历3月12日黑色星期四后,比特币的强劲复苏使其价格回到了今年2月的水平,其表现优于标普500指数和纳斯达克指数。此外,纳斯达克指数也超过了今年2月以来的历史最高点,但标普500指数在崩溃后并未完全恢复,截止2020年上半年下跌了4%。报告还认为,比特币被用作对冲通胀的避险工具,而不是许多加密货币投资者认为的避险资产。随着美联储继续实施量化宽松,股票也被用作通胀对冲。[2020/7/10]
PolyYeld Finance 合约遭利用
收益耕作协议 PolyYeld Finance 遭到攻击,项目合约被利用铸造了 4.9 万亿个 YELD 代币并在二级市场进行倾销。
(5)HECO 生态
HSO 卷走 3 万 HT 跑路
3 月 10 日,火币生态链 HECO 上的预言机项目 HSO 进行 IDO 后卷走 3 万 HT 跑路,网站、Telegram 均无法打开。后在 HECO 核心代码贡献团队星辰实验室、HECO 技术社区与 HECO 白帽安全联盟等有关各方的全力推动下,已追回 24823 枚 HT。
XDX Swap 遭攻击
7 月 2 日,Heco 链上跨链去中心化交易所 DDEX 上 XDX Swap(DDEX)遭到攻击,攻击者获利 85.17 ETH (约 17.6 万美元)并将其全部跨链至以太坊。DDEX 代码疑似存在后门。在 DDEX 及星辰实验室、HECO 白帽安全联盟等方面的支持和配合下,XDX Swap 陆续追回涉及此次攻击事件中的大部分资金,总价值超过 500 万美元。
(6)其他生态
NEAR 生态 Ref.Finance 因合约错误被利用
8 月 15 日,NEAR 生态 Ref.Finance 团队发推称,UTC 时间 8 月 14 日下午 2 点左右,Ref 团队注意到 REF-NEAR 交易对的异常行为,随即发现最近所部署合约的修补程序中的一个错误,且该错误已被多个用户利用,致使约 100 万枚 REF 和 58 万枚 NEAR 受到影响。
Solana 生态 Solend 遭到黑客攻击
8 月 19 日,Solana 生态借贷协议 Solend 发推称,协议于北京时间 8 月 19 日 20:40 遭到黑客攻击,攻击者破解了 UpdateReserveConfig 函数中对不安全身份的检查,使得其可以清算所有账户。此外,黑客还将借入资金的 APY 设置为了 250%。此期间,有 5 名用户的资金被误清算。Solend 表示,本次攻击没有造成资金被盗的情况,之后将提高漏洞赏金的规模并建立更好的监控和报警系统。
波卡生态 IDO 平台 Polkatrain 被套利
4 月 5 日,波卡生态 IDO 平台 Polkatrain 发生事故,据慢雾分析,本次出现问题的合约为 Polkatrain 项目的 POLT_LBP 合约,该合约有一个 swap 函数,并存在一个返佣机制,当用户通过 swap 函数购买 PLOT 代币的时候获得一定量的返佣,该笔返佣会通过合约里的 _update 函数调用 transferFrom 的形式转发送给用户。由于 _update 函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用 swap 函数进行代币兑换来薅取合约的返佣奖励。
Avalanche 链上借贷协议 Vee.Finance 被盗
9 月 20 日,Avalanche 链上借贷协议 Vee.Finance 团队注意到多次异常转账,经过进一步监控,共有 8804.7 ETH 和 213.93 BTC 被盗(总价值超 3500 万美元)。稳定币部分不受此次攻击影响。
Fantom 链上 GrimFinance 遭闪电贷攻击
12 月 19 日,Fantom 链上复合收益平台 GrimFinance 遭遇闪电贷攻击,损失已超 3000 万美元。攻击者使用 GrimFinance 的保险库策略中名为「beforeDeposit()」的函数进行攻击,输入恶意 Token 合约。
(7)跨链系统
跨链交易协议 THORChain 三遭攻击
6 月 29 日,THORChain 遭 “假充值” 攻击,损失近 35 万美元;7 月 16 日,THORChain 二次遭 “假充值” 攻击,损失近 800 万美元;7 月 23 日,THORChain 再三遭攻击,损失近 800 万美元。
跨链桥 Chainswap 被盗影响多个平台
7 月 11 日,跨链桥项目 Chainswap 再次遭到黑客攻击,在该桥梁部署智能合约的超 20 个项目代币都遭遇黑客盗取,预计总损失为 400 万美元,几乎酿成 DeFi 史上影响范围最大的一次安全事故。根据?Chainswap 调查,由于代币跨链配额代码中的错误,链上交换桥配额由签名节点自动增加,其目的是在无需人工控制的情况下更加去中心化。但是,由于代码中的逻辑缺陷,这导致了通过允许未列入白名单的无效地址自动增加数量的漏洞。此前在 7 月 2 日,Chainswap 也曾遭遇黑客攻击,部分用户代币被主动从与 ChainSwap 交互的钱包中取出,预计总损失为 80 万美元。
Poly Network 6.1 亿美元被盗后被归还
发生在 8 月 10 日的 Poly Network 攻击事件可能是史上涉及金额最大的一起网络安全事件,超过 6.1 亿美元的加密资产在 15 天内被盗并被归还。整个区块链行业及所有相关方,和 Poly Network 一起经历了这跌宕起伏的过程。目前所有涉及资产已经全部归还用户,系统功能已经基本恢复至事件前水平。
(8)NFT
NFT 欺诈蔓延
8 月 2 日,一个名为「cryptopunksbot」的子在 CryptoPunk 的 Discord 服务器上发布,为 NFT 投资者提供赢得 10 个 NFT 头像的机会。NFT 项目创始人 Stazie 因接受了虚假报价的海报,而失去了 16 个 CryptoPunk,价值至少 100 万美元。随后欺诈者以 149 ETH(385,000 美元)的价格出售了 5 个 CryptoPunk。
自 DeFi 诞生以来,就伴随着无数的风险。尽管现在许多 DeFi 项目价值一直在爆炸式的翻倍增长,但被黑事件也愈演愈烈。经慢雾统计,DeFi 通常存在以下攻击方式:(1)闪电贷攻击;(2)合约漏洞;(3)兼容性或架构问题;(4)私钥泄露或前端攻击;(5)内部作案,跑路。
对项目方来说,想要尽可能的消除漏洞、降低安全风险,就必须做出有效的努力——在项目上线之前,对其进行全面深入的安全审计。同时,建议各 DeFi 项目方通过引入多签机制来加大资产保护的力度。另一方面,各 DeFi 项目在进行协议间交互时,需要做好协议之间的兼容性,开发者在移植其他协议的代码时,需充分了解移植协议的架构以及自己项目的架构设计,防止资金损失情况的发生。对用户来说,随着区块链领域的玩法愈发多样化,用户在进行投资前认真了解项目背景,查看该项目是否有开源、是否经过审计,在参与项目时需要提高警惕,注意项目风险。
勒索
5 月 7 日,全美最大油气输送管道运营商 Colonial Pipeline 遭到勒索软件定向攻击而被迫暂停营运,之后支付 75 枚比特币,超过 4 百万美元的赎金,才得以让营运恢复正常。此次勒索攻击由于涉及到国家级关键基础设施,故而引起了全球的震动和广泛关注。针对此事件,美国司法部官员表示,已成功追讨回超过 200 万美元的赎金。不过,美国政府官员没有具体说明「如何取得私钥、收回赎金」的详细过程,仅表示这项行动展现了美国将不遗余力应对勒索攻击。
8 月 20 日,俄罗斯最大的加密货币局之一的创始人已入狱,罪名是涉嫌从其投资者那里取超过 15 亿美元。Finiko 于 2019 年在喀山市成立,并冒充一家合法的 BTC 投资公司。2020 年 12 月,Finiko 发布了其原生加密货币 FNK。根据当地报道,创始人将从投资者那里拿走 BTC 并奖励他们 FNK 代币。
钓鱼
10 月 15 日,Sophos 发布的报告称,加密欺诈应用 CryptoRom 通过利用“超级签名服务”及苹果开发者企业计划窃取 140 万美元。迄今为止,与该局相关的比特币地址已发送超过 139 万美元,并且可能还有更多地址与该局有关。报告称,大多数受害者是 iPhone 用户。该报告称,CryptoRom 绕过 App Store 的所有安全检查,并且每天都保持活跃。报告还表示,苹果“应该就通过临时分发或通过企业配置系统安装应用程序警告用户,这些应用程序未经苹果审查。”
区块链在大力发展的过程中,各种打着区块链名号的新型投资局,也如雨后春笋般层出不穷。以勒索软件为例,美国财政部金融犯罪执法网络发布的一份报告指出,2021 上半年发生的与勒索软件相关的交易,已经达到了 5.9 亿美元。慢雾在此提醒用户,不要打开来历不明的邮件附件,仔细辨别钓鱼网站,始终持有怀疑谨慎的态度,有效利用杀软件。
尽管现在许多以 BTC 为代表的加密货币的市值一直在翻新高,区块链行业当前发展态势整体越来越好,但加密货币犯罪随之也更猖獗。从统计数据来看,发生安全事件次数较多、金额损失较大的月份主要在 4 月、6 月和 8 月;从各生态来看,以太坊上损失最多,超 13 亿美元,其次是 BSC 生态;从攻击领域来看,受攻击较多的是交易所和 DeFi。
对项目方来说,建议健全内部管理与技术机制,内部安全人员及时对安全相关内容查漏补缺。最重要也是最有效的方式——在项目上线之前,对其进行全面深入的安全审计,将引起安全问题的可能性降到最低。
对用户来说,正确和理性看待区块链,树立正确的货币观念和投资理念,切实提高风险防范意识。比如在投资前要注意智能合约有没有开源、平台本身有没有安全审计,最重要的是一定要保管好自己的私钥助记词,不要泄露给任何人。
最后,期待区块链新的一年能迸发出更大的能量,出现更多的落地应用,创造更大的价值。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。