前言
隨著數(shù)字化進(jìn)程的不斷深入,區(qū)塊鏈技術(shù)已成為許多領(lǐng)域的重要驅(qū)動力�,它不僅為金融、醫(yī)療�����、物流等傳統(tǒng)行業(yè)帶來了顛覆性的變革�,而且也為參與者帶來了更加開放和透明的體驗(yàn)。然而�����,隨著區(qū)塊鏈技術(shù)的廣泛應(yīng)用,與之相關(guān)的安全問題也變得愈發(fā)嚴(yán)峻�。近年來,區(qū)塊鏈安全事件頻發(fā)��,不僅對個人和企業(yè)造成了巨大損失���,而且也對區(qū)塊鏈技術(shù)的發(fā)展帶來了挑戰(zhàn)��。
本報告對2023年上半年的區(qū)塊鏈安全事件進(jìn)行梳理和分析��,旨在探究區(qū)塊鏈安全存在的隱患����,以及分析區(qū)塊鏈安全事件的成因���,并提出相應(yīng)的解決方案和建議。我們希望通過這份報告引起各方對區(qū)塊鏈安全問題的關(guān)注�����,共同推動區(qū)塊鏈技術(shù)的安全發(fā)展����,為數(shù)字化世界的未來奠定堅(jiān)實(shí)的基礎(chǔ)。
安全事件經(jīng)濟(jì)損失總覽
2023年上半年共發(fā)生主要攻擊事件192起,總損失金額約為9.2億美元�。
·Euler Finance閃電貸攻擊事件損失 1.97 億美元
·Blockchain for dog nose wrinkles詐騙項(xiàng)目造成損失 1.27 億美元
·BonqDAO & AllianceBlock操縱價格造成損失 1.2 億美元
·Atomic Wallet錢包被盜造成損失1億美元
- 損失金額在1000萬美元至1億美元區(qū)間的事件 12 起
- 損失金額在100萬美元至1000萬美元區(qū)間的事件 40 起。
攻擊手法分析總覽
根據(jù)分析安全事件使用的攻擊手法���,其中頻率最高的攻擊手法為Rug Pull與合約漏洞�,均為32次攻擊��。其次為閃電貸攻擊�����,共發(fā)生了20次��,占所有事件數(shù)量的14.93%�����。
在發(fā)生數(shù)量TOP8的攻擊手段中����,閃電貸損失金額最大,共造成2.5億美元的損失���。位于其后的是區(qū)塊鏈騙局�,雖然只發(fā)生了七次,但是造成的損失達(dá)2.3億美元�����。
而合約漏洞和Rug Pull雖然發(fā)生總數(shù)相對較多�,占所有攻擊手法的47.76%,但其造成的損失遠(yuǎn)不及前兩者�,僅有6649萬美元的損失。這些攻擊手段的高發(fā)生率和巨大的損失金額再次凸顯了加密貨幣市場中的風(fēng)險��。盡管區(qū)塊鏈技術(shù)有著很大的潛力和應(yīng)用前景��,但是它仍然面臨著安全風(fēng)險和技術(shù)挑戰(zhàn)���。
Rug Pull事件頻發(fā)�,其中75%的項(xiàng)目跑路金額在1000萬美元以下����、28%的項(xiàng)目跑路金額在100萬美元以下。這類項(xiàng)目通常官網(wǎng)�、推特�����、電報、Github等信息缺失���,沒有Roadmap或白皮書���,團(tuán)隊(duì)成員信息可疑,項(xiàng)目上線到最后跑路周期不超過三個月���。
此類安全事件帶來的損失����,不容忽視���,需要加強(qiáng)對項(xiàng)目背景的調(diào)查�,提高對陌生信息的防范意識���,以及通過提前預(yù)防����,從而提高防范能力����,避免損失的發(fā)生���。
安全事件被攻擊項(xiàng)目類型總覽
1 鏈上應(yīng)用
鏈上應(yīng)用(On-chain Application),也稱為去中心化應(yīng)用(Decentralized Application����,DApp),是構(gòu)建在區(qū)塊鏈或分布式賬本技術(shù)之上的應(yīng)用程序��。使用區(qū)塊鏈的特性和功能進(jìn)行數(shù)據(jù)存儲����、交易處理和智能合約執(zhí)行。
- 2023年上半年����,鏈上應(yīng)用共發(fā)生 157 次安全事件,占總事件數(shù)量的 81%�。鏈上應(yīng)用總損失金額達(dá)到了 7.4億 美元 ,占總損失金額的 79%���。鏈上應(yīng)用為這半年中被攻擊頻次最高�、損失金額最多的類型�。
- 鏈上應(yīng)用類型的安全事件在上半年六個月發(fā)生的頻率幾近相同,安全事件出現(xiàn)原因的前三分別是Rug Pull、合約漏洞�����、Twitter 被黑����。
建議:
- 項(xiàng)目方在設(shè)計����、構(gòu)建項(xiàng)目時充分考慮項(xiàng)目的安全性,在實(shí)現(xiàn)功能的同時考慮到校驗(yàn)功能是否會被繞過��、是否存在缺陷���,在項(xiàng)目上線前充分進(jìn)行安全審計��。
- 用戶投資鏈上應(yīng)用前盡量多方考察�、慎重決策��,謹(jǐn)慎投資���。
2 交易所
交易所(Exchange)是指提供數(shù)字資產(chǎn)買賣和交易服務(wù)的平臺或機(jī)構(gòu)���。它允許用戶以一種數(shù)字資產(chǎn)(如比特幣���、以太坊等)交換另一種數(shù)字資產(chǎn),或者以法定貨幣(如美元��、歐元等)購買或出售數(shù)字資產(chǎn)����。
- 2023年上半年,交易所是安全事件發(fā)生數(shù)量排名第二的類型����,上半年共發(fā)生11起交易所領(lǐng)域內(nèi)的安全事件,共造成了7318萬美元的損失�����。主要被攻擊原因?yàn)楹霞s漏洞����。
- 有關(guān)交易所的安全事件每個月都有發(fā)生。而且由于安全事件損失的金額也不在少數(shù)��。
建議:
- 用戶要小心處理釣魚和惡意鏈接:避免點(diǎn)擊不信任的鏈接����,尤其是通過電子郵件或社交媒體收到的鏈接��。
- 定期檢查賬戶活動��;不集中存儲所有資金;更新和保護(hù)設(shè)備���;選擇值得信任的安全公司進(jìn)行提前審計����。
3 公鏈/側(cè)鏈
公有鏈(Public Blockchain)簡稱公鏈���,是指全世界任何人都可隨時進(jìn)入讀取�、任何人都能發(fā)送交易且能獲得有效確認(rèn)的共識區(qū)塊鏈����。側(cè)鏈?zhǔn)瞧叫杏谥麈湹囊粭l區(qū)塊鏈,可以理解為是區(qū)塊鏈的一種擴(kuò)展協(xié)議�����。以滿足特定的業(yè)務(wù)需求�����,例如跨鏈資產(chǎn)交換、私有鏈擴(kuò)展和特定行業(yè)的區(qū)塊鏈解決方案�。
- 2023年上半年,公鏈/側(cè)鏈?zhǔn)前踩录l(fā)生數(shù)量排名第三的類型���。主要被攻擊原因?yàn)橹悄芎霞s漏洞���。
建議:
- 選擇可靠的共識機(jī)制。
- 使用安全的加密算法生成和存儲密鑰����,使用多重簽名技術(shù)增加交易的安全性。
- 進(jìn)行定期的安全審計�����,包括代碼審查�����、安全性測試和漏洞掃描���,以識別潛在的安全漏洞和弱點(diǎn)��。
4 跨鏈橋
跨鏈橋(Cross-Chain Bridge)是一種允許在不同區(qū)塊鏈網(wǎng)絡(luò)之間傳輸數(shù)字資產(chǎn)的技術(shù)解決方案�����??珂湗蛲ǔ谄鹗兼溕系闹悄芎霞s中鎖定或銷毀通證,并通過目標(biāo)鏈上的另一個智能合約解鎖或鑄造通證����??珂溚ㄐ疟举|(zhì)上需要在安全、信任和靈活性三個維度上做出權(quán)衡�����。由于這些復(fù)雜因素的存在�����,跨鏈橋成為了Web3領(lǐng)域主要的攻擊對象���。
- 2023年上半年就發(fā)生了8次跨鏈橋安全事件�,損失金額為1137萬美元�。
- 在2022年����,12次跨鏈橋安全事件共造成了約18.9億美元損失����,居所有項(xiàng)目類型損失的第一位。相比于去年�����,跨鏈橋在今年的上半年已經(jīng)發(fā)生了7次安全事件�,再加上近日出現(xiàn)的Poly Network 和Multichain的安全事件已出現(xiàn)了10起安全事件,跨鏈橋安全事件有比去年更為嚴(yán)重的發(fā)展態(tài)勢�����。主要被攻擊原因?yàn)橹悄芎霞s漏洞����、閃電貸等。
建議:
- 項(xiàng)目方在設(shè)計跨鏈消息傳輸協(xié)議時將安全放在第一位�。
5 錢包
區(qū)塊鏈錢包是區(qū)塊鏈中一個重要組成部分,是一種數(shù)字貨幣存儲和管理工具���,它允許用戶安全地保存��、接收和發(fā)送各種加密貨幣����,如比特幣、以太坊和其他代幣�。?錢包安全一直是區(qū)塊鏈行業(yè)的一個熱門話題,一旦錢包受到攻擊��,攻擊者可以輕易地竊取用戶的私鑰和助記詞等敏感信息��,進(jìn)而掌握用戶的數(shù)字資產(chǎn)�。這些數(shù)字資產(chǎn)的價值可能非常高,一旦被盜��,損失也會非常慘重�����。因此�����,為了最大限度地保障用戶的數(shù)字資產(chǎn)安全�,我們建議用戶采取一些安全措施�����。
- 2023年上半年中,錢包被攻擊的安全事件相比于其他類型數(shù)量較少���,但是����,當(dāng)錢包受到攻擊���,損失便是較大的數(shù)額����。如Atomic與MyAlgo的錢包事件�,兩次攻擊事件造成了高達(dá)1.09億美元的損失。
- 事件數(shù)量總數(shù)排名第三的類型為錢包��,該類別發(fā)生安全事件的原因大多是私鑰����、助記詞泄露。
建議:
- 選擇可信的錢包提供商:選擇一個有良好聲譽(yù)和可靠歷史記錄的錢包提供商�。確保了解他們的安全實(shí)踐,如何保護(hù)用戶數(shù)據(jù)和私鑰等敏感信息�。
- 使用雙重身份驗(yàn)證:啟用雙重身份驗(yàn)證可以增加您賬戶的安全性��。這種方法需要您在登錄時輸入除用戶名和密碼外的另一種身份驗(yàn)證方式��,例如驗(yàn)證碼或指紋識別��。
- 不要分享您的私鑰:私鑰是您加密貨幣的所有權(quán)證明���。不要與任何人分享您的私鑰,包括錢包提供商����。如果有人要求您提供私鑰,那么這很有可能是一種詐騙行為��。
- 定期備份您的錢包:定期備份您的錢包可以確保您在錢包丟失或遭受攻擊時可以恢復(fù)您的加密貨幣�����。您可以將備份保存在安全的地方�����,例如離線設(shè)備或硬件錢包中���。
- 小心處理未知的電子郵件或信息:不打開或下載未知來源的電子郵件或信息��。這些可能包含惡意軟件或鏈接����,可能會導(dǎo)致您的錢包被攻擊��。
- 確保您的計算機(jī)和手機(jī)設(shè)備是安全的:確保您的計算機(jī)和手機(jī)設(shè)備具有最新的防病毒和安全更新��,以保護(hù)您的設(shè)備免受攻擊�����。
- 不要在公共場所使用未知的Wi-Fi網(wǎng)絡(luò)���,因?yàn)檫@些網(wǎng)絡(luò)可能不安全���,可能會被黑客用來攻擊您的錢包。
- 確保您的錢包軟件是最新的:確保您的錢包軟件是最新版本���。新版本通常包含安全更新和修復(fù)����,可以幫助您保護(hù)您的錢包免受攻擊。
- 關(guān)注有關(guān)錢包安全的最新信息:了解有關(guān)錢包安全的最新信息和事件���,以幫助您保持對錢包安全的了解�����,并采取適當(dāng)?shù)念A(yù)防措施���。
2023 上半年區(qū)塊鏈安全事件分析總結(jié)
通過對2023年上半年區(qū)塊鏈安全事件的整理,發(fā)現(xiàn)鏈上應(yīng)用是半年來被攻擊頻次最高����、損失金額最多的項(xiàng)目類型。鏈上應(yīng)用領(lǐng)域共發(fā)生157次安全事件���,其中32次都基于合約漏洞進(jìn)行攻擊����。
面對頻出的安全事件�����,研發(fā)者應(yīng)該進(jìn)一步遵循安全編碼�����、審計合約代碼����、使用成熟的安全庫等保障用戶權(quán)益;而作為使用智能合約的用戶也應(yīng)該謹(jǐn)慎選擇合約����,并在使用前仔細(xì)檢查其代碼和安全性,選擇專業(yè)的安全公司進(jìn)行審計���。當(dāng)安全事件發(fā)生時�����,用戶能做到的很有限�,只有不斷提高自身的安全意識�����,提前發(fā)現(xiàn)漏洞����,解決漏洞,做好防范才能盡可能避免被攻擊。
本報告提供的信息僅供參考和研究�����,信息來源于公開渠道���,作者已經(jīng)盡力核實(shí)準(zhǔn)確性和完整性�,但不能保證其準(zhǔn)確性和完整性�����,也不承擔(dān)因使用或依賴該信息而產(chǎn)生的任何損失或損害的責(zé)任�����。本報告不應(yīng)視為對任何特定區(qū)塊鏈項(xiàng)目或加密貨幣投資的推薦或建議�����,讀者應(yīng)該自行進(jìn)行研究和決策�����。本報告的內(nèi)容不能替代讀者的判斷和決策�,也不能保證所述情況的持續(xù)存在或?qū)崿F(xiàn)��。
免責(zé)聲明:本文不構(gòu)成投資建議,用戶應(yīng)考慮本文中的任何意見�、觀點(diǎn)或結(jié)論是否符合其特定狀況,及遵守所在國家和地區(qū)的相關(guān)法律法規(guī)���。
歡迎轉(zhuǎn)載分享!
轉(zhuǎn)載請注明本文地址:
如有文章侵犯了您的權(quán)利�,請聯(lián)系本站站長���,我們將在第一時間刪除相關(guān)內(nèi)容����,謝謝����!
