原文来源:零时科技
摘要
2022 年,是加密世界多元化创新的一年,但创新的背后,也发生了许多让人咋舌的安全事件。零时科技安全团队发布了《 2022 年全球 Web3 行业安全研究报告》,回顾了 2022 年 Web3 行业全球政策,主要赛道所涵盖基本概念、安全事件、损失金额和攻击类型,并对典型安全事件进行了详细剖析,提出了安全预防方案和措施建议。希望帮助从业者和用户能够了解 Web3 安全现状,提高网络安全意识,保护好数字资产,做好安全预防措施。
2022 年,全球 Web3 行业加密货币总市值最高达 2.4 万亿美元,受行业爆雷事件影响,相比去年最高总市值 2.97 万亿美元,今年有所下降,但整体资产数量规模正在不断扩大。
据零时科技数据统计, 2022 年共发生安全事件 306 起,累计损失达 101 亿美元。相比 2021 年,今年 Web3 安全事件新增 64 起,同比增长 26% 。
Web3 六大主要赛道:公链、跨链桥、钱包、交易所、NFT、DeFi 共发生安全事件 136 起,造成损失超 40.21 亿美元。此外,新兴领域如 GameFi、DAO 成为黑客频扰的对象,诈骗和跑路事件不断,损失严重。
2022 年损失超 1 亿美金的典型安全事件共损失 28.45 亿美元,占 2022 年总损失金额 28% 。其中典型代表有:跨链互操作协议 Poly Network,损失 6.25 亿美元;交易所 FTX,损失 6 亿美元;Solona 生态钱包,损失 5.8 亿美元。
2022 年,全球 Web3 安全事件攻击类型多样,从安全事件数量看,典型攻击类型 Top 5 为:黑客攻击、资产被盗、安全漏洞、私钥窃取、钓鱼攻击。从损失金额看,典型攻击类型 Top 5 为:资产被盗、黑客攻击、私钥窃取、价格操纵、闪电贷攻击。
本年度最具有代表性的监管案例为:美国财政部下属外国资产控制办公室 (OFAC) 对 Tornado Cash 协议实施制裁,禁止美国实体或个人使用 Tornado Cash 服务。根据美财政部披露,自 2019 年成立以来,Tornado Cash 已帮助洗钱超 70 亿美元。
一、全球 Web3 行业回顾与安全态势概览
Web3 是指基于加密技术的新一代网络,融合了区块链技术、代币经济学、去中心化组织、博弈论等多种技术和思想,由以太坊联合创始人 Gavin Wood 在 2014 年提出。Web3 基于区块链搭建,从 2008 年至今,区块链技术已发展 14 余年。Web3 行业在 2022 年的爆发离不开区块链产业发展多年的积淀。
从用户视角看 Web3 生态,可分为基础层、应用层和第三方服务。基础层以公链、跨链桥和联盟链等链为主,为 Web3 提供网络基础设施;应用层则以 APP(中心化应用程序)和 DAPP(去中心化应用程序)为主,即用户常用来交互的应用程序,包含交易平台、钱包、DeFi、NFT、GameFi、DAO、存储和社交软件等。基础层和应用层促进了 Web3 生态的繁荣,但也为 Web3 带来巨大的安全隐患。服务生态是 Web3 行业的第三方,其中媒体、教育孵化和投资机构为行业提供助力,安全服务机构如零时科技,是为 Web3 安全保驾护航不可或缺的一部分。
截至 2022 年 12 月,据 coinmarketcap 数据统计,全球 Web3 行业加密货币总市值最高时达 2.4 万亿美元,受行业爆雷事件影响,相比去年最高总市值 2.97 万亿美元,今年有所下降。虽总市值有波动,但整体资产数量规模正在不断扩大。由于行业创新节奏快、用户安全意识薄弱、监管有待完善、安全问题突出,Web3 正在沦为黑客的「提款机」。
据零时科技数据统计, 2022 年共发生安全事件 306 起,累计损失达 101 亿美元。相比 2021 年,今年 Web3 安全事件新增 64 起,同比增长 26% 。其中公链、跨链桥、钱包、交易所、NFT、DeFi 这六大主要赛道发生安全事件 136 起,造成损失超 40.21 亿美元。
除了以上六大主要赛道外,其他安全事件共计 170 起,损失金额达 60.79 亿美元,如新兴领域如 GameFi、DAO 成为黑客频扰的对象,诈骗和跑路事件层出不穷。随着多个巨头入局元宇宙与 NFT,未来,链上资产规模还将持续增长,Web3 网络安全侵害数字可能继续飙升。
据零时科技数据统计, 2022 年全球 Web3 生态六大主要赛道中:公链发生安全事件 10 起,共计损失约 1.57 亿美元;跨链桥发生安全事件 14 起,共计损失 13.38 亿美元;交易所发生安全事件 19 起,共计损失 11.92 亿美元;钱包发生安全事件 25 起,共计损失 6.93 亿美元;DeFi 发生安全事件 25 起,共计损失 5.93 亿美元;NFT 发生安全事件 44 起,损失超 4256 万美元。
从主要赛道发生的安全事件数量来看,NFT 安全事件最多,这和它成为 2022 业界追捧的热门赛道脱不开关系。另一方面,由于进入 Web3 行业人数的增多,钱包和 DeFi 成为安全事件的重灾区。从损失金额看,跨链桥位列第一,遭受损失最大。
2022 年,从全球 Web3 发生的安全事件数量看,典型攻击类型 Top 5 为:黑客攻击,占比 37% ;资产被盗,占比 19% ;安全漏洞,占比 13% ;私钥窃取,占比 9% ;钓鱼攻击,占比 7% 。
从损失金额看,全球 Web3 安全事件典型攻击类型 Top 5 为:资产被盗,损失金额为 55.81 亿美元;黑客攻击,损失金额 30.29 亿美元;私钥窃取,损失金额为 12.5 亿美元;价格操纵,损失金额为 2.32 亿美元;闪电贷攻击,损失金额 1.37 亿美元。
值得注意的是, 2022 年发生的多起安全事件不只受到一种攻击,有些事件可能同时出现资产被盗、私钥窃取、黑客攻击、私钥泄漏及安全漏洞等。
注:主要攻击类型释义如下
资产被盗:虚拟币被盗,平台被盗
黑客攻击:黑客等多种类型攻击
信息泄露:私钥泄露等
安全漏洞:合约漏洞、功能漏洞
错误权限:系统权限设置错误,合约权限错误等
钓鱼攻击:网络钓鱼
价格操纵:价格操纵
据零时科技区块链安全情报平台监控消息, 2022 年损失超 1 亿美金的典型安全事件共损失 28.45 亿美元,占 2022 年总损失金额 28% 。
二、全球 Web3 监管政策
2022 年,基于区块链的下一代互联网 Web3 迎来增长高峰,面对这个拥有金融科技特征的新兴行业,全球政府和监管机构对其密切关注。Web3 应用领域广泛、全球分布协作、技术含量较高,加之全球各国及其内部各地监管机构对 Web3 产业发展方向和数字资产定义不统一,为全球金融监管带来了巨大挑战。2022 年金融犯罪、黑客攻击、诈骗勒索、洗钱事件频发,金额庞大,损失严重,影响广泛。为确保 Web3 的安全性和合规性,各国纷纷出台监管政策。
从全球对 Web3 整体的监管政策来看,投资者保护和反洗钱 (AML)是全球共识,对加密货币交易所的接受和监管,各国差异较大。美国国会议员提出「确保 Web3 发生在美国」,正加速监管创新;欧盟各国政策较为明确和积极;日本、新加坡、韩国受 2022 暴雷事件影响,监管趋严;中国大陆依旧鼓励区块链技术应用,严禁金融机构和支付组织参与虚拟货币交易和非法集资,加大加密货币犯罪事件打击。中国香港则全面扶持虚拟资产发展,实施牌照制;阿联酋在全球最为积极,拥抱加密货币资产。对于 NFT、稳定币、DeFi、资产协议和 DAO 领域,全球正处于监管探索状态。
三、 2022 年 Web3 各生态安全现状
Web3 是一个比较特殊的行业,最突出的特点就是涉及大量数字加密资产的管理,动辄千万上亿的资产全部存在链上,通过一个特有的私钥来确权,谁掌握了这个私钥,谁就是资产的主人。如果生态中某一应用或协议被黑客攻击,就可能造成巨额损失。随着生态的快速发展,各种新型攻击手法和诈骗手段层出不穷,整个行业在安全的边缘中博弈前进。零时科技安全团队对 Web3 存在的攻击类型进行了观察统计,目前主要有以下攻击类型对 Web3 安全造成威胁:APT 攻击、社工钓鱼、供应链攻击、闪电贷攻击、智能合约攻击、Web 端漏洞攻击、零日(0 day)漏洞、网络诈骗。
接下来,我们将从基础设施公链、跨链桥,应用端 APP 和 DAPP 的代表:交易平台、钱包、DeFi、NFT,监管重地反洗钱,web3 安全教育角度,来解析 2022 年 Web3 各生态安全现状,解读攻击事件,并针对每个生态给出相应的安全措施建议。
1、公链-Web3 生态安全的命脉
公链是 Web3 行业的基础设施,承载着整个行业的协议、应用及资产记账,随着业内对公链性能、互操作、兼容性、扩容的旺盛需求,多链发展迸发呈强劲势头,安全问题,刻不容缓。
根据零时科技不完全统计数据,截至 2022 年 12 月,目前公链有 152 条。以公链生态应用数量来看,据 rootdata 数据,Ethereum,应用 1275 个,Polygon,应用数 767 个,BNB Chian,应用数 704 个,稳居前三,Avalanche、Solana、Arbitrum 等新公链紧追其后呈现快速增长趋势。
以公链生态市值来看,据 coingecko 数据,以太坊、BNB Chain、Polygon 生态分别以 3830 亿美元、 2366 亿美元、 2192 亿美元位居前三。当前,公链生态总市值已超万亿美元,如此庞大的资金诱惑,让黑客对其虎视眈眈。
截至 2022 年 12 月,据零时科技数据统计,公链赛道发生安全事件 10 起,累计损失资产金额超 1.57 亿美元。
从数量来看,公链的攻击类型主要为:黑客攻击、安全漏洞、资产被盗、钓鱼攻击和私钥窃取,其对应占比为: 28% 、 28% , 16% 、 8% 、 8% 。从损失金额来看,安全漏洞造成损失最高,为 1.47 亿美元,占比 55% ;黑客攻击造成损失位居第二,为 4200 万美元,占比 16% 。(注:部分项目遭受多种类型攻击)
据零时科技区块链安全情报平台监控消息,下图为部分 2022 公链攻击的典型案例:
公链安全风险及措施建议
零时科技安全团队分析,公链安全风险主要来自以下三点:
1 )技术复杂性:涉及技术领域多,安全风险点多。
2 )开发人员不确定性:代码由开发者所写,过程难免出现漏洞。
3 )开源漏洞透明性:公链代码开源,黑客发现漏洞更为便利。
零时科技安全团队对公链安全建议,有以下三点:
1 )主网上线前,针对公链各风险点,需要设立丰富的安全机制:
在 P2P 和 RPC 方面,需要注意劫持攻击,拒绝服务攻击,权限配置错误等;
在共识算法及加密这块,需要注意 51% 攻击,长度扩展攻击等;
在交易安全方面,需要注意假充值攻击,交易重放攻击,恶意后门等;
在钱包安全方面,需要注意私钥的安全管理,资产的安全监控,交易的安全风控等;
在公链项目的相关工作人员方面,需要有良好的安全意识,办公安全,开发安全等常识。
2 )进行源代码和智能合约审计,确保弥补原则性和明显的漏洞:
源代码审计可以是全量代码,也可以是部分模块。零时科技安全团队拥有一套完整的公链安全测试标准,采用人工 + 工具的策略对目标代码的安全测试,使用开源或商业代码扫描器检查代码质量,结合人工安全审计,以及安全漏洞验证。支持所有流行语言,例如:C/C++/C#/Golang/Rust/Java/Nodejs/Python。
3 )主网上线后,进行实时安全检测,预警系统风险;
4 )发生黑客事件后,及时通过溯源分析,找出问题所在,减少未来发生攻击可能性;迅速源追踪监控损失流向,尽可能找回资产。
2、跨链桥-黑客的新型提款机
跨链桥,也称区块链桥,连接两条区块链,允许用户将加密货币从一条链发送到另一条链。跨链桥通过在两个独立平台之间启用代币转移、智能合约和数据交换以及其他反馈和指令来进行资金跨链操作。
截至 2022 年 12 月 ,根据 Dune Analytics 数据统计,以太坊中主要跨链桥的锁定总价值(TVL)约 55.6 亿美元。当前 TVL 最高的是 Polygon Bridges,为 29.49 亿美元, Aritrum Bridge 紧跟其后,为 12.06 亿美元,Optimism Bridges 排名第三,为 8.34 亿美元。
随着区块链及链上程序的增长,多链资金转换需求迫切,跨链桥的协同特征可以让各区块链发挥更大的协同潜力,跨链桥为用户提供便利的同时,也为黑客提供了另一扇大门。由于跨链桥传递资产的特性,其锁定、铸造、销毁及解锁等流程环节一旦出现问题,就会威胁到用户资产安全。貌似并不复杂的跨链资金转移操作,但在多个跨链桥项目中,不同步骤均发生过安全漏洞。
据零时科技数据统计,截至 12 月,跨链桥因受到攻击发生安全事件 14 起,累计损失资产金额为 13.38 亿美元。
2022 年,发生安全事件损失 Top 5 的跨链桥为:Ronin、Wormhole、Nomad、Harmony(Horizon)、QBridge,分别损失金额为: 6.15 亿美元、 3.2 亿美元、 1.9 亿美元、 1 亿美元和 8000 万美元。
从安全事件发生的数量看,跨链桥攻击的类型主要为:黑客攻击、私钥窃取、资产被盗、信息泄露和错误权限,分别占比 52% 、 18% 、 17% 、 9% 和 4% 。从损失金额来看,私钥窃取占比最大,为 42% ;黑客攻击次之,占比 27% ;资产被盗占比 23% ,位居第三。
下图为部分 2022 年典型跨链桥攻击案例:
跨链桥安全风险及措施建议
零时科技安全团队从跨链桥多次攻击事件中得出,跨链之前和签名处攻击较多,存在官方马虎大意造成的被盗事件。对于越来越多的跨链项目及项目合约安全,零时科技给出以下安全措施建议:
1 )项目上线前对合约进行安全审计;
2 )合约调用接口需要严格排查其适配性;
3 )版本更新时需要对相关接口及签名安全进行重新评估;
4 )需要对跨链签名者进行严格审查以保证签名不被恶意人员控制。
3、交易平台-巨额诱惑之源
Web3 的交易平台也称数字货币交易所或加密货币交易所,是区块链行业的重要组成部分,为不同数字货币之间,数字货币与法定货币之间的交易提供服务,同时也是数字货币定价和流通的主要场所。
据 coingecko 数据,截至 2022 年 12 月,加密货币交易所共有 717 个,其中中心化交易所有 553 个, 24 小时总交易量为 540 亿美金;去中心化交易所有 100 个, 24 小时总交易量为 17 亿美金;衍生产品交易所 64 个, 24 小时交易量为 1.78 万亿美金。
Opensea 作为全球最大的 NFT 交易平台, 1 月交易额最高,超 48.5 亿美金,因市场行情, 12 月有所回落,交易额约为 1.38 亿美金。(关于 NFT 交易平台更多信息,详见 2.6 )
数据显示, 24 小时交易量排名前 10 名的交易所分别为:Binance、Coinbase Exchange、MEXC Global、LBank、BingX、Coinsbit、OKX、BitMart、Crypto.com Exchange。其中 Binance 以 24 交易量 41.48 亿稳居第一。
交易量排名前 10 名的去中心化交易所分别为:Uniswap(V3)、Curve、Balancer(V2)、Uniswap(V2)、PancakeSwap、DODO、Sushiswap、Uniswap(Ploygon)、Uniswap(Arbitrum One)、Apex Pro,其中 Uniswap 以一己之力占据前十名多位。
2022 年,Huobi 被收购,FTX 在与币安(Binance)的交锋中破产,随后币安被曝已接受美国司法部刑事调查 4 年,加密货币交易所处于监管的风口浪尖。加密货币交易所汇聚了来自全球的加密资产,在巨大的市场影响力下,无论是安全危机还是资金流动性危机,都牵一发而动全身,甚至影响整个加密市场的牛熊。
据零时科技数据统,计 2022 年,加密货币交易所发生安全事件 19 起,累计损失资产金额超 11.92 亿美元。
据零时科技区块链安全威胁情报平台数据统计, 2022 年,发生安全事件损失 Top 6 的交易平台为:FTX,Babel Finance,Mango,Liquid Global,Crypto.com ,损失金额分别为 6 亿美元, 2.8 亿美元, 1 亿美元, 7100 万美元, 3600 万美元和 3300 万美元。
以各交易平台安全事件损失分布来看,FTX 占比 50% ,Babel Finance 占比 24% %,Mango 占比 8% ,位居前三。
据零时科技数据统计,从安全事件数量来看,交易平台的攻击类型主要为黑客攻击、资产被盗、安全漏洞、钓鱼攻击、私钥窃取,分别占比 38% 、 19% 、 12% 、 10% 、 10% 。从损失金额大小分布来看,黑客攻击占据 54% ,为安全事件主要类型,资产被盗占比 33% ,价格操纵和闪电贷攻击分别占比 5% 。
下图为部分 2022 年交易所安全事件典型案例:
交易平台安全风险及措施建议
回顾以往所有交易所的安全事件,零时科技安全团队认为,从一个交易平台整体安全架构来看,交易平台面临的安全风险主要有:开发、服务器配置、运维、团队安全意识、内部人员、市场以及供应链风险。零时科技安全团队曾出版《区块链安全入门与实战》,其中对加密货币交易平台的安全问题进行了全面、细致的分析。包括渗透测试的步骤,如信息收集、社会工程等,还介绍了各种攻击面,如业务逻辑、输入输出、安全配置、信息泄露、接口安全、用户认证安全、App 安全等。
对于交易所安全风险,零时科技安全团队给出如下措施建议:
从交易平台角度:
1 )培养内部人员的安全意识,加强交易所的生产环境、测试环境和调试环境安全隔离,尽量使用专业的网络安全防护产品。
2 )通过与专业安全公司展开合作,进行代码审计、渗透测试,了解系统是否存在隐性漏洞和安全风险,建立完善和全面的安全防护机制。日常运营中,进行定期安全测试,加强安全加固工作。
3 )升级账户的密钥结构及风控措施,建立适当的多重签名密钥结构并建立严格的风险控制及检测预警机制,加强后端冷热钱包安全加固,比如控制转账频率、大额转账、冷热钱包隔离等。
由于大部分用户除了使用交易所进行交易外,更多时候充当钱包存储数字资产。
因此,从用户角度:
1 )不要随意安装未知来源的软件。
2 )电脑服务器应避免打开不必要的端口,相应漏洞应及时打补丁,主机建议安装有效可靠的杀毒或其他安全软件,在 WEB 浏览器上安装挖矿脚本隔离插件等。
3 )不要随意点击陌生人发的不明链接。
4、 钱包-加密资产管理之伤
Web3 的钱包即区块链数字钱包,也称加密货币钱包或数字资产钱包,是存储和管理、使用数字货币的工具,在区块链领域有举足轻重的地位,是用户接触数字货币的入口。如今,随着生态的发展,数字钱包已经成为多链多资产的管理平台。
据零时科技区块链安全威胁情报平台数据统计,截至 2022 年 12 月,数字钱包项目数量共有 142 个。据 Blockchain.com 数据统计, 2022 年全球有超过 3 亿人在使用加密资产。其中拥有加密钱包的用户在 2021 年达到 6842 万,而到 2022 年 7 月加密钱包用户数已经达到 8100 万,数量呈指数级增长。
作为 Web3 的入口,钱包早已成为黑客眼中的「香饽饽」。据零时科技数据统计, 2022 年,数字钱包发生安全事件 25 起,累计损失资产金额超 6.98 亿美元。
2022 年,被攻击损失 Top 5 的钱包安全事件主要来自:Solana 生态钱包、分布式资本创始人沈波个人钱包、Deribit、与 Transit Swap 互动的钱包、Lympo 热钱包,分别损失金额为: 5.8 亿美元、 4200 万美元、 2800 万美元、 2000 万美元和 1870 万美元。其中 Solana 生态钱包被攻击损失金额最高。
据零时科技数据统计,从安全事件数量来看,数字钱包的攻击类型主要为:黑客攻击、资产被盗、私钥窃取、安全漏洞和信息泄露,分别占比 38% 、 30% 、 13% 、 7% 、 6% 。攻击占比最高,居于首位。
其中各主要攻击类型对应的安全事件损失占比分别为:黑客攻击造成损失最高,占比 46% ;私钥窃取造成损失其次,占比 44% ;资产被盗损失位列第三,占比 8% 。
钱包被攻击,一般分为两种情况。一种是机构的钱包,另外一种是个人钱包。如 Lympo 热钱包被盗,损失 1870 万美元,而个人钱包被盗经典则属近日分布式资本创始人沈波价值 4200 万美元个人钱包资产被盗。
除了 Solana 生态钱包被盗案例外,行业还有许多钱包安全事件,如下图。
数字钱包安全风险及措施建议
经零时科技安全团队分析,区块链数字钱包存在多种形式,主要面临的安全风险包括但不限于如下几方面:
机构端方面:运行环境的安全风险、网络传输的安全风险、文件存储方式的安全风险、应用自身的安全风险、数据备份的安全风险等。
用户端方面:面临私钥丢失或被盗:如伪装客服骗取私钥、黑客通过钱包升级定向攻击收集用户助记词等信息、发送恶意二维码引导客户转账盗取资产、通过攻击客户存储信息的云平台盗取私钥 / 助记词、恶意软件、空投欺骗、网络钓鱼、其他钓鱼(预售、APP 下载、中签陷阱)等风险。
面对这些风险如何保护钱包安全?
从机构端,零时科技安全团队建议:
无论是中心化还是去中心化钱包, 软件钱包还是硬件钱包在安全性方面必须有充分的安全测试,针对数字钱包的安全审计,零时科技安全团队包括但不限于如下测试项:
1、网络和通信安全测试.网络节点应达到及时发现和抵抗网络攻击的功能;
2、钱包运行环境安全.钱包能够对操作系统进行已知重大漏洞进行检测,虚拟机检测,完整性检测;数字钱包需具有第三方程序劫持检测功能,防止第三方程序劫持钱包盗取相关用户信息。
3、钱包交易安全.钱包发出的所有交易必须进行签名,签名时必须通过输入支付密码解密私钥,交易签名生成后必须清除内存中解密后的私钥,防止内存中的私钥被窃取而泄漏等。
4、钱包日志安全.为了方便用户进行审计钱包操作行为,防止异常操作和未授权的操作,需记录钱包的操作日志,同时钱包日志必须通过脱敏处理,不得含有机密信息。
5、节点接口安全审计.接口需要对数据进行签名,防止黑客对数据被篡改;接口访问需要添加 token 认证机制,防止黑客进行重放攻击;节点接口需要对用户连接速率进行限制,防止黑客模拟用户操作进行 CC 攻击。
对用户端,零时科技安全团队建议:
1) 做好私钥存储措施:如私钥尽量手抄和备份,或使用云平台和邮件等社交网络传输或存储私钥。
2) 使用强密码,并且尽可能开启两步验证 MFA(或 2 FA),时刻保持安全意识提高警惕。
3) 在更新程序版本时注意验证 hash 值。安装杀毒软件,并尽可能使用防火墙。监视你的账户 / 钱包,确认没有恶意交易。
4) 其中硬件钱包适合数字资产额度较大,需要更高安全保护等级的用户。通常的建议是使用软件钱包保存自己的小额资产,供日常使用,硬件钱包保存大额资产,这样可以实现便利性和安全性兼备。
如果资金被盗怎么办?
如果发生无意的授权操作,在资金未被盗之前,尽快将钱包资金转出,并且取消授权;如果已经发生授权之后的资金被盗或者私钥被盗资金转移情况,请立即联系零时科技安全团队进行资产追踪。
5、 DeFi-Web3 安全重灾区
DeFi 全称:Decentralized Finance,一般翻译为分布式金融或去中心化金融。DeFi 项目大体分为五类:预言机、DEX、抵押借贷、稳定币资产、合成衍生品。
TVL 全称:Total Value Locked 即总锁定价值。用户所抵押的资产总值,是衡量 DeFi 生态发展的最重要指标之一,通常 TVL 增长代表项目发展的越好。
零时科技区块链安全威胁情报平台数据统计,截至 2022 年 12 月,DeFi 项目共计 1297 个。据 DeFi Llama 数据显示,DeFi 总锁仓价值达到 390.51 亿美元规模。其中以太坊占比 58.59% ,以 230.2 亿美元的 TVL 排名第一,其次是 Tron,占比 11.1% ,以 40.36 亿美元的 TVL 排名第二,BSC 紧追其后,占比 10.47% ,以 40.12 亿美元 TVL 排名第三。许多新兴公链如 Avalanche、Ploygon、Optimism 等通过拥抱 DeFi 快速发展链上生态,也吸引了 大量用户和资金沉淀。
DeFi 突出的智能合约安全问题已成为 DeFi 行业的最大挑战。此外,没有任何 DeFi 服务商或监管机构可以退回错误转移的资金。当黑客在智能合约或 DeFi 服务的其他方面发现漏洞盗取用户资产时,也不一定有 DeFi 服务商来赔偿投资者,加之很多隐秘互连的问题,可能引起一连串的金融事故。
根据零时科技数据统计,截至 2022 年 12 月 ,共发生 DeFi 安全事件 25 起,累计损失资产金额超 5.93 亿美元。
以各生态发生的 DeFi 安全事件数量分布来看,Ethereum 和 BSC(BNB Chian)生态分别发生 6 起,占比均为 24% ,并列第一,Solana 生态发生 3 起,占比 12% ,位列第二。
以各 DeFi 发生安全事件损失分布来看,排名前三的公链生态是,Ethereum 生态 DeFi 事件损失金额超 4.38 亿美元,占比 74% ,位列第一;Terra 位列第二,损失金额 9000 万美元,占比 15% ;Solana 位列第三,损失金额为 1354 万美元,占比 2% 。由此可见,生态越是活跃,越受到黑客关注,损失也最为突出。
据零时科技数据统计,从 DeFi 攻击类型来看,主要为:黑客攻击、闪电贷攻击、资产被盗和安全漏洞。其中各主要攻击类型对应的安全事件数量分布占比分别为:黑客攻击占比 44% ,居于首位;闪电贷攻击占比 16% ,位居第二;资产被盗和安全漏洞均占比 14% ,并列第三。
从主要攻击类型损失分布来看,黑客攻击造成损失最高,占比 53% ,安全漏洞次之,占比 25% ,资产位列第三,占比 17% 。
下图为部分 202 2DeFi 安全事件典型案例:
DeFi 安全风险及措施建议
DeFi 项目面对多重安全风险,从群体来分,分别为项目端(协议执行)和用户端;从安全种类来分,分别为各协议之间组合性的安全,包括组合之间的一些缺陷、智能合约安全、开源的安全,高收益伴随着高风险,缺乏监管等导致的一些安全问题。
从安全审计角度看,DeFi 项目面临的风险见下图:
从协议执行过程,DeFi 风险包括:智能合约攻击风险、经济激励中的设计问题、保管风险、原协议的重新构建、缺乏隐私等风险。
从用户角度,DeFi 用户面临的风险有:技术风险:智能合约存在漏洞,受到安全性攻击;流动性风险:平台的流动性耗尽;密钥管理风险:平台的主私钥可能被盗取。安全意识风险:被钓鱼,遇到套利跑路欺诈项目等。
零时科技安全团队建议,作为项目方和用户,可以从以下五点应对风险:
1 )项目方在上线 DeFi 项目时,一定得找专业的安全团队去做全面的代码审计,而且尽可能地找多家共同审计,尽可能多地发现项目设计缺陷,以免在上线之后出现不必要的损失。
2 )建议用户参与这些项目投资时一定要做好把关,要对这个项目有一定的了解,或者是看它有没有经过安全审计后再上线。
3 )增加个人安全意识,包括上网的行为和资产保存以及钱包使用等习惯,养成良好的安全意识习惯。
4 )项目高收益高风险,参与需谨慎,不懂项目,尽量不参与,避免造成损失。
6、 NFT-钓鱼攻击的池塘
NFT 是 Non-Fungible Token 的简称,是基于区块链的非同质化代币,同时它是存储在区块链上的一种独特的数字资产,常作为虚拟商品所有权的电子认证或凭证,可以购买或出售。2022 年 12 月 15 日,美国前总统特朗普宣布推出一系列印有特朗普肖像 NFT 数字藏品,不到 24 小时 4.5 万件就被抢购一空。
根据 NFTgo 数据,截至 12 月 31 日,已收录的 NFT 项目 4624 个,共计 38, 693, 506 个 NFT。当前 NFT 总市值达到 210 亿美元,持有者达到 373.38 万人。从各类项目市值分布来看,PFP(Picture for proof),即个人资料图片类 NFT 市值遥遥领先,这也是目前使用场景最多的 NFT,其次是收藏品。从目前八大主流公链上看 NFT 资产和合约,Polygon 在资产和合约数上遥遥领先。
从交易规模来看:在 24 小时内按销量排名前 10 位的 NFT 交易平台中,Blur 排名第一,Opensea 紧跟其后,LooksRare 排名第三。从交易商来看, 24 小时内按交易者、买家和卖家数量排名前 10 的市场中,Opensea 位列第一,Blur 排名第二、Blur aggregator 排名第三。
随着 NFT 价值凸显,黑客也盯上了这块肥肉。尽管目前整个加密市场正经历着剧烈的震荡下行趋势,但 NFT 的热度不减。
据零时科技不完全统计,截至 2022 年 12 月,NFT 赛道发生安全事件共计 44 起,累计损失资产金额约为 4256 万美元。
2022 年,NFT 安全事件损失 Top 10 中,BAYC、BAKC 系列成为黑客主要的攻击目标,持有此类 NFT 的收藏者损失较大。其中不乏周杰伦 NFT 被盗,损失 54 万美元等热点事件。
从 NFT 赛道的攻击类型来看,主要为:黑客攻击、资产被盗、钓鱼攻击和私钥窃取,对应安全事件数量占比分别为 33% 、 18% 、 16% 、 10% 。
从 NFT 主要攻击类型损失金额占比看,资产被盗造成损失最多,占比 23% ;黑客攻击次之,占比 22% ;私钥窃取居于第三,占比 19% 。值得注意的是,以个人被盗事件看,多数都是由于 Discord/Twitter 等媒体平台被黑后黑客发布钓鱼链接。
除损失 Top 10 的 NFT 安全事件案例外,行业典型 NFT 安全事件案例如下:
NFT 安全风险及措施建议
目前在 NFT 赛道,黑客攻击方式多种多样。以群体来分,面临风险的对象一般为平台和用户。
对于中心化平台端,可能面临的安全风险有:账号风险、商业化竞争风险、安全意识风险、内部人员风险、市场风险等。用户端,Discord 攻击成为今年的主要攻击手法。
对于以上安全风险,零时科技安全团队给出以下措施建议:
对于普通用户,保护好自己的 Discord,需要注意以下几点:
确保密码足够安全,使用字母数字特殊字符创建长的随机密码;开启 2 FA 身份验证,密码虽然本身足够复杂但是不能依靠一个方式来保护;不要点击来自未知发件人或看起来可疑的链接,考虑限制谁可以与您私信;不要下载程序或复制 / 粘贴你不认识的代码;不要分享或屏幕共享你的授权令牌;不要扫描任何来自你不认识的人或你无法验证其合法性的 QR 码。
对于服务器所有者:审核您的服务器权限,尤其是对于 webhook 等更高级别的工具;进行任何更改时,请保持官方服务器邀请更新并在所有平台上可见,尤其是当大多数新服务器成员来自 Discord 以外的社区时;同样,不要点击可疑或未知的链接!如果账户遭到入侵,可能会对管理的社区产生更大的影响。
对于项目:建议合约应严格判断用户输入购买数量合理性;建议合约限制零资金购买 NFT 的可能性;建议对于 ERC 721 及 ERC 1155 协议的 NFT Token 进行严格区分,避免混淆情况发生假冒 Discord 官方案例。目前多个聊天软件均会发现恶意 mint 链接,也有不少用户资金被盗,为了避免此类盗币事件,建议大家在进行 mint 操作时,验证链接来源可靠性,同时确保实际签署交易的内容和预期相符。
7、虚拟币-滋生违法活动的温床
2022 年 9 月,湖南省衡阳县公安破获「 9.15 」特大虚拟货币洗钱案,涉案金额 400 亿元。2022 年 12 月,内蒙古通辽市公安局科尔沁分局成功破获一个利用区块链网络兑换数字虚拟货币洗钱团伙,抓获犯罪嫌疑人 63 名,涉案金额高达 120 亿元。2022 年 8 月 8 日,美国财政部的海外资产控制办公室(The Office of Foreign Assets Control of the US Department of the Treasury,简称 OFAC)宣布制裁 Tornado Cash 协议,根据美财政部披露,自 2019 年成立以来,Tornado Cash 已帮助洗钱超 70 亿美元。
据零时科技不完全数据统计, 2022 年通过加密货币洗钱金额达到 104.2 亿美元,同比增长 20.7% 。2022 年,国内公安部门破获多起虚拟货币洗钱案件,案件数量呈增长趋势。洗钱、诈骗、传销、盗窃是加密货币犯罪的主要类型。
如何打击防御基于虚拟币的违法犯罪?
零时科技自主研发了虚拟币追溯分析平台,拥有情报系统、监控系统、KYCKYT 和溯源系统四大系统。该平台基于链上数据及区块链安全情报,通过大数据、图运算、机器学习等技术,使得整个虚拟币链上追溯可自动化运营,可视化展示,方便快捷地发现虚拟币流向及实名登记,可以有效协助案件侦查,打击虚拟犯罪,为业内受害者提供虚拟资产追溯服务。目前,该平台已经分析交易数量 17.7 亿,标记地址超 8000 万,分析地址超 8.5 亿个。并协助深圳市公安局、重庆市公安局、铜川市公安局、商洛市公安局和商州公安局等,破获多起的虚拟货币赌博、传销、诈骗案件,在业内引起了强烈反响。
8、安全教育 -Web3 安全盾牌
知名的搜狐全体员工遭遇工资补助钓鱼邮件诈骗案例让很多企业认识到,网络安全意识如果不提高,未来面临的商业机密等各项安全事件势必会影响企业发展。Web3 去中心化自组织的参与方式,让个人意识到,如果不提高安全意识,就会沦为黑客的提款机。
目前市场已经有电视剧、电影、社区等多种方式来提高个人的网络安全意识,零时科技也在各平台布道了上百篇网络安全知识。
除此外,零时科技也自研了安全意识评估管理平台,主要面向包括政府、公安、教育、金融、电力等对网络安全意识有需求的行业机构,网络安全意识评估平台以网络钓鱼技术为基础,帮助企业构建私有云化的网络安全意识评估管理平台,集成理论系统、钓鱼演练、主机检测、管理考核、场景定制的系统,实现企业持续系统化提升全员网络安全意识。除此之外,基于零时科技安全团队的专业实力,也为企业网络安全咨询和培训服务,从源头坚实安全盾牌。
四、Web3 热点安全事件攻击手法详细解析及措施建议
1 Ronin Network 侧链被盗 6.25 亿美金流向分析
0x1事件概述
零时情报站报道, 3 月 29 日消息, Axie Infinity 侧链 Ronin 验证器节点和 Axie DAO 验证器节点遭到破坏,导致在两笔交易中从 Ronin 桥接了 173, 600 个以太坊和 2550 万美元的 USDC,目前 Ronin 桥和 Katana Dex 已经停止使用。以下是攻击者钱包地址:https://etherscan.io/address/0 x 098 b 716 b 8 aaf 21512996 dc 57 eb 0615 e 2383 e 2 f 96 。目前,黑客已将所有 USDC 兑换为 ETH,将 6250 ETH 分散转移, 3750 ETH 转移到 Huobi, 1220 ETH 转移到 FTX, 1 ETH 转移到 Crypto.com,剩余资金余额仍停留在黑客地址,黑客发起攻击资金 1 ETH 来源为 Binance ,剩余资金余额仍停留在黑客地址。黑客发起攻击资金来源为 Binance 提币。
0x2 事件原理
Ronin 采用简易的资产跨链模式,用户通过 Ronin 跨链合约将以太坊的资产转移至 Ronin,该过程中,Ronin 跨链合约首先会判断是否在以太坊端接收到了资产并锁定,随后 Ronin 跨链合约确认并发布给用户在 Ronin 上的相应资产,当用户销毁 Ronin 上的相应资产后,以太坊端会将初始锁定的资产解锁并返回给用户。
Sky Mavis 的 Ronin 链目前由 9 个验证节点组成。为了识别存款事件或取款事件,需要九个验证者签名中的五个。攻击者设法控制了 Sky Mavis 的四个 Ronin 验证器和一个由 Axie DAO 运行的第三方验证器。
验证器密钥方案被设置为去中心化的,它限制了与此类似的攻击向量,但攻击者通过 Ronin 的无 Gas RPC 节点发现利用后门来获取 Axie DAO 验证器的签名。
回顾 2021 年 11 月,当时 Sky Mavis 请求 Axie DAO 帮助分发免费交易,因为用户负载巨大。Axie DAO 允许 Sky Mavis 代表其签署各种交易。这已于 2021 年 12 月停止,但未撤销许可名单访问权限。
一旦攻击者获得了 Sky Mavis 系统的访问权限,他们就能够通过使用无 Gas RPC 从 Axie DAO 验证器获取签名。
目前官方已确认恶意提款中的签名与五个可疑验证者相符。
0x3 资金来源去向
攻击者通过 Binance 交易所地址获取初始资金 1.0569 ETH,随后调用 Ronin Bridge 跨链桥合约获取 173, 600 枚 ETH 和 25, 500, 000 枚 USDC。
资金去向
攻击者将 25, 500, 000 枚 USDC 分五笔分别转移给 0xe708f…… 7ce10 地址及 0x66566 …… 55617 地址并从该地址兑换获取约 8564 枚 ETH。
随后攻击者将 6250 枚 ETH 转移至 5 个地址,其他资金目前仍在攻击者钱包地址。
对目前已转移出的钱包资金进行追踪:
黑客将 3750 枚 ETH 转移至 Huobi 火币地址。
黑客将 1250 ETH 转移至 FTX Exchange 交易所地址。
黑客将 1 枚 ETH 转移至 Crypto.com 地址。
零时科技加密资产追踪分析平台分析如下图所示:
总结及建议:
零时科技安全团队将持续监控被盗资金的转移情况,再次提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
2 警惕恶意聊天软件!聊天记录被劫持损失数千万资产追踪分析
事件背景
近期,零时科技安全团队收到大量用户因为同一个原因导致加密资产被盗的情况,经调查都是因为过程中使用了恶意 Whatsapp 的原因,通过与受害者沟通,了解到情况如下:
受害者在使用恶意 Whatsapp 进行沟通时,发送钱包地址到聊天软件中,对方直接复制钱包地址进行转账,但是此时复制的钱包地址已经被聊天软件 Whatsapp 恶意替换,导致将加密资产转账到错误地址。然后在用户使用恶意 WhatsApp 聊天时,替换用户输入或者接收的正确加密货币地址。
2022 年 12 月 6 日,因为使用恶意 WhatsApp 导致被盗 8 万多美金;
2022 年 11 月 21 日,因为使用恶意 Whatsapp 导致被盗 140 多万美金;
2022 年 10 月 6 日,因为使用恶意 WhatsApp 导致被盗 1.3 万多美金;
其他……
恶意软件分析及反制
通过与受害者沟通,其使用的 Android 手机,并且都是从百度搜索 WhatsApp 软件后,直接从第三方网站下载软件,安装。
下载地址如下:
通过沟通此事件的前因后果,我们怀疑是受害者安装的 WhatsApp 有问题,于是为了还原事件,我们获取到事发时的恶意 WhatsApp 安装包展开分析。
首先恶意 WhatsApp 软件的安装包的大小与 WhatsApp 官网下载的大小不一致:
而且通过查看两个软件的签名消息,可以看出签名时间和签名主体消息也是明显不一致:
通过安全工具扫描此恶意软件,发现确实存在问题,被标记为存在恶意木马:
然后通过反编译恶意软件后,发现了恶意软件中存在替换用户聊天消息中的加密货币地址的功能,并且通过远程服务器进行通信,定期更改替换的黑客地址,分析过程如下:
首先我们找到了恶意软件跟黑客控制的后台服务器域名:
然后通过审计恶意软件代码,发现恶意软件从黑客控制的服务器上获取了加密货币地址,然后在用户使用恶意 WhatsApp 聊天时,替换调用户输入或者接收的正确加密货币地址。
我们来看看替换用户聊天时输入的地址消息过程,代码如下:
同上面的 FindSendAddress 函数可以看出:
第一步,先匹配用户输入的聊天消息中是否存在 trx 或者 eth 地址;
第二步,通过 GetCurrentAddress 函数获取地址;
进行跟进 GetCurrentAddress 函数的内容如下:
通过对恶意站点的 /api/index/get_ws 接口获取黑客控制的地址。
返回地址是通过加密的,通过 app 中的加密密钥,可以直接使用 AES 算法解密黑客的地址,以 ETH 地址为例,解密如下:
第三步,通过 replaceBytes 函数替换用户输入的地址为黑客控制的恶意地址。
通过测试发现通过恶意域名的 /api/index/get_ws 接口获取的恶意地址会不定期变化,目前获取的地址已经更新,不是受害者转账时的地址,目前获取的新地址 0xf02FFBC0114562E30447c21f8273d8667 Ab 4 eB 3 B 还没有收到受害者的资金
截至目前,此恶意接口 /api/index/get_ws 还在正常运行,还会导致更多受害者损失。
损失资金追踪分析
零时科技安全团队接到受害者的协助请求后,第一时间分析并监控了黑客相关地址。
其中 140 万美金被盗资金,进入黑客地址 0xa160……9a41 ,在几小时后,黑客将资金转移到地址 0x570C……BdDb,然后通过多笔分散转移两个地址,最后汇集到 0x8785……8885 地址,如下图:
通过分析发现,黑客地址 0xa160……9a41 的手续费来自 Binance 交易平台,转移后的地址 0x570C……BdDb 手续费来自 mexc.com 交易平台。
另外一个 8 万美金被盗资金,进入黑客地址 0x319c……8486,0xad8……95b9,然后通过多笔分散转移,最后汇集到 Binance 交易平台,通过分析发现,黑客地址的交易手续费也来自 Binance 交易平台,如下图:
零时科技安全团队会继续关注此恶意聊天软件的扩散,以及监控相关黑客钱包地址的资金转移动态,及时提供情报预警,防止更多用户资产被盗。
总结建议
本次案例是由于受害者下载恶意的 WhatsApp 聊天软件,导致转账目标地址被篡改,损失大量资金,类似的案例还有很多,例如通过恶意假交易平台、假钱包、假 Telegram 等。
零时科技安全团队收到大量用户资产损失协助的请求,发现通过社交软件等恶意软件进行转账地址拦截修改的情况越来越多,为避免造成资金损失,在此,再次建议:
第一,下载使用 APP 时还是需要多方确认,认准官方下载渠道,检查签名一致性;
第二,大额转账时分多次进行,先小额确认到账情况,再继续转账;
第三,转账时多次确认转账地址,包括地址正确性检查,尽量检查每一位字符。
3 分布式资本创始人 4200 万美金资产被盗分析及追踪
事件背景
2022 年 11 月 23 日,分布式资本创始人沈波发推文称,价值 4200 万美元的个人钱包资产被盗,其中包含 3800 万枚 USDC 和 1606 枚 ETH,在纽约时间 11 月 10 日凌晨被盗。被盗资产为个人资金,与分布式相关基金无关。目前已当地报案,FBI 与律师均已介入。
零时科技安全团队监控到此消息后,及时进行追踪分析。
注:沈波先生为以太坊早期投资人及以太坊早期布道者。分布式资本成立于 2015 年,是中国首家专注于投资区块链技术相关企业的风险投资企业。
事件分析
本次安全事件的受害者沈波先生的钱包地址为:
0x6be85603322df 6 DC 66163 eF 5 f 82 A 9 c 6 ffBC 5 e 894
攻击者钱包地址为:
0x24b93eed37e6ffe948a9bdf365d750b52adcbc2e
被盗的 38, 233, 180 枚 USDC 通过 transfer 函数直接转出,交易 hash 为:
0xf6ff8f672e41b8cfafb20881f792022f6573bd9fbf4f00acaeea97bbc2f6e4f7
被盗的 1606 枚 ETH 交易 hash 为:
0 xbc 9 ce 2 f 860 ee 2 af 834662782 d 30452 a 97 eb 3654 ecaf 9 c 4 d 00291 d 1233912 a 3 f 5
随后攻击者将 38, 233, 180 枚 USDC 兑换为 DAI,交易 hash 为:
0x04c43669c930a82f9f6fb31757c722e2c9 cb 4305 eaa 16 baafce 378 aa1c09 e 98 e
将兑换的 38, 100, 000 枚 DAI 发送到了另一个地址,暂未转移,地址如下:
0x66f62574ab04989737228d18c3624f7fc1edae14
通过分析,发现接收 DAI 的地址 0x66f62574ab04989737228d18c3624f7fc1edae14 收到一笔来自 0x077d360f11d220e4d5d831430c81c26c9be7c4a4 地址的 0.1594 个 ETH 手续费,而且通过零时科技虚拟币追溯分析平台标记 0x077d360f11d220e4d5d831430c81c26c9be7c4a4 为 ChangeNow 兑换平台地址,是攻击者用来掩盖交易痕迹的行为。
目前 38, 100, 000 枚 DAI 和 1606 枚 ETH 还在攻击者地址未转移,零时科技安全团队已经加入监控列表,持续跟踪资产转移动态。
总结建议
首先此次资产被盗事件是通过受害者钱包直接转移,所以疑似钱包私钥泄漏,然后攻击者及时将 USDC 兑换成 DAI,目前暂时无法通过中心化机构进行冻结此笔资产。
接下来针对此次事件的资产追踪可做的工作如下:
第一、通过 ChangeNow 平台获取攻击者兑换 ETH 手续费的钱包地址进行溯源找到线索;
第二、同步实时监控攻击者地址的资产转移进行追踪;
第三、通过链上交易与攻击者取得联系。
零时科技安全团队会继续跟踪此次事件,也再次呼吁大家保管好自己私钥,提高安全意识,注意钱包和资产安全,有任何资产丢失的情况,第一时间与我们取得联系。
·注:行业其他经典攻击案例详细分析,请关注零时科技公众号查看。
Nomad 跨链桥被盗 1.8 亿美元事件分析建议
天价美元损失案 Harmony 事件分析
Beanstalk Farms 4.5 亿人民币攻击事件分析
结语
Web3 因其巨大的创新能力和开源优势成为蓬勃发展的新一代网络基础设施,为整个互联网世界带来更加可信,可传递价值的生态系统。尽管 Web3 行业安全事件不断,黑客和犯罪分子各种手法层出不穷,但这并不能阻碍 Web3 行业的健康发展。
相反,如同对弈的双方,Web3 世界的「白帽子」,像我们零时科技一样的安全机构,一定会为这一繁茂的生态保驾护航,守护新世界用户的资产,与黑客斗智斗勇,为建立起更加完善的机制、更强的技术系统、更加安全交易而不断努力。
漏洞常在,安全无价,发展与安全的博弈不会停止,但愿我们都能为自己装上一个安全盾,来应对这未来复杂的技术世界!