EFI:報告解讀之 2022 上半年區塊鏈安全態勢_加密貨幣與數字人民幣的區別

本篇主要聚焦區塊鏈生態安全概覽及攻擊手法。

區塊鏈安全態勢

近兩年來，在疫情持續肆虐、經濟衰退、能源短缺、地緣沖突升級、國際間競爭加劇等種種因素的影響之下，全球社會與經濟發展遭遇了前所未有的挑戰。與此同時，全球區塊鏈行業也經歷著一場不斷加速的變革：區塊鏈技術的效率、安全性和可擴展性得到不斷改善，元宇宙、NFT 等新興領域的興起，使區塊鏈行業正式邁入 3.0 時代。

根據慢霧區塊鏈被黑事件檔案庫（ SlowMist Hacked ）統計，截至 6 月 30 日，2022 上半年安全事件共 187 件，損失高達 19.76 億美元。

（2022 上半年安全事件）

在這些安全事件中，約 77% （144 起）源于項目自身存在漏洞被攻擊者利用，損失金額約 18.4 億美元，占安全事件總損失的 93%；約 21%（39 起） 源于包含 Phishing&Rug Pull 的 Scams，損失金額約 1.3 億美元，占安全事件總損失的 6%。

（2022 上半年安全事件攻擊原因分布圖）

（2022 上半年安全事件攻擊原因損失對比圖）

區塊鏈生態安全概覽

根據被攻擊對象的不同，我們將 187 起安全事故分為三部分：公鏈賽道、交易平臺和其他。

報告：自9月底以來基于Polygon的NFT銷售額增長了191%:金色財經報道，Messari報告稱，自9月底以來，基于Polygon的NFT銷售額增長了191%，這是目前所有區塊鏈中增漲最好的。因為Web2公司試圖將 NFT 完全集成到他們的平臺中，星巴克、Instagram (Meta)、Reddit和許多其他公司都宣布與Polygon集成。[2022/11/30 21:13:01]

公鏈賽道

作為區塊鏈行業的基礎設施，公鏈承載了人們對于區塊鏈作為 Web3 底層網絡的期望。隨著一代又一代公鏈的崛起，NFT、DeFi、GameFi、元宇宙等生態熱潮也相繼迎來爆發，同時這些項目也促進了公鏈的發展與價值提升，使多鏈世界從理想走向了現實。據 Footprint Analytics 的數據，截至 6 月累計已收錄的公鏈數量有 119 條，對比 2021 年 6 月收錄的 31 條，同比增長約 284%。

（2021 與 2022 年 6 月公鏈數量對比）

但公鏈的快速發展同時是一把雙刃劍，在促進產業進步的同時，引發的區塊鏈安全問題也顯著增加，我們分別從?DeFi、NFT、跨鏈橋三方面解析。

DeFi 生態

DeFi 作為世界上最受歡迎的可編程區塊鏈，2022 發展態勢不可小覷，據 DeFi Llama 數據顯示，6 月 30 日 DeFi 總鎖倉價值為 1432 億美元，其中 ETH 鏈以 945.5 億美元的 TVL（Total Value Locked）占據了資金沉淀的半壁江山，其次是 BSC 鏈的 110.8 億美元。2021 年以來，許多新興公鏈如 Solana、Avalanche 等通過擁抱 DeFi 快速發展鏈上生態，也吸引了大量用戶和資金沉淀。6 月 30 日 Solana TVL 為 26.4 億美元，同比增長 77%；Avalanche TVL 為 55.4 億美元，同比增長 96%。

報告：FTX事件的影響或會超出此前Luna和三箭資本崩盤時受到牽連但未破產的機構的范圍:11月10日消息，火幣研究院在昨日晚間發布的一份報告稱，本次FTX暴雷事件的影響可能會超出此前Luna和三箭資本崩盤時受到牽連但未破產的機構的范圍，并將影響深入到行業各個角落。本輪繼續參與了對FTX的借貸的機構潛藏著巨大的清算風險。

報告稱，直接影響層為FTX和Alameda直接投資的項目以及與FTX有直接借貸與合作關系的中心化機構。項目層面主要包括Solana、Fantom和Serum在內的重要的公鏈和DEX等。間接影響層為Alameda作為做市商和股權置換的項目，或者和FTT等資產重度綁定的項目，如bitDao、MIM等。這些項目雖然沒有FTX的投資，但與其存在較深入的業務往來，在當前的情況下也會受到較大的影響。輻射層為大盤其他資產，主要受關聯資產影響以及市場恐慌情緒帶動。[2022/11/10 12:41:49]

（2022 上半年 DeFi TVL）

隨著 DeFi 熱潮的興起，該領域也自然成為了黑客覬覦的重點對象。根據 SlowMist Hacked 統計，截至 6 月 30 日 DeFi 安全事件約 100 起，損失超 16.3 億美元。其中在 BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨鏈橋上發生的安全事件數量分別為 47 起、29 起、8 起、5 起、2 起、1 起、7 起，所造成損失分別為 1.4 億美元、3.08 億美元、5491 萬美 元、6383 萬美元、1310 萬美元、830 萬美元、10.43 億美元。

央行報告：截至2019年6月，市場上流通的穩定幣共有66種:央行發布《中國金融穩定報告（2020）》，報告在全球金融科技發展及監管進展專題中對央行數字貨幣、私人部門穩定幣等金融科技作出解讀。報告表示，2019年以來，金融服務與科技進一步深度融合，特別是數字貨幣、開放銀行等領域進展矚目。

央行數字貨幣（CBDC）研究和試點加快。根據國際清算銀行2020年初發布的《關于央行數字貨幣的后續調查》，全球參與調查的中央銀行約80%已開展了CBDC相關工作，其中40%已從概念研究轉向試驗階段，另有10%已經開展試點。

私人部門穩定幣發行活躍。自2015年美國私人部門首次推出采用穩定幣理念設計的“泰達幣”以來，全球穩定幣發行日趨活躍。截至2019年6月，市場上流通的穩定幣共有66種，另有134個穩定幣項目計劃推出。其中，美國臉書公司計劃推出“天秤幣”，為全球數十億潛在用戶提供跨境數字支付服務，引發廣泛關注。[2020/11/6 11:51:20]

（2022 上半年 DeFi 安全事件分布）

NFT 生態

基于區塊鏈技術的 NFT 也是需要重點關注的對象，隨著一批頭部 NFT 項目的崛起和各路名人的參與，NFT 極速發展。根據 Dune Analytics 的數據，OpenSea 的交易量在 1 月份達到上半年最高峰 2.84 億美元，而隨著加密貨幣市場的變化，OpenSea 在 6 月份的交易量只有 1558 萬美元，下滑 94%。在 NFT 的熱潮中，目前以太坊生態的 NFT 在市值和交易量依舊占據市場的主流，交易量超 90%。除了以太坊外，從近 30 天交易量和近 7 天交易量這些短期數據來看，Solana，Flow 等生態的 NFT 也正在快速發展，且表現亮眼，多鏈時代距離我們越來越近。

動態 | 報告：數字資產行業專業人員集中在交易所、開發公司及礦業公司:金色財經報道，根據區塊鏈協會（Blockchain Association）發布的數字資產人力資本趨勢報告，數字資產行業的專業人員中有85％受雇于交易所、開發公司或礦業公司；其中，火幣交易所是最大的雇主，其次是Coinbase和OKEx；67%的大公司在美國以外的地方注冊；新加坡增加了市場份額，正逐步成為數字代幣公司的首選地，2019年近40%的功能型代幣都在新加坡發行。[2020/1/24]

（2022 上半年 OpenSea 交易量變化圖）

（2022 上半年 NFT 攻擊事件原因分布圖）

并且隨著時間推移，不法分子的攻擊逐漸猖獗，根據 TRM Labs 發布的報告 ，在 5、6 兩個月，由 TRM Labs 社區主導的詐騙報告平臺 Chainabuse 收到了超過 100 份關于 Discord 黑客攻擊的報告；自 5 月以來，NFT 社區損失約 2200 萬美元；6 月，黑客在被黑的 Discord 中發布 NFT 相關的釣魚攻擊同比增加了 55%。

跨鏈橋

隨著區塊鏈的發展，目前已經進入一個以太坊為核心多鏈并存的局面，鏈與鏈之間的資產轉移、 智能合約的跨鏈交互已成為鏈上活動的日常，跨鏈橋作為區塊鏈基礎設施的地位越發凸顯。根據 Dune Analytics 數據，截至 6 月 30 日以太坊中 15 個主要跨鏈橋的鎖定總價值（TVL）約 83.9 億美元。目前 TVL 最高的是 Polygon Bridges（35 億美元），排名第二的是 Arbitrum Bridge（18.93 億美 元），隨后是 Avalanche Bridge（12.41 億美元）。

瑞士政府發布關于國家發行的e-Franc加密貨幣的初步報告:據bitcoinist.com消息，作為世界上對加密貨幣最友好的國家，瑞士正在采取具體措施推進其創建國家發行加密貨幣的計劃，并且瑞士聯邦委員會通過了關于e-Franc報告的提議。一旦議會下院獲得批準，該國財政部將進行進一步研究。但瑞士央行行長Andrea Maechler表示，政府發行加密貨幣的風險比私人發行的風險更大，因此要謹慎對待。今年早些時候，委內瑞拉發布了由該國石油儲備支持的數字貨幣petro。[2018/5/20]

（以太坊 15 個主要跨鏈橋的 TVL）

由于流動資金量大，去中心化程度低，權限幾乎都掌握在多簽錢包中等特性，跨鏈橋也成了黑客眼中的“香餑餑”。根據 SlowMist Hacked 統計，截至 6 月 30 日跨鏈橋安全事件共 7 起，損失高達 10.43 億美元，占比 DeFi 上半年總損失的 64%，占比上半年總損失的 53%。值得注意的是上半年，損失金額上億美元的事件 4 起中就有 3 起來自跨鏈橋。作為多鏈生態的重要基礎設施，跨鏈橋一方面承擔著巨量的資金流動，為用戶帶來了極大的便利，另一方面在安全性和去中心化水平上面臨許多挑戰，需要項目方提升安全、風控等能力。

（2022 上半年跨鏈橋安全事件）

交易平臺

加密貨幣行業一直處在監管漩渦中，首當其沖的就是加密貨幣交易平臺。交易平臺發生的安全事故分析如下：以全球交易量最大的平臺 Binance 為例，自 2021 年來，Binance 已遭到數十個國家和地區的監管警告，包括歐洲、美洲、 亞洲在內的多個地區。在全球強力監管信號下，Binance 陸續在西班牙、法國、阿布扎比、迪拜、意大利、巴林等國家或地區獲得了監管許可并進行了注冊，逐步推進其合規化進程。

在上半年，全球共發生 4 起交易平臺安全事件，損失超 7770 萬美元，具體如下：

1 月 9 日，LCX 技術團隊在 LCX 交易平臺上檢測到一個未經授權的訪問，總共約 794 萬美 元的加密資產被盜。

1 月 17 日，Crypto.com 少數用戶遭到未經授權提款，損失約 3400 萬美元，包括 4,836.26 ETH、443.93 BTC 和約 66,200 美元的其他加密貨幣。

2 月 8 日，LockBit 勒索軟件團伙稱從加密貨幣交易平臺 PayBito 竊取了大量客戶數據。

2 月 12 日，來自美國南達科他州提供自主退休金賬戶的 IRA Financial Trust 對加密交易 平臺 Gemini 提起訴訟，指控稱由 Gemini 保管的屬于客戶退休賬戶的 3600 萬美元加密資產被盜。

（2022 上半年交易平臺攻擊事件損失對比圖）

慢霧安全團隊建議各大交易平臺健全內部管理與技術機制，通過引入安全審計機制、零信任機制、冷熱資產安全解決方案等來加強對數字資產的安全保障。

其他

不法分子看中加密貨幣的匿名性，區塊鏈已成為網絡黑產的新風口，呈現出越來越明顯的組織化與專業化趨勢，“勒索”、“欺詐”及“盜竊”已成為加密貨幣巨大安全威脅。據中國人民銀行支付結算司數據 ，2021 年涉詐款項的支付方式中，利用加密貨幣進行支付僅次于銀行轉賬，排名第二位，高達 7.5 億美元；而 2020 年、2019 年僅為 1.3、0.3 億美元，逐年大幅增長的趨勢明顯。值得關注的是，加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。2021 年“殺豬盤”詐騙資金中 1.39 億美元使用加密貨幣支付，是 2020 年的 5 倍、2019 年的 25 倍。

攻擊手法概覽

以上 187 起安全事件中，攻擊手法主要分為四類：由項目自身設計缺陷和各種合約漏洞引起的攻擊；包含 Rug Pull、釣魚攻擊等手法的 Scam；由于私鑰泄露引起的資產損失；前端惡意攻擊，這四種主要攻擊手法占比安全事件總數量的 95%。

（2022 上半年攻擊手法數量對比圖）

（2022 上半年攻擊手法損失對比圖）

總結

盡管 2022 年區塊鏈技術正在飛速發展并且逐漸完善，但層出不窮的加密貨幣攻擊事件對區塊鏈生態安全態勢提出了新的挑戰。從統計數據來看，上半年發生安全事件次數較多的月份主要在 5、6 月；從各生態來看，BSC 上安全事件發生最多；從賽道來看，損失最多的是跨鏈橋。

（2022 上半年各月份各生態賽道事件分布）

對此慢霧安全團隊建議：

對于機構和企業來說，最好能夠建立全面的網絡安全防護系統，防護從各個層次入侵的網絡安全威脅，并通過威脅感知體系快捷獲取病木馬、釣魚詐騙、網絡安全預警、漏洞報告在內的安全情報，一旦發生安全威脅能夠及時進行處理。

對于個人用戶來說，遵守以下安全法則及原則，可以避免大部分風險：

兩大安全法則：

零信任。簡單來說就是保持懷疑，而且是始終保持懷疑。

持續驗證。你要相信，你就必須有能力去驗證你懷疑的點，并把這種能力養成習慣。

安全原則：

網絡上的知識，凡事都參考至少兩個來源的信息，彼此佐證，始終保持懷疑。

做好隔離，也就是雞蛋不要放在一個籃子里。

對于存有重要資產的錢包，不做輕易更新，夠用就好。

所見即所簽。即你看到的內容就是你預期要簽名的內容，當你簽名發出去后，結果就應該 是你預期的，絕不是事后拍斷大腿的。

重視系統安全更新，有安全更新就立即行動。

不亂下程序。

在此，十分推薦閱讀并掌握 《區塊鏈黑暗森林自救手冊》（https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md）。

區塊鏈發展道阻且長，期望隨著行業的不斷完善，區塊鏈可以迸發出更大的力量，走向更大的舞臺

Tags：區塊鏈NFT加密貨幣EFI哪個不是區塊鏈特性BONSAI Vault (NFTX)加密貨幣與數字人民幣的區別defi幣是什么幣

Polygon