作者:比特叢林
隨著數字化進程的不斷深入,區塊鏈技術已成為許多領域的重要驅動力,它不僅為金融、醫療、物流等傳統行業帶來了顛覆性的變革,而且也為參與者帶來了更加開放和透明的體驗。然而,隨著區塊鏈技術的廣泛應用,與之相關的安全問題也變得愈發嚴峻。近年來,區塊鏈安全事件頻發,不僅對個人和企業造成了巨大損失,而且也對區塊鏈技術的發展帶來了挑戰。
本報告對2023年上半年的區塊鏈安全事件進行梳理和分析,旨在探究區塊鏈安全存在的隱患,以及分析區塊鏈安全事件的成因,并提出相應的解決方案和建議。我們希望通過這份報告引起各方對區塊鏈安全問題的關注,共同推動區塊鏈技術的安全發展,為數字化世界的未來奠定堅實的基礎。
2023年上半年共發生主要攻擊事件192起,總損失金額約為9.2億美元。
損失金額超過 1 億美元的安全事件共 4 起:
·Euler Finance閃電貸攻擊事件損失 1.97 億美元
·Blockchain for dog nose wrinkles詐騙項目造成損失 1.27 億美元
·BonqDAO & AllianceBlock操縱價格造成損失 1.2 億美元
2021年第一季度加密初創公司共募資超26億美元:數據顯示,在2021年第一季度間,129家加密初創公司共募資超26億美元,超遠2020年全年加密初創公司募資總額(23億美金)。然而在此26億美元募資中,大部分資金流入至BlockfiInc、DapperLabs,以及Blockchain.com等頭部項目中。(CBInsights)[2021/4/6 19:50:06]
·Atomic Wallet錢包被盜造成損失1億美元
損失金額在1000萬美元至1億美元區間的事件 12 起
損失金額在100萬美元至1000萬美元區間的事件 40 起。
根據分析安全事件使用的攻擊手法,其中頻率最高的攻擊手法為Rug Pull與合約漏洞,均為32次攻擊。其次為閃電貸攻擊,共發生了20次,占所有事件數量的14.93%。
在發生數量TOP8的攻擊手段中,閃電貸損失金額最大,共造成2.5億美元的損失。位于其后的是區塊鏈騙局,雖然只發生了七次,但是造成的損失達2.3億美元。
加密友好密歇根州議員Justin Amash計劃參與2020年大選:來自美國密歇根州的獨立國會議員賈斯汀·阿瑪什(Justin Amash)表示,他計劃在2020年大選中擔任自由主義者候選人。Amash是除了John McAfee和Adam Kokesh之外同樣贊成加密貨幣的人,也是自由市場的信徒,他在七年前就比特幣發表了積極的講話。(Bitcoin.com)[2020/5/1]
而合約漏洞和Rug Pull雖然發生總數相對較多,占所有攻擊手法的47.76%,但其造成的損失遠不及前兩者,僅有6649萬美元的損失。這些攻擊手段的高發生率和巨大的損失金額再次凸顯了加密貨幣市場中的風險。盡管區塊鏈技術有著很大的潛力和應用前景,但是它仍然面臨著安全風險和技術挑戰。
Rug Pull事件頻發,其中75%的項目跑路金額在1000萬美元以下、28%的項目跑路金額在100萬美元以下。這類項目通常官網、推特、電報、Github等信息缺失,沒有Roadmap或白皮書,團隊成員信息可疑,項目上線到最后跑路周期不超過三個月。
此類安全事件帶來的損失,不容忽視,需要加強對項目背景的調查,提高對陌生信息的防范意識,以及通過提前預防,從而提高防范能力,避免損失的發生。
分析師:BTC今年恐難創新高,但2021年將漲至1.5萬美元:加密貨幣分析師Crypto Michael近期接受采訪時被問及“BTC的下一個歷史高點將在何時達到”時表示,他認為今年可能不會出現這種情況。但他預計,2021年比特幣可能達到1.2萬美元或1.5萬美元。但他承認,如果加密市場出現大幅反彈,或出現一些重大的“FOMO”現象,比特幣價格可能在2020年大幅上漲。(U.Today)[2020/3/13]
鏈上應用(On-chain Application),也稱為去中心化應用(Decentralized Application,DApp),是構建在區塊鏈或分布式賬本技術之上的應用程序。使用區塊鏈的特性和功能進行數據存儲、交易處理和智能合約執行。
2023年上半年,鏈上應用共發生 157 次安全事件,占總事件數量的 81%。鏈上應用總損失金額達到了 7.4億 美元 ,占總損失金額的 79%。鏈上應用為這半年中被攻擊頻次最高、損失金額最多的類型。
鏈上應用類型的安全事件在上半年六個月發生的頻率幾近相同,安全事件出現原因的前三分別是Rug Pull、合約漏洞、Twitter 被黑。
建議:
項目方在設計、構建項目時充分考慮項目的安全性,在實現功能的同時考慮到校驗功能是否會被繞過、是否存在缺陷,在項目上線前充分進行安全審計。
動態 | SEC推遲決定Wilshire Phoenix比特幣ETF至2020年2月26日:美國證券交易委員會(SEC)推遲對Wilshire Phoenix提交的比特幣和美國國債交易所交易基金(ETF)提案做出決定。根據當地時間上周五公布的一份文件,SEC將推遲對該提案作出決定至2020年2月26日。[2019/12/21]
用戶投資鏈上應用前盡量多方考察、慎重決策,謹慎投資。
交易所(Exchange)是指提供數字資產買賣和交易服務的平臺或機構。它允許用戶以一種數字資產(如比特幣、以太坊等)交換另一種數字資產,或者以法定貨幣(如美元、歐元等)購買或出售數字資產。
2023年上半年,交易所是安全事件發生數量排名第二的類型,上半年共發生11起交易所領域內的安全事件,共造成了7318萬美元的損失。主要被攻擊原因為合約漏洞。
有關交易所的安全事件每個月都有發生。而且由于安全事件損失的金額也不在少數。
用戶要小心處理釣魚和惡意鏈接:避免點擊不信任的鏈接,尤其是通過電子郵件或社交媒體收到的鏈接。
定期檢查賬戶活動;不集中存儲所有資金;更新和保護設備;選擇值得信任的安全公司進行提前審計。
公有鏈(Public Blockchain)簡稱公鏈,是指全世界任何人都可隨時進入讀取、任何人都能發送交易且能獲得有效確認的共識區塊鏈。側鏈是平行于主鏈的一條區塊鏈,可以理解為是區塊鏈的一種擴展協議。以滿足特定的業務需求,例如跨鏈資產交換、私有鏈擴展和特定行業的區塊鏈解決方案。
聲音 | 馬世韜:螞蟻區塊鏈預計將在2020年2月份發布開放聯盟鏈:今日,在2019網易大會中的“區塊鏈+實體經濟論壇”中,螞蟻金服區塊鏈首席解決方案架構師馬世韜就“區塊鏈與實體經濟應用”主題進行了演講。在未來20年更多的詞匯會是“上鏈”,通過“上鏈”讓更多的資產數字化,讓人、設備、商業、社會協同創新。區塊鏈進一步幫我們提升局部信息不對稱、易造假的問題。此外,螞蟻區塊鏈預計將在2020年2月份發布開放聯盟鏈,能讓參與者低成本開發區塊鏈。[2019/11/23]
2023年上半年,公鏈/側鏈是安全事件發生數量排名第三的類型。主要被攻擊原因為智能合約漏洞。
選擇可靠的共識機制。
使用安全的加密算法生成和存儲密鑰,使用多重簽名技術增加交易的安全性。
進行定期的安全審計,包括代碼審查、安全性測試和漏洞掃描,以識別潛在的安全漏洞和弱點。
跨鏈橋(Cross-Chain Bridge)是一種允許在不同區塊鏈網絡之間傳輸數字資產的技術解決方案。跨鏈橋通常會在起始鏈上的智能合約中鎖定或銷毀通證,并通過目標鏈上的另一個智能合約解鎖或鑄造通證。跨鏈通信本質上需要在安全、信任和靈活性三個維度上做出權衡。由于這些復雜因素的存在,跨鏈橋成為了Web3領域主要的攻擊對象。
2023年上半年就發生了8次跨鏈橋安全事件,損失金額為1137萬美元。
在2022年,12次跨鏈橋安全事件共造成了約18.9億美元損失,居所有項目類型損失的第一位。相比于去年,跨鏈橋在今年的上半年已經發生了7次安全事件,再加上近日出現的Poly Network 和Multichain的安全事件已出現了10起安全事件,跨鏈橋安全事件有比去年更為嚴重的發展態勢。主要被攻擊原因為智能合約漏洞、閃電貸等。
項目方在設計跨鏈消息傳輸協議時將安全放在第一位。
區塊鏈錢包是區塊鏈中一個重要組成部分,是一種數字貨幣存儲和管理工具,它允許用戶安全地保存、接收和發送各種加密貨幣,如比特幣、以太坊和其他代幣。錢包安全一直是區塊鏈行業的一個熱門話題,一旦錢包受到攻擊,攻擊者可以輕易地竊取用戶的私鑰和助記詞等敏感信息,進而掌握用戶的數字資產。這些數字資產的價值可能非常高,一旦被盜,損失也會非常慘重。因此,為了最大限度地保障用戶的數字資產安全,我們建議用戶采取一些安全措施。
2023年上半年中,錢包被攻擊的安全事件相比于其他類型數量較少,但是,當錢包受到攻擊,損失便是較大的數額。如Atomic與MyAlgo的錢包事件,兩次攻擊事件造成了高達1.09億美元的損失。
事件數量總數排名第三的類型為錢包,該類別發生安全事件的原因大多是私鑰、助記詞泄露。
選擇可信的錢包提供商:選擇一個有良好聲譽和可靠歷史記錄的錢包提供商。確保了解他們的安全實踐,如何保護用戶數據和私鑰等敏感信息。
使用雙重身份驗證:啟用雙重身份驗證可以增加您賬戶的安全性。這種方法需要您在登錄時輸入除用戶名和密碼外的另一種身份驗證方式,例如驗證碼或指紋識別。
不要分享您的私鑰:私鑰是您加密貨幣的所有權證明。不要與任何人分享您的私鑰,包括錢包提供商。如果有人要求您提供私鑰,那么這很有可能是一種詐騙行為。
定期備份您的錢包:定期備份您的錢包可以確保您在錢包丟失或遭受攻擊時可以恢復您的加密貨幣。您可以將備份保存在安全的地方,例如離線設備或硬件錢包中。
小心處理未知的電子郵件或信息:不打開或下載未知來源的電子郵件或信息。這些可能包含惡意軟件或鏈接,可能會導致您的錢包被攻擊。
確保您的計算機和手機設備是安全的:確保您的計算機和手機設備具有最新的防病和安全更新,以保護您的設備免受攻擊。
不要在公共場所使用未知的Wi-Fi網絡,因為這些網絡可能不安全,可能會被黑客用來攻擊您的錢包。
確保您的錢包軟件是最新的:確保您的錢包軟件是最新版本。新版本通常包含安全更新和修復,可以幫助您保護您的錢包免受攻擊。
關注有關錢包安全的最新信息:了解有關錢包安全的最新信息和事件,以幫助您保持對錢包安全的了解,并采取適當的預防措施。
通過對2023年上半年區塊鏈安全事件的整理,發現鏈上應用是半年來被攻擊頻次最高、損失金額最多的項目類型。鏈上應用領域共發生157次安全事件,其中32次都基于合約漏洞進行攻擊。
面對頻出的安全事件,研發者應該進一步遵循安全編碼、審計合約代碼、使用成熟的安全庫等保障用戶權益;而作為使用智能合約的用戶也應該謹慎選擇合約,并在使用前仔細檢查其代碼和安全性,選擇專業的安全公司進行審計。當安全事件發生時,用戶能做到的很有限,只有不斷提高自身的安全意識,提前發現漏洞,解決漏洞,做好防范才能盡可能避免被攻擊。
本報告提供的信息僅供參考和研究,信息來源于公開渠道,作者已經盡力核實準確性和完整性,但不能保證其準確性和完整性,也不承擔因使用或依賴該信息而產生的任何損失或損害的責任。本報告不應視為對任何特定區塊鏈項目或加密貨幣投資的推薦或建議,讀者應該自行進行研究和決策。本報告的內容不能替代讀者的判斷和決策,也不能保證所述情況的持續存在或實現。
金色財經
企業專欄
閱讀更多
金色薦讀
Block unicorn
區塊鏈騎士
金色財經 善歐巴
Foresight News
深潮TechFlow
上周,SEC正式公布對Binance和Coinbase的起訴書,有人終于盼到監管部門正式介入種種灰色地帶,有人認為相關交易平臺能提供更好的投資者保護.
1900/1/1 0:00:00原文作者:Alex Nguyen 原文編譯:深潮 TechFlowStacks 作為一個智能合約平臺,可以讓比特幣用于去中心化應用和去中心化金融(DeFi),釋放出數萬億潛在的比特幣資本.
1900/1/1 0:00:00界面新聞記者:張熹瓏 司馬林威Web3.0正發展為全球金融領域的新賽道,從紐約、倫敦到新加坡、香港,全球主要的金融中心已先后成為入局者。2022年以來,香港在Web3領域動作頻頻.
1900/1/1 0:00:00導語: CMC Research報告列出的2023年下半年Crypto行業的一些熱點主題: 一、比特幣現貨ETF 2023年6月.
1900/1/1 0:00:00作者:Ben Strack,blockworks 編譯:金色財經,善歐巴最新的修正案反映了納斯達克提交的與貝萊德擬議產品有關的文件中已經存在的措辭.
1900/1/1 0:00:002023年7月中旬,河南各大新聞媒體通過抖音、微博等傳播工具大力打擊,并向社會公眾宣布“華英會”是一個傳銷組織,全網已經對華英會的主犯展開了全面的緝拿.
1900/1/1 0:00:00