隨著2021年區塊鏈行業迎來新的發展時期,區塊鏈作為“新基建”的重要組成部分,與實體經濟和數字經濟加速融合,穩步推進,區塊鏈應用價值得到進一步凸顯。與此同時,各類區塊鏈安全風險也伴隨著技術的大規模應用不斷升級。
在過去的2021年,區塊鏈面對了更嚴峻的安全挑戰,區塊鏈生態領域發生了不少大規模和令人震驚的網絡攻擊事件。今天,跟著我們一起來回顧2021年區塊鏈安全生態都發生了什么。
1.2021年區塊鏈安全生態概覽
根據成都鏈安監測到的數據不完全統計,截止發稿前,2021年整個區塊鏈生態發生的相關典型安全事件數量超332起,相比于2020年的270起,增幅超22%;2021年,整個區塊鏈生態造成的經濟損失超153億美金,較2020年增幅超26%。
值得注意的是,據成都鏈安安全團隊歷年數據統計,2018年區塊鏈生態經濟損失超20億美元,2019年區塊鏈生態經濟損失超60億美元;2020年區塊鏈生態經濟損失超121億美元,加上2021年超153億美元的經濟損失,可見這幾年來,區塊鏈生態經濟損失越發嚴峻。
2010年-2021年區塊鏈生態經濟損失
自2016年以來,區塊鏈生態經濟損失逐年增多,源于近幾年來區塊鏈行業進入到一個高速發展的階段,伴隨著區塊鏈底層技術逐步走向成熟,區塊鏈應用價值愈加獲得認可,區塊鏈生態所承載的經濟效益逐年提升,隨之而來的安全風險也愈發嚴峻。
全球加密資產普及程度提升且總市值不斷突破歷史新高,黑客與不法分子的犯罪行為隨之更加猖獗。
反映問題方面,其一,整個區塊鏈生態當下仍缺乏普適的安全標準和安全規范,行業亂象難以得到有效遏制;其二,區塊底層技術在應用層、合約層、網絡層、共識層分別仍然存在著各種不容忽視的安全風險;其三,區塊鏈生態的安全監管進程亟待推進,如何實現高效可行的安全監管,是整個行業需要重點攻堅的難題所在。
除區塊鏈技術架構本身所存在的安全風險之外,其諸如去中心化、難篡改、匿名等“基因特性”也為區塊鏈安全監管層面帶來了不容忽視的挑戰。具體表現為三個方面。
1
一是區塊鏈技術無國界限制,區塊鏈網絡節點可存在多個國家,鏈上產生的異常行為追蹤,引發管轄權限困境、責任認定困境等問題。
2
二是區塊鏈的強隱秘性,無疑增加了安全事件和犯罪行為的追蹤溯源難度。
報告:借鑒區塊鏈技術的優勢對于提升車聯網的安全性具有重要意義:金色財經報道,中國通信學會于12月6日發布《蜂窩車聯網(C-V2X)技術與產業發展態勢前沿報告》,在報告中,提到關于基于區塊鏈的車聯網安全技術。報告顯示:
區塊鏈技術所倡導的問題場景和優勢與車聯網特征不謀而合。因此,借鑒區塊鏈技術的優勢,并將其應用于車聯網的訪問控制、通信安全、數據安全等方面,對于提升車聯網的安全性具有重要意義。
基于區塊鏈的車聯網安全技術在展現生命力的同時,仍然面臨諸多低效的區塊生成機制導致交易數據處理時延過高、海量車聯網數據給區塊鏈節點存儲空間帶來壓力、區塊鏈自身的安全隱患、不同區塊鏈底層技術限制多鏈之間的互聯互通、區塊鏈的用戶身份隱匿性阻礙了網絡安全事件的追蹤溯源、區塊鏈的防篡改特性增加了內容管理的難度等挑戰。
因此,未來基于區塊鏈的車聯網安全技術的研究包括:面向客戶端的細粒度動態接入控制機制、基于密碼學的通信協議輔助區塊鏈的安全數據傳輸、面向通信協議的分布式密鑰分配、輕量級共識機制設計、基于區塊鏈的車聯網安全體系架構設計等。[2020/12/16 15:21:30]
3
三是區塊鏈的防篡改性,為有害信息、犯罪行為等形成天然庇護,向行業安全監管提出挑戰。
2.2021年區塊鏈安全事件全畫像
典型安全事件數量
根據成都鏈安監測到的數據不完全統計,截止發稿前,2021年整個區塊鏈生態發生的相關典型安全事件數量超332起,安全事件爆發峰值在8月,6、7月安全形勢也較嚴峻。
典型安全事件類型占比
安全事件主要集中在交易所、DeFi、詐騙跑路/加密騙局、勒索軟件/挖礦木馬、暗網、其他等方面,其中DeFi安全事件101起、詐騙跑路/加密騙局95起,成為年度主要的安全事件來源。
2021年典型安全事件分布類型
典型安全事件導致的經濟損失金額
據成都鏈安監測數據不完全統計,2021年安全事件造成的經濟損失超153億美金,較2020年的121億美金趨勢依然走高。其中詐騙跑路/加密騙局導致的經濟損失形式最為嚴峻。
Fetch.ai與Datarella在慕尼黑進行基于區塊鏈的AI智能城市基礎設施試驗:英國劍橋人工智能實驗室Fetch.ai正在為智能基礎設施構建去中心化機器學習網絡。Fetch.ai與總部位于德國慕尼黑的企業區塊鏈解決方案提供商Datarella合作,宣布在慕尼黑實施智能城市基礎設施試驗。慕尼黑的智能城市分區試驗稱為M-Zone,將在康奈克斯大樓啟動,并將使用基于區塊鏈的多代理人工智能服務來優化市中心商業房地產的停車資源,以減少城市的碳足跡。(ZDNet)[2020/11/20 21:30:54]
2021各類型典型安全事件造成的經濟損失金額
3.安全風險分析及應對策略
作為多種技術整合的一種全新的數據記錄、存儲和表達的方式,區塊鏈技術能夠在不可信的競爭環境中低成本建立信任機制,同時又具備一系列加密算法和數字簽名等方式以確保交易安全,并形成一種隨時間戳排序的鏈式結構來保證數據不被篡改。可盡管如此,區塊鏈既是堅韌的安全捍衛者,同時也是脆弱的被攻擊對象。
DeFi生態方面
由于DeFi熱潮的興起,該領域也自然成為了2021年黑客“大展拳腳”的重點對象。
建議
項目上線前,DeFi項目方應做好前置預防工作,尋求第三方安全公司進行嚴格的安全審計,引入一整套態勢感知、威脅情報、安全響應等全生命周期的安全解決方案,完善安全防護機制。作為用戶,在選擇項目時,應留意該項目是否經過第三方安全公司的安全審計,是否具備權威的安全審計報告,切不可掉以輕心。
詐騙跑路/加密騙局方面
2021年詐騙跑路/加密騙局方面所造成的經濟損失遠超于黑客的攻擊行為和盜竊行為。波及人數多、遍布區域廣、涉案金額高等原因推波助瀾,進而導致該領域安全事件高發,經濟損失嚴重。
建議
作為用戶和投資者,應提高警惕,謹慎甄別投資產品和投資項目,不盲從,不跟風。加強自身安全意識和防騙意識,謹慎分辨網絡上的有關消息,切莫掉進圈套。行業各方從業者應積極配合相關部門,推動整個區塊鏈生態安全監管的進程建設。
勒索軟件/挖礦木馬方面
勒索軟件方面,黑客一般會通過釣魚攻擊、病軟件、漏洞攻擊鎖定受害人的網絡設備或加密重要文件,以此勒索指定加密資產;而挖礦木馬方面,則會利用挖礦木馬和蠕蟲來完成大量計算以獲取加密資產,在計算過程中,計算機大量的CPU、GPU資源被占用,將導致計算機變得異常卡慢,干擾正常系統運行。
建議
動態 | 報告:在2018年中國區塊鏈創業活躍度城市排名中 成都居全國第六:據成都商報8月14日報道, 近日,由成都市互聯網信息辦公室、成都市經濟和信息化局委托中國互聯網絡信息中心、成都市移動互聯網協會聯合編制的《2018年成都市互聯網絡發展狀況報告》正式發布。報告顯示,成都區塊鏈發展力量正在崛起,在2018年中國區塊鏈創業活躍度城市排名中,成都居西南區第一、全國第六。業務領域涉及金融、資產管理、能源、商貿、信息安全等。成都區域內,包括新網銀行、中聯通信、數聯銘品、食物優等企業正專注于區塊鏈支付、智能投顧、量化交易、溯源等領域的創新探索,電子科技大學、四川大學等依托自身的科研實力,不少底層技術研發正在涌現。[2019/8/15]
應避免使用弱口令密碼,同一個密碼不能重復使用。日常工作中應加強安全防護,不要輕信或下載來源不明的鏈接或文件,謹慎打開來歷不明的郵件或網址。聯合全球力量,嚴厲打擊勒索軟件/挖礦木馬,推動行業安全監管進程建設。
暗網方面
2021年暗網方面依然是網絡犯罪活動頻發的不法之地,犯罪分子為逃避有關部門的監管和追蹤,基于加密資產的匿名特性,多會選擇以比特幣、萊特幣等作為交易媒介。
建議
作為用戶,應正確使用互聯網,規范網絡道德。作為網絡安全公司,需加強暗網治理有關技術,協助相關部門參與到打擊暗網和黑灰產業鏈的專項行動中。加強國際合作,提升全球治理和管理暗網的整體實力。
交易所方面
交易所是距離用戶資產最近的地方,用于海量資產的管理存儲及撮合交易,因此一直以來也是黑客首當其沖的攻擊目標。
建議
從交易所應建立完善的安全風控應急預案,以及時響應并處置各類黑客攻擊事件的發生。交易所應建立全面的安全防護機制,加固平臺自身安全架構,并適時對平臺進行來自第三方安全公司的整體安全測試。加強對內部員工和用戶的安全意識普及,避免出現監守自盜的情況。
其它方面
其他方面,諸如信息泄露、隱私保護、私鑰竊取、非法洗錢等各領域所發生的安全事件依然不容忽視。同時,隨著區塊鏈技術與多個產業領域實現大規模融合及應用,未來各類型的安全事件將呈高發態勢,值得重點關注,需及時搭建起具備針對性的安全防御機制。
建議
行業各方從業者在關注熱點領域安全事件的同時,也需兼顧其他方面的安全風險。在夯實傳統安全、網絡安全的基礎上,積極應對區塊鏈生態各領域的安全挑戰。加強對區塊鏈安全技術的投入與研究,建立覆蓋區塊鏈生態全生命周期的安全解決方案。
行情 | 美股區塊鏈概念股普遍收漲:今日美股收盤,美股區塊鏈概念股普遍收漲。柯達收漲5.04%,埃森哲收漲1.39%,overstock.com收漲2.19%,Riot Blockchain收跌3.79%,Marathon Patent收跌1.75%,Square收漲1.52%。[2019/3/12]
4.2021年區塊鏈十大安全事件盤點
根據事件的損失金額大小,一起來回顧2021年十大安全事件。
No1.?
POLYNETWORK:6.11億美元?
時間:2021年8月10日
攻擊手法:合約權限管理邏輯存在問題
8月10日晚,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,跨鏈協議PolyNetwork遭受攻擊,Ethereum、BinanceChain、Polygon3條鏈上近6億美元資金被盜。
經過分析,成都鏈安技術團隊發現攻擊者利用EthCrossChainManager合約中存在的邏輯缺陷,通過該合約調用EthCrossChainData合約中putCurEpochConPubKeyBytes函數更改Keeper為自有地址,然后使用該地址對提取代幣的交易進行簽名,從而將LockProxy合約中的大量代幣套取出來。
相關閱讀:
年度最大DeFi黑客事件!成都鏈安關于PolyNetwork被攻擊事件全解析
獨家|撥開PolyNetwork攻擊事件的迷霧,成都鏈安成為首家提前找到攻擊源頭的安全公司
No2.?
BITMART:1.96億美元?
時間:2021?年?12月4日
攻擊手法:熱錢包私鑰被盜
10月4日,加密貨幣交易平臺Bitmart遭黑客竊取1.96億美元,該平臺官方聲明了黑客入侵事件,表示這是一次大規模安全攻擊事件。其中約1億美元來自以太坊區塊鏈的各種加密貨幣,9600萬美元來自幣安智能鏈上的貨幣。后來,BitMart創始人兼CEOSheldonXia在社交媒體表示,BitMart已完成初步安全檢查并確定受影響的資產,主要是由于兩個熱錢包被盜私鑰造成的。
No3.?
Compound:1.47億美元??
動態 | 網易推出新區塊鏈應用“網易圈圈”可投資內容賺錢:據搜狐消息,繼網易星球之后,網易官方又推出了一款新的區塊鏈應用——網易圈圈,該平臺號稱為“應用區塊鏈技術打造的實名社交平臺。網易圈圈中推出了自有的星鉆社交體系,根據官方介紹,星鉆是基于區塊鏈技術的數字權益證明,發行總量恒定 100 億,永不增發。值得注意的是,在網易圈圈接入了資訊內容“看點”,主要基于“標簽”的泛熟人圈社交方式,智能推薦用戶可能關心的動態。對于用戶而言,靠閱讀就可以賺錢,只要在網易圈圈文章下面“投資分錢”質押星鉆就可以獲得實質收益。質押的星鉆和文章閱讀量越高,用戶可以獲得越多的收益。投資所產生的收益將自動轉到圈圈的錢包,支持將月提現到支付寶。[2018/11/5]
時間:2021?年9月30日
攻擊手法:代幣分發的速率初始設定出錯
9月30日,頭部去中心化借貸協議Compound于官推表示,在通過并執行「治理提案062」后,升級合約內發錯了一個BUG,致使COMP代幣出現了異常分發情況。錯誤分配了大約8000萬美元的超額COMP,加上滴注后已經索賠的2200萬美元以及處于風險中的4500萬美元,那么漏洞總計為1.47億美元。盡管這更像是“銀行錯誤”而不是漏洞利用,但Compound在這個的排行榜上占有一席之地是公平的。
No4.?
VulcanForged:1.45億美元?
時間:2021年12月13日
攻擊手法:錢包造入侵
12月13日消息,據VulcanForged官方推特稱,96個持有PYR的錢包遭到入侵。超過450萬PYR已被盜。隨后官方表示:1.我們無能為力,他們無法從PK被盜且資金未轉移的錢包中取出資金。2.我們正在轉向一個完整的去中心化錢包設置。3.所有被盜的PYR將由我們的國庫代替。12月14日,VulcanForged在此前遭遇黑客攻擊后已向全部受損用戶賠償價值1.45億美元的TokenPYR,所有退款均來自VulcanForged財庫。
No5.?
CreamFinance:1.3億美元?
時間:10月27日
攻擊手法:閃電貸攻擊
DeFi借貸協議CreamFinance再次遭受攻擊,損失達1.3億美元。被盜的資金主要是CreamLP代幣和其他ERC-20代幣。關于本次攻擊,成都鏈安技術團隊第一時間進行了事件分析發現,本次攻擊是典型的閃電貸進行價格操作,通過閃電貸獲取大量資金后,利用合約設計缺陷,大幅改變價格導致獲利。Cream的預言機價格計算使用與yUSD的totalAsset有關。向yUSD合約直接轉賬時,不會更新Debt,從而使totalAsset增大,從而使得yUSD價格變高,可以從Cream中借出更多的資金。
相關閱讀:
被盜1.3億美元!吸引“渣男”體質?CreamFinance今年第五次遭黑客攻擊全解析
No6.?
BadgerDAO:1.2億美元?
時間:12月2日
攻擊手法:前端惡意代碼注入
12月2日,一名攻擊者利用“前端惡意代碼注入”的攻擊方式,從BadgerDAO收益金庫協議的數十名用戶的錢包中抽走了資金,總損失約為2100BTC和151ETH,合1.2億美元。據悉。早在11月28日,Discord用戶就開始報告來自Badger平臺的異常支出請求問題,并在社交媒體和Discord上提醒管理員,不過,相關提醒卻沒有得到官方的重視。
No7.?
AscendEX:7770萬美元?
時間:12月12日
攻擊手法:熱錢包私鑰被盜
12月12日,熱錢包事故致AscendEX損失近8000萬美元。12月12日,AscendEX公告了其在前一天遇到的熱錢包異常,「12月11日大約22:00UTC,我們在一個熱錢包中發現了一些未經授權的轉賬。」該交易所未在公告中說明「未經授權的轉賬」出現的原因。從這起安全事件看,保管大量用戶資產的中心化交易所在熱錢包管理上仍存在疏漏。
No8.?
EasyFi:5900萬美元?
時間:4月19日
攻擊手法:熱錢包私鑰被盜
Easyfi.network創始人兼CEOAnkittGaur在推特上稱,4月19日,黑客將大量EASY代幣從EasyFi官方錢包轉移到以太坊網絡和Polygon網絡上未知錢包;而管理這些代幣的計算機有超一周處于離線狀態并未使用。4月19日,借貸協議EasyFi創始人兼CEOAnkittGaur稱,有大量EASY代幣從EasyFi官方錢包大量轉移到以太坊網絡和Polygon網絡上的幾個未知錢包。EasyFi調查后稱,本次事件為助記詞破解安全事件,EasyFi智能合約未被黑客利用,只是MetaMask的助記詞短語或管理員密鑰遭到遠程攻擊,僅消耗了協議的流動性。
No9.?
UraniumFinance:5720萬美元?
時間:4月28日
攻擊手法:精度處理錯誤
北京時間2021年4月28日,幣安智能鏈上區塊鏈項目UraniumFinance發推提醒用戶稱:Uranium在流動性遷移過程中被攻擊,提醒用戶停止交易。由于從Uniswapv2代碼分叉的UraniumPair合約中引入了一個簡單的數學錯誤,導致本次攻擊至少損失了57,000,000美元。
No10.?
bZx:5500萬美元?
時間:11月5日
攻擊手法:私鑰泄露
11月5日,去中心化金融平臺bZx發生攻擊事故,一名黑客借助魚叉式網絡釣魚攻擊獲得了bZx平臺上用于與Polygon和Binance智能鏈區塊鏈集成的兩把私鑰,通過私鑰發起無限制消費操作,成功盜取bZx平臺價值約5500萬美元的加密貨幣資產。去中心化金融(DeFi)平臺允許用戶借貸和推測加密貨幣的價格變化。
5.最后總結
盡管2021年區塊鏈技術正在加速演進和趨于完善,但層出不窮的區塊鏈安全事件的高發對區塊鏈生態安全形勢發起了更為嚴峻的挑戰。
從2021年的各項統計數據來看,整個區塊鏈生態依然DeFi、詐騙跑路/加密騙局方面更容易成為黑客攻擊和詐騙犯罪滋生的溫床,無論是安全事件數量還是造成的經濟損失數量都非常巨大。多個DeFi項目遭到黑客攻擊,所造成的巨額經濟損失嚴重影響著區塊鏈生態的安全和穩定;虛擬貨幣的普及程度和財富效益逐步攀升,詐騙跑路/加密騙局方面的相關事件風起云涌。
對此成都鏈安建議:
廣大項目方一定要確保項目安全審計,對存在異常的操作進行實時監控,即刻發現,即刻解決;
廣大用戶也應提升相關知識儲備、增強自身的安全意識,避免造成嚴重經濟損失。
6.年度安全事件擴展閱讀
2021年安全事件分析
1、損失約820萬美元,VisorFinance遭黑客攻擊事件全解析
2、不安分的黑客又“偷襲”?MonoX被攻擊事件全解析
3、被盜1.3億美元!吸引“渣男”體質?CreamFinance今年第五次遭黑客攻擊全解析
4、成都鏈安提醒:以太坊舊版本geth客戶端節點出現BUG,請盡快升級至v1.10.8版本!
5、甜蜜一擊?誰是幕后黑手?BSC鏈上XSURGE遭閃電貸攻擊全解析
6、白話解說,你一定能看懂,全流程重現PolyNetwork6億美元盜幣案!
7、DeFi歷史第一的黑客事件發生,除了吃瓜我們應該注意什么?
8、年度最大DeFi黑客事件!成都鏈安關于PolyNetwork被攻擊事件全解析
9、近6億美元資金被盜,PolyNetwork遭受攻擊,成都鏈安正在對這三個地址進行實時監控
10、損失近2070萬美元!防不勝防?PopsicleFinance被攻擊事件全解析
11、狂跌100%,代幣YELD價格直接跳水歸零!PolyYeldFinance被攻擊事件全解析
12、BSC生態又一起“閃電貸攻擊”再現|ApeRocketFinance被黑事件簡析
13、Polygon生態的“潘多拉魔盒”已打開?|SafeDollar攻擊事件分析
14、BSC鏈上“閃電貸攻擊”再襲!|xWinFinance被薅羊毛事件簡析
15、BSC鏈上項目再遭黑客攻擊,“黑色5月”陰云持續?|PancakeHunny被黑事件簡析
16、閃電貸攻擊+錯誤權限配置,2500萬美元付諸東流|xToken被黑事件簡析
17、搬起“石頭”,竟砸了自己的腳?|DODO攻擊事件分析
18、上線不到1天就攜款跑路,3000萬美金被卷走!|MeerkatFinance跑路事件分析
19、16萬美元資產被盜竟是烏龍事件?|Yeld.finance“閃電貸攻擊”事件簡析
20、成都鏈安:DeFi項目YearnFinance閃電貸攻擊事件分析
2021安全月報
1、盤點|1月發生典型安全事件超25起,整體風險評級為『中』
2、盤點|2月發生典型安全事件超26起,整體風險評級為『中』
3、盤點|3月發生典型安全事件超23起,虛擬貨幣詐騙跑路與加密騙局事件波瀾再起
4、盤點|4月發生典型安全事件超19起,區塊鏈生態安全風險指數偏低,依然不可掉以輕心
5、盤點|5月發生典型安全事件超32起,“黑色5月”,BSC鏈上項目超10起遭受攻擊,損失約達3億美元
6、盤點|6月發生典型安全事件超36起,“DeFi”與“虛擬貨幣詐騙”安全風險居高不下
7、盤點|7月發生較典型安全事件超36起,DeFi與加密騙局領域依然是重災區
8、盤點|8月發生較典型安全事件超41起,黑客究竟還有多少攻擊套路?
9、盤點|9月發生較典型安全事件超29起,注意交易所和資金盤跑路!
10、盤點|10月發生較典型安全事件超22起,主要集中于DeFi與加密騙局兩個領域
11、盤點|11月發生較典型安全事件超21起,用戶需繼續加強自身防騙意識
Tags:區塊鏈ANCEFIDEF區塊鏈域名Monster Slayer FinanceDefi GoldVerify DeFi
作者:DaisukeWakabayashi,MikeIsaac原標題:《TheNewGet-Rich-FasterJobinSiliconValley:CryptoStart-Ups》編譯:Ri.
1900/1/1 0:00:00概述 新的一周,元宇宙愈發的受到了傳統企業的認可。索尼音樂宣布將與嗶哩嗶哩合作,啟動“虛擬偶像”項目“VirtualCinderellaProject”.
1900/1/1 0:00:00據Cryptoglobe消息,1月5日,安永區塊鏈技術負責人PaulBrody在CoinDesk專欄文章中解釋為何他認為“2022年是以太坊之年”.
1900/1/1 0:00:00原文標題:《未來一年:以元宇宙心態打造品牌》翻譯/整理:念青,鏈捕手在數字化生存時代,時尚會如何發展?想象一下,Vogue封面上的最新款時裝不再是明星、富豪擠破頭搶著高價入手的孤品.
1900/1/1 0:00:0012月19日,Warpspeed2021DFINITY×IAF黑客松DemoDay在上海落幕。本次黑客松是DFINITY官方舉辦的全球首場黑客松,也是第一次在中國舉辦的黑客松,從11月15日正式.
1900/1/1 0:00:00據U.Today消息,1月13日,Ripple總法律顧問StuartAlderoty發推指責美國SEC打了一張“拖延牌”。他敦促該監管機構“盡快”處理Ripple與SEC之間的訴訟案件.
1900/1/1 0:00:00