零时科技|《2022年全球Web3行业安全研究报告》正式发布!附PDF下载!
摘要
2022年,是加密世界多元化创新的一年,但创新的背后,也发生了许多让人咋舌的安全事件。零时科技安全团队发布了《2022年全球Web3行业安全研究报告》,回顾了2022年Web3行业全球政策,主要赛道所涵盖基本概念、安全事件、损失金额和攻击类型,并对典型安全事件进行了详细剖析,提出了安全预防方案和措施建议。希望帮助从业者和用户能够了解Web3安全现状,提高网络安全意识,保护好数字资产,做好安全预防措施。
关注【零时科技】公众号,回复【报告】,即可获取详细版PDF报告!
1、2022年,全球Web3行业加密货币总市值最高达2.4万亿美元,受行业爆雷事件影响,相比去年最高总市值2.97万亿美元,今年有所下降,但整体资产数量规模正在不断扩大。
2、据零时科技数据统计,2022年共发生安全事件306起,累计损失达101亿美元。相比2021年,今年Web3安全事件新增64起,同比增长26%。
3、Web3六大主要赛道:公链、跨链桥、钱包、交易所、NFT、DeFi共发生安全事件136起,造成损失超40.21亿美元。此外,新兴领域如GameFi、DAO成为黑客频扰的对象,诈骗和跑路事件不断,损失严重。
4、2022年损失超1亿美金的典型安全事件共损失28.45亿美元,占2022年总损失金额28%。其中典型代表有:跨链互操作协议Poly Network,损失6.25亿美元;交易所FTX,损失6亿美元;Solona生态钱包,损失5.8亿美元。
5、2022年,全球Web3安全事件攻击类型多样,从安全事件数量看,典型攻击类型Top5为:黑客攻击、资产被盗、安全漏洞、私钥窃取、钓鱼攻击。从损失金额看,典型攻击类型Top5为:资产被盗、黑客攻击、私钥窃取、价格操纵、闪电贷攻击。
6、本年度最具有代表性的监管案例为:美国财政部下属外国资产控制办公室 (OFAC) 对Tornado Cash协议实施制裁,禁止美国实体或个人使用Tornado Cash服务。根据美财政部披露,自2019年成立以来,Tornado Cash已帮助洗钱超70亿美元。
一、全球Web3行业回顾与安全态势概览
Web3是指基于加密技术的新一代网络,融合了区块链技术、代币经济学、去中心化组织、博弈论等多种技术和思想,由以太坊联合创始人Gavin Wood在2014年提出。Web3基于区块链搭建,从2008年至今,区块链技术已发展14余年。Web3行业在2022年的爆发离不开区块链产业发展多年的积淀。
从用户视角看Web3生态,可分为基础层、应用层和第三方服务。基础层以公链、跨链桥和联盟链等链为主,为Web3提供网络基础设施;应用层则以APP(中心化应用程序)和DAPP(去中心化应用程序)为主,即用户常用来交互的应用程序,包含交易平台、钱包、DeFi、NFT、GameFi、DAO、存储和社交软件等。基础层和应用层促进了Web3生态的繁荣,但也为Web3带来巨大的安全隐患。服务生态是Web3行业的第三方,其中媒体、教育孵化和投资机构为行业提供助力,安全服务机构如零时科技,是为Web3安全保驾护航不可或缺的一部分。
截至2022年12月,据coinmarketcap数据统计,全球Web3行业加密货币总市值最高时达2.4万亿美元,受行业爆雷事件影响,相比去年最高总市值2.97万亿美元,今年有所下降。虽总市值有波动,但整体资产数量规模正在不断扩大。由于行业创新节奏快、用户安全意识薄弱、监管有待完善、安全问题突出,Web3正在沦为黑客的“提款机”。
据零时科技数据统计,2022年共发生安全事件306起,累计损失达101亿美元。相比2021年,今年Web3安全事件新增64起,同比增长26%。其中公链、跨链桥、钱包、交易所、NFT、DeFi这六大主要赛道发生安全事件136起,造成损失超40.21亿美元。
除了以上六大主要赛道外,其他安全事件共计170起,损失金额达60.79亿美元,如新兴领域如GameFi、DAO成为黑客频扰的对象,诈骗和跑路事件层出不穷。随着多个巨头入局元宇宙与NFT,未来,链上资产规模还将持续增长,Web3网络安全侵害数字可能继续飙升。
据零时科技数据统计,2022年全球Web3生态六大主要赛道中:公链发生安全事件10起,共计损失约1.57亿美元;跨链桥发生安全事件14起,共计损失13.38亿美元;交易所发生安全事件19起,共计损失11.92亿美元;钱包发生安全事件25起,共计损失6.93亿美元;DeFi发生安全事件25起,共计损失5.93亿美元;NFT发生安全事件44起,损失超4256万美元。
从主要赛道发生的安全事件数量来看,NFT安全事件最多,这和它成为2022业界追捧的热门赛道脱不开关系。另一方面,由于进入Web3行业人数的增多,钱包和DeFi成为安全事件的重灾区。从损失金额看,跨链桥位列第一,遭受损失最大。
2022年,从全球Web3发生的安全事件数量看,典型攻击类型Top5为:黑客攻击,占比37%;资产被盗,占比19%;安全漏洞,占比13%;私钥窃取,占比9%;钓鱼攻击,占比7%。
从损失金额看,全球Web3安全事件典型攻击类型Top5为:资产被盗,损失金额为55.81亿美元;黑客攻击,损失金额30.29亿美元;私钥窃取,损失金额为12.5亿美元;价格操纵,损失金额为2.32亿美元;闪电贷攻击,损失金额1.37亿美元。
值得注意的是,2022年发生的多起安全事件不只受到一种攻击,有些事件可能同时出现资产被盗、私钥窃取、黑客攻击、私钥泄漏及安全漏洞等。
注:主要攻击类型释义如下
资产被盗:虚拟币被盗,平台被盗
黑客攻击:黑客等多种类型攻击
信息泄露:私钥泄露等
安全漏洞:合约漏洞、功能漏洞
错误权限:系统权限设置错误,合约权限错误等
钓鱼攻击:网络钓鱼
价格操纵:价格操纵
据零时科技区块链安全情报平台监控消息,2022年损失超1亿美金的典型安全事件共损失28.45亿美元,占2022年总损失金额28%。
二、全球Web3监管政策
2022年,基于区块链的下一代互联网Web3迎来增长高峰,面对这个拥有金融科技特征的新兴行业,全球政府和监管机构对其密切关注。Web3应用领域广泛、全球分布协作、技术含量较高,加之全球各国及其内部各地监管机构对Web3产业发展方向和数字资产定义不统一,为全球金融监管带来了巨大挑战。2022年金融犯罪、黑客攻击、诈骗勒索、洗钱事件频发,金额庞大,损失严重,影响广泛。为确保Web3的安全性和合规性,各国纷纷出台监管政策。
从全球对Web3整体的监管政策来看,投资者保护和反洗钱(AML)是全球共识,对加密货币交易所的接受和监管,各国差异较大。美国国会议员提出“确保Web3发生在美国”,正加速监管创新;欧盟各国政策较为明确和积极;日本、新加坡、韩国受2022暴雷事件影响,监管趋严;中国大陆依旧鼓励区块链技术应用,严禁金融机构和支付组织参与虚拟货币交易和非法集资,加大加密货币犯罪事件打击。中国香港则全面扶持虚拟资产发展,实施牌照制;阿联酋在全球最为积极,拥抱加密货币资产。对于NFT、稳定币、DeFi、资产协议和DAO领域,全球正处于监管探索状态。
三、2022年Web3各生态安全现状
Web3是一个比较特殊的行业,最突出的特点就是涉及大量数字加密资产的管理,动辄千万上亿的资产全部存在链上,通过一个特有的私钥来确权,谁掌握了这个私钥,谁就是资产的主人。如果生态中某一应用或协议被黑客攻击,就可能造成巨额损失。随着生态的快速发展,各种新型攻击手法和诈骗手段层出不穷,整个行业在安全的边缘中博弈前进。零时科技安全团队对Web3存在的攻击类型进行了观察统计,目前主要有以下攻击类型对Web3安全造成威胁:APT攻击、社工钓鱼、供应链攻击、闪电贷攻击、智能合约攻击、Web端漏洞攻击、零日(0day)漏洞、网络诈骗。
接下来,我们将从基础设施公链、跨链桥,应用端APP和DAPP的代表:交易平台、钱包、DeFi、NFT,监管重地反洗钱,web3安全教育角度,来解析2022年Web3各生态安全现状,解读攻击事件,并针对每个生态给出相应的安全措施建议。
1、公链-Web3生态安全的命脉
公链是Web3行业的基础设施,承载着整个行业的协议、应用及资产记账,随着业内对公链性能、互操作、兼容性、扩容的旺盛需求,多链发展迸发呈强劲势头,安全问题,刻不容缓。
根据零时科技不完全统计数据,截至2022年12月,目前公链有152 条。以公链生态应用数量来看,据rootdata数据,Ethereum,应用1275个,Polygon,应用数767个,BNB Chian,应用数704个,稳居前三,Avalanche、Solana、Arbitrum等新公链紧追其后呈现快速增长趋势。
以公链生态市值来看,据coingecko数据,以太坊、BNB Chain、Polygon生态分别以3830亿美元、2366亿美元、2192亿美元位居前三。当前,公链生态总市值已超万亿美元,如此庞大的资金诱惑,让黑客对其虎视眈眈。
截至2022年12月,据零时科技数据统计,公链赛道发生安全事件10起,累计损失资产金额超1.57亿美元。
从数量来看,公链的攻击类型主要为:黑客攻击、安全漏洞、资产被盗、钓鱼攻击和私钥窃取,其对应占比为:28%、28%,16%、8%、8%。从损失金额来看,安全漏洞造成损失最高,为1.47亿美元,占比55%;黑客攻击造成损失位居第二,为4200万美元,占比16%。(注:部分项目遭受多种类型攻击)
据零时科技区块链安全情报平台监控消息,下图为部分2022公链攻击的典型案例:
公链安全风险及措施建议
零时科技安全团队分析,公链安全风险主要来自以下三点:
1)技术复杂性:涉及技术领域多,安全风险点多。
2)开发人员不确定性:代码由开发者所写,过程难免出现漏洞。
3)开源漏洞透明性:公链代码开源,黑客发现漏洞更为便利。
零时科技安全团队对公链安全建议,有以下三点:
1)主网上线前,针对公链各风险点,需要设立丰富的安全机制:
在P2P和RPC方面,需要注意劫持攻击,拒绝服务攻击,权限配置错误等;
在共识算法及加密这块,需要注意51%攻击,长度扩展攻击等;
在交易安全方面,需要注意假充值攻击,交易重放攻击,恶意后门等;
在钱包安全方面,需要注意私钥的安全管理,资产的安全监控,交易的安全风控等;
在公链项目的相关工作人员方面,需要有良好的安全意识,办公安全,开发安全等常识。
2)进行源代码和智能合约审计,确保弥补原则性和明显的漏洞:
源代码审计可以是全量代码,也可以是部分模块。零时科技安全团队拥有一套完整的公链安全测试标准,采用人工+工具的策略对目标代码的安全测试,使用开源或商业代码扫描器检查代码质量,结合人工安全审计,以及安全漏洞验证。支持所有流行语言,例如:C/C++/C#/Golang/Rust/Java/Nodejs/Python。
3)主网上线后,进行实时安全检测,预警系统风险;
4)发生黑客事件后,及时通过溯源分析,找出问题所在,减少未来发生攻击可能性;迅速源追踪监控损失流向,尽可能找回资产。
2、跨链桥-黑客的新型提款机
跨链桥,也称区块链桥,连接两条区块链,允许用户将加密货币从一条链发送到另一条链。跨链桥通过在两个独立平台之间启用代币转移、智能合约和数据交换以及其他反馈和指令来进行资金跨链操作。
截至2022年 12月 ,根据 Dune Analytics 数据统计,以太坊中主要跨链桥的锁定总价值(TVL)约55.6亿美元。当前TVL最高的是 Polygon Bridges,为29.49亿美元, Aritrum Bridge紧跟其后,为12.06 亿美元,Optimism Bridges排名第三,为8.34 亿美元。
随着区块链及链上程序的增长,多链资金转换需求迫切,跨链桥的协同特征可以让各区块链发挥更大的协同潜力,跨链桥为用户提供便利的同时,也为黑客提供了另一扇大门。由于跨链桥传递资产的特性,其锁定、铸造、销毁及解锁等流程环节一旦出现问题,就会威胁到用户资产安全。貌似并不复杂的跨链资金转移操作,但在多个跨链桥项目中,不同步骤均发生过安全漏洞。
据零时科技数据统计,截至12月,跨链桥因受到攻击发生安全事件14起,累计损失资产金额为13.38亿美元。
2022年,发生安全事件损失Top5的跨链桥为:Ronin、Wormhole、Nomad、Harmony(Horizon)、QBridge,分别损失金额为:6.15亿美元、3.2亿美元、1.9亿美元、1亿美元和8000万美元。
从安全事件发生的数量看,跨链桥攻击的类型主要为:黑客攻击、私钥窃取、资产被盗、信息泄露和错误权限,分别占比52%、18%、17%、9%和4%。从损失金额来看,私钥窃取占比最大,为42%;黑客攻击次之,占比27%;资产被盗占比23%,位居第三。
下图为部分2022年典型跨链桥攻击案例:
跨链桥安全风险及措施建议
零时科技安全团队从跨链桥多次攻击事件中得出,跨链之前和签名处攻击较多,存在官方马虎大意造成的被盗事件。对于越来越多的跨链项目及项目合约安全,零时科技给出以下安全措施建议:
1)项目上线前对合约进行安全审计;
2)合约调用接口需要严格排查其适配性;
3)版本更新时需要对相关接口及签名安全进行重新评估;
4)需要对跨链签名者进行严格审查以保证签名不被恶意人员控制。
3、交易平台-巨额诱惑之源
Web3的交易平台也称数字货币交易所或加密货币交易所,是区块链行业的重要组成部分,为不同数字货币之间,数字货币与法定货币之间的交易提供服务,同时也是数字货币定价和流通的主要场所。
据coingecko数据,截至2022年12月,加密货币交易所共有717个,其中中心化交易所有553个,24小时总交易量为540亿美金;去中心化交易所有100个,24小时总交易量为17亿美金;衍生产品交易所64个,24小时交易量为1.78万亿美金
Opensea作为全球最大的NFT交易平台,1月交易额最高,超48.5亿美金,因市场行情,12月有所回落,交易额约为1.38亿美金。(关于NFT交易平台更多信息,详见2.6)
数据显示,24小时交易量排名前10名的交易所分别为:Binance、Coinbase Exchange、MEXC Global、LBank、BingX、Coinsbit、OKX、BitMart、Crypto.com Exchange。其中Binance以24交易量41.48亿稳居第一。
交易量排名前10名的去中心化交易所分别为:Uniswap(V3)、Curve、Balancer(V2)、Uniswap(V2)、PancakeSwap、DODO、Sushiswap、Uniswap(Ploygon)、Uniswap(Arbitrum One)、Apex Pro,其中Uniswap以一己之力占据前十名多位。
2022年,Huobi被收购,FTX在与币安(Binance)的交锋中破产,随后币安被曝已接受美国司法部刑事调查4年,加密货币交易所处于监管的风口浪尖。加密货币交易所汇聚了来自全球的加密资产,在巨大的市场影响力下,无论是安全危机还是资金流动性危机,都牵一发而动全身,甚至影响整个加密市场的牛熊。
据零时科技数据统,计2022年,加密货币交易所发生安全事件19起,累计损失资产金额超11.92亿美元。
据零时科技区块链安全威胁情报平台数据统计,2022年,发生安全事件损失Top6的交易平台为:FTX,Babel Finance,Mango,Liquid Global,Crypto.com ,损失金额分别为6亿美元,2.8亿美元,1亿美元,7100万美元,3600万美元和3300万美元。
以各交易平台安全事件损失分布来看,FTX占比50%,Babel Finance占比24%%,Mango占比8%,位居前三。
据零时科技数据统计,从安全事件数量来看,交易平台的攻击类型主要为黑客攻击、资产被盗、安全漏洞、钓鱼攻击、私钥窃取,分别占比38%、19%、12%、10%、10%。从损失金额大小分布来看,黑客攻击占据54%,为安全事件主要类型,资产被盗占比33%,价格操纵和闪电贷攻击分别占比5%。
下图为部分2022年交易所安全事件典型案例:
交易平台安全风险及措施建议
回顾以往所有交易所的安全事件,零时科技安全团队认为,从一个交易平台整体安全架构来看,交易平台面临的安全风险主要有:开发、服务器配置、运维、团队安全意识、内部人员、市场以及供应链风险。零时科技安全团队曾出版《区块链安全入门与实战》,其中对加密货币交易平台的安全问题进行了全面、细致的分析。包括渗透测试的步骤,如信息收集、社会工程等,还介绍了各种攻击面,如业务逻辑、输入输出、安全配置、信息泄露、接口安全、用户认证安全、App安全等。
对于交易所安全风险,零时科技安全团队给出如下措施建议:
从交易平台角度:
1)培养内部人员的安全意识,加强交易所的生产环境、测试环境和调试环境安全隔离,尽量使用专业的网络安全防护产品。
2)通过与专业安全公司展开合作,进行代码审计、渗透测试,了解系统是否存在隐性漏洞和安全风险,建立完善和全面的安全防护机制。日常运营中,进行定期安全测试,加强安全加固工作。
3)升级账户的密钥结构及风控措施,建立适当的多重签名密钥结构并建立严格的风险控制及检测预警机制,加强后端冷热钱包安全加固,比如控制转账频率、大额转账、冷热钱包隔离等。
由于大部分用户除了使用交易所进行交易外,更多时候充当钱包存储数字资产。
因此,从用户角度:
1)不要随意安装未知来源的软件。
2)电脑服务器应避免打开不必要的端口,相应漏洞应及时打补丁,主机建议安装有效可靠的杀毒或其他安全软件,在WEB浏览器上安装挖矿脚本隔离插件等。
3)不要随意点击陌生人发的不明链接。
4、 钱包-加密资产管理之伤
Web3的钱包即区块链数字钱包,也称加密货币钱包或数字资产钱包,是存储和管理、使用数字货币的工具,在区块链领域有举足轻重的地位,是用户接触数字货币的入口。如今,随着生态的发展,数字钱包已经成为多链多资产的管理平台。
据零时科技区块链安全威胁情报平台数据统计,截至2022年12月,数字钱包项目数量共有142个。据 Blockchain.com 数据统计,2022 年全球有超过 3 亿人在使用加密资产。其中拥有加密钱包的用户在 2021 年达到 6842 万,而到 2022 年 7 月加密钱包用户数已经达到 8100 万,数量呈指数级增长。
作为Web3的入口,钱包早已成为黑客眼中的“香饽饽”。据零时科技数据统计,2022年,数字钱包发生安全事件25起,累计损失资产金额超6.98亿美元。
2022年,被攻击损失Top5的钱包安全事件主要来自:Solana生态钱包、分布式资本创始人沈波个人钱包、Deribit、与Transit Swap互动的钱包、Lympo热钱包,分别损失金额为:5.8亿美元、4200万美元、2800万美元、2000万美元和1870万美元。其中Solana生态钱包被攻击损失金额最高。
据零时科技数据统计,从安全事件数量来看,数字钱包的攻击类型主要为:黑客攻击、资产被盗、私钥窃取、安全漏洞和信息泄露,分别占比38%、30%、13%、7%、6%。攻击占比最高,居于首位。
其中各主要攻击类型对应的安全事件损失占比分别为:黑客攻击造成损失最高,占比46%;私钥窃取造成损失其次,占比44%;资产被盗损失位列第三,占比8%。
钱包被攻击,一般分为两种情况。一种是机构的钱包,另外一种是个人钱包。如Lympo热钱包被盗,损失1870万美元,而个人钱包被盗经典则属近日分布式资本创始人沈波价值4200万美元个人钱包资产被盗。
除了Solana生态钱包被盗案例外,行业还有许多钱包安全事件,如下图。
数字钱包安全风险及措施建议
经零时科技安全团队分析,区块链数字钱包存在多种形式,主要面临的安全风险包括但不限于如下几方面:
机构端方面:运行环境的安全风险、网络传输的安全风险、文件存储方式的安全风险、应用自身的安全风险、数据备份的安全风险等。
用户端方面:面临私钥丢失或被盗:如伪装客服骗取私钥、黑客通过钱包升级定向攻击收集用户助记词等信息、发送恶意二维码引导客户转账盗取资产、通过攻击客户存储信息的云平台盗取私钥/助记词、恶意软件、空投欺骗、网络钓鱼、其他钓鱼(预售、APP下载、中签陷阱)等风险。
面对这些风险如何保护钱包安全?
从机构端,零时科技安全团队建议:
无论是中心化还是去中心化钱包, 软件钱包还是硬件钱包在安全性方面必须有充分的安全测试,针对数字钱包的安全审计,零时科技安全团队包括但不限于如下测试项:
1、网络和通信安全测试.网络节点应达到及时发现和抵抗网络攻击的功能;
2、钱包运行环境安全.钱包能够对操作系统进行已知重大漏洞进行检测,虚拟机检测,完整性检测;数字钱包需具有第三方程序劫持检测功能,防止第三方程序劫持钱包盗取相关用户信息。
3、钱包交易安全.钱包发出的所有交易必须进行签名,签名时必须通过输入支付密码解密私钥,交易签名生成后必须清除内存中解密后的私钥,防止内存中的私钥被窃取而泄漏等。
4、钱包日志安全.为了方便用户进行审计钱包操作行为,防止异常操作和未授权的操作,需记录钱包的操作日志,同时钱包日志必须通过脱敏处理,不得含有机密信息。
5、节点接口安全审计.接口需要对数据进行签名,防止黑客对数据被篡改;接口访问需要添加token认证机制,防止黑客进行重放攻击;节点接口需要对用户连接速率进行限制,防止黑客模拟用户操作进行CC攻击。
对用户端,零时科技安全团队建议:
1) 做好私钥存储措施:如私钥尽量手抄和备份,或使用云平台和邮件等社交网络传输或存储私钥。
2) 使用强密码,并且尽可能开启两步验证MFA(或2FA),时刻保持安全意识提高警惕。
3) 在更新程序版本时注意验证 hash 值。安装杀毒软件,并尽可能使用防火墙。监视你的账户/钱包,确认没有恶意交易。
4) 其中硬件钱包适合数字资产额度较大,需要更高安全保护等级的用户。通常的建议是使用软件钱包保存自己的小额资产,供日常使用,硬件钱包保存大额资产,这样可以实现便利性和安全性兼备。
如果资金被盗怎么办?
如果发生无意的授权操作,在资金未被盗之前,尽快将钱包资金转出,并且取消授权;如果已经发生授权之后的资金被盗或者私钥被盗资金转移情况,请立即联系零时科技安全团队进行资产追踪。
5、 DeFi-Web3安全重灾区
DeFi全称:Decentralized Finance,一般翻译为分布式金融或去中心化金融。DeFi 项目大体分为五类:预言机、DEX、抵押借贷、稳定币资产、合成衍生品。
TVL全称:Total Value Locked 即总锁定价值。用户所抵押的资产总值,是衡量DeFi生态发展的最重要指标之一,通常TVL增长代表项目发展的越好。
零时科技区块链安全威胁情报平台数据统计,截至2022年12月,DeFi项目共计1297个。据 DeFi Llama 数据显示,DeFi 总锁仓价值达到 390.51 亿美元规模。其中以太坊占比58.59%,以230.2亿美元的 TVL排名第一,其次是Tron,占比11.1%,以40.36亿美元的TVL排名第二,BSC紧追其后,占比10.47%,以40.12亿美元TVL排名第三。许多新兴公链如Avalanche、Ploygon、Optimism 等通过拥抱 DeFi 快速发展链上生态,也吸引了 大量用户和资金沉淀。
DeFi突出的智能合约安全问题已成为DeFi行业的最大挑战。此外,没有任何 DeFi 服务商或监管机构可以退回错误转移的资金。当黑客在智能合约或 DeFi 服务的其他方面发现漏洞盗取用户资产时,也不一定有 DeFi 服务商来赔偿投资者,加之很多隐秘互连的问题,可能引起一连串的金融事故。
根据零时科技数据统计,截至2022年12月 ,共发生DeFi安全事件25起,累计损失资产金额超5.93亿美元。
以各生态发生的DeFi安全事件数量分布来看,Ethereum和BSC(BNB Chian)生态分别发生6起,占比均为24%,并列第一,Solana生态发生3起,占比12%,位列第二。
以各DeFi发生安全事件损失分布来看,排名前三的公链生态是,Ethereum生态DeFi事件损失金额超4.38亿美元,占比74%,位列第一;Terra位列第二,损失金额9000万美元,占比15%;Solana位列第三,损失金额为1354万美元,占比2%。由此可见,生态越是活跃,越受到黑客关注,损失也最为突出。
据零时科技数据统计,从DeFi攻击类型来看,主要为:黑客攻击、闪电贷攻击、资产被盗和安全漏洞。其中各主要攻击类型对应的安全事件数量分布占比分别为:黑客攻击占比44%,居于首位;闪电贷攻击占比16%,位居第二;资产被盗和安全漏洞均占比14%,并列第三。
从主要攻击类型损失分布来看,黑客攻击造成损失最高,占比53%,安全漏洞次之,占比25%,资产位列第三,占比17%。
下图为部分2022DeFi安全事件典型案例:
DeFi安全风险及措施建议
DeFi项目面对多重安全风险,从群体来分,分别为项目端(协议执行)和用户端;从安全种类来分,分别为各协议之间组合性的安全,包括组合之间的一些缺陷、智能合约安全、开源的安全,高收益伴随着高风险,缺乏监管等导致的一些安全问题。
从安全审计角度看,DeFi项目面临的风险见下图:
从协议执行过程,DeFi风险包括:智能合约攻击风险、经济激励中的设计问题、保管风险、原协议的重新构建、缺乏隐私等风险。
从用户角度,DeFi用户面临的风险有:技术风险:智能合约存在漏洞,受到安全性攻击;流动性风险:平台的流动性耗尽;密钥管理风险:平台的主私钥可能被盗取。安全意识风险:被钓鱼,遇到套利跑路欺诈项目等。
零时科技安全团队建议,作为项目方和用户,可以从以下五点应对风险:
1)项目方在上线DeFi项目时,一定得找专业的安全团队去做全面的代码审计,而且尽可能地找多家共同审计,尽可能多地发现项目设计缺陷,以免在上线之后出现不必要的损失。
2)建议用户参与这些项目投资时一定要做好把关,要对这个项目有一定的了解,或者是看它有没有经过安全审计后再上线。
3)增加个人安全意识,包括上网的行为和资产保存以及钱包使用等习惯,养成良好的安全意识习惯。
4)项目高收益高风险,参与需谨慎,不懂项目,尽量不参与,避免造成损失。
6、 NFT-钓鱼攻击的池塘
NFT是Non-Fungible Token的简称,是基于区块链的非同质化代币,同时它是存储在区块链上的一种独特的数字资产,常作为虚拟商品所有权的电子认证或凭证,可以购买或出售。2022年12月15日,美国前总统特朗普宣布推出一系列印有特朗普肖像NFT数字藏品,不到24小时4.5万件就被抢购一空。
根据NFTgo数据,截至12月31日,已收录的NFT项目4624个,共计38,693,506个NFT。当前NFT总市值达到210亿美元,持有者达到373.38万人。从各类项目市值分布来看,PFP(Picture for proof),即个人资料图片类NFT市值遥遥领先,这也是目前使用场景最多的NFT,其次是收藏品。从目前八大主流公链上看NFT资产和合约,Polygon在资产和合约数上遥遥领先。
从交易规模来看:在24小时内按销量排名前 10 位的NFT交易平台中,Blur排名第一,Opensea紧跟其后,LooksRare排名第三。从交易商来看,24小时内按交易者、买家和卖家数量排名前 10 的市场中,Opensea位列第一,Blur排名第二、Blur aggregator排名第三。
随着NFT价值凸显,黑客也盯上了这块肥肉。尽管目前整个加密市场正经历着剧烈的震荡下行趋势,但NFT的热度不减。
据零时科技不完全统计,截至2022年12月,NFT赛道发生安全事件共计44起,累计损失资产金额约为4256万美元。
2022年,NFT安全事件损失Top10中,BAYC、BAKC系列成为黑客主要的攻击目标,持有此类NFT的收藏者损失较大。其中不乏周杰伦NFT被盗,损失54万美元等热点事件。
从NFT赛道的攻击类型来看,主要为:黑客攻击、资产被盗、钓鱼攻击和私钥窃取,对应安全事件数量占比分别为33%、18%、16%、10%。
从NFT主要攻击类型损失金额占比看,资产被盗造成损失最多,占比23%;黑客攻击次之,占比22%;私钥窃取居于第三,占比19%。值得注意的是,以个人被盗事件看,多数都是由于 Discord/Twitter 等媒体平台被黑后黑客发布钓鱼链接。
除损失Top10的NFT安全事件案例外,行业典型NFT安全事件案例如下:
NFT安全风险及措施建议
目前在NFT赛道,黑客攻击方式多种多样。以群体来分,面临风险的对象一般为平台和用户。
对于中心化平台端,可能面临的安全风险有:账号风险、商业化竞争风险、安全意识风险、内部人员风险、
市场风险等。用户端,Discord攻击成为今年的主要攻击手法。
对于以上安全风险,零时科技安全团队给出以下措施建议:
对于普通用户,保护好自己的Discord,需要注意以下几点:
确保密码足够安全,使用字母数字特殊字符创建长的随机密码;开启2FA身份验证,密码虽然本身足够复杂但是不能依靠一个方式来保护;不要点击来自未知发件人或看起来可疑的链接,考虑限制谁可以与您私信;不要下载程序或复制/粘贴你不认识的代码;不要分享或屏幕共享你的授权令牌;不要扫描任何来自你不认识的人或你无法验证其合法性的QR码。
对于服务器所有者:审核您的服务器权限,尤其是对于 webhook 等更高级别的工具;进行任何更改时,请保持官方服务器邀请更新并在所有平台上可见,尤其是当大多数新服务器成员来自 Discord 以外的社区时;同样,不要点击可疑或未知的链接!如果账户遭到入侵,可能会对管理的社区产生更大的影响。
对于项目:建议合约应严格判断用户输入购买数量合理性;建议合约限制零资金购买NFT的可能性;建议对于ERC721及ERC1155协议的NFT Token进行严格区分,避免混淆情况发生假冒Discord官方案例。目前多个聊天软件均会发现恶意 mint 链接,也有不少用户资金被盗,为了避免此类盗币事件,建议大家在进行 mint 操作时,验证链接来源可靠性,同时确保实际签署交易的内容和预期相符。
7、虚拟币-滋生违法活动的温床
2022年9月,湖南省衡阳县公安破获“9.15”特大虚拟货币洗钱案,涉案金额400亿元。2022年12月,内蒙古通辽市公安局科尔沁分局成功破获一个利用区块链网络兑换数字虚拟货币洗钱团伙,抓获犯罪嫌疑人63名,涉案金额高达120亿元。2022年8月8日,美国财政部的海外资产控制办公室(The Office of Foreign Assets Control of the US Department of the Treasury,简称OFAC)宣布制裁Tornado Cash协议,根据美财政部披露,自2019年成立以来,Tornado Cash已帮助洗钱超70亿美元。
据零时科技不完全数据统计,2022年通过加密货币洗钱金额达到104.2亿美元,同比增长20.7%。2022年,国内公安部门破获多起虚拟货币洗钱案件,案件数量呈增长趋势。洗钱、诈骗、传销、盗窃是加密货币犯罪的主要类型。
如何打击防御基于虚拟币的违法犯罪?
零时科技自主研发了虚拟币追溯分析平台,拥有情报系统、监控系统、KYC&KYT和溯源系统四大系统。该平台基于链上数据及区块链安全情报,通过大数据、图运算、机器学习等技术,使得整个虚拟币链上追溯可自动化运营,可视化展示,方便快捷地发现虚拟币流向及实名登记,可以有效协助案件侦查,打击虚拟犯罪,为业内受害者提供虚拟资产追溯服务。目前,该平台已经分析交易数量17.7亿,标记地址超8000万,分析地址超8.5亿个。并协助深圳市公安局、重庆市公安局、铜川市公安局、商洛市公安局和商州公安局等,破获多起的虚拟货币赌博、传销、诈骗案件,在业内引起了强烈反响。
8、安全教育-Web3安全盾牌
知名的搜狐全体员工遭遇工资补助钓鱼邮件诈骗案例让很多企业认识到,网络安全意识如果不提高,未来面临的商业机密等各项安全事件势必会影响企业发展。Web3去中心化自组织的参与方式,让个人意识到,如果不提高安全意识,就会沦为黑客的提款机
目前市场已经有电视剧、电影、社区等多种方式来提高个人的网络安全意识,零时科技也在各平台布道了上百篇网络安全知识。
除此外,零时科技也自研了安全意识评估管理平台,主要面向包括政府、公安、教育、金融、电力等对网络安全意识有需求的行业机构,网络安全意识评估平台以网络钓鱼技术为基础,帮助企业构建私有云化的网络安全意识评估管理平台,集成理论系统、钓鱼演练、主机检测、管理考核、场景定制的系统,实现企业持续系统化提升全员网络安全意识。除此之外,基于零时科技安全团队的专业实力,也为企业网络安全咨询和培训服务,从源头坚实安全盾牌。
三、Web3热点安全事件攻击手法详细解析及措施建议
3.1 Ronin Network侧链被盗6.25亿美金流向分析
0x1 事件概述
零时情报站报道, 3 月 29 日消息, Axie Infinity侧链Ronin 验证器节点和 Axie DAO 验证器节点遭到破坏,导致在两笔交易中从 Ronin 桥接了 173,600 个以太坊和 2550 万美元的 USDC,目前Ronin 桥和 Katana Dex 已经停止使用。以下是攻击者钱包地址:https://etherscan.io/address/0x098b716b8aaf21512996dc57eb0615e2383e2f96。目前,黑客已将所有USDC 兑换为 ETH,将 6250 ETH 分散转移,3750 ETH 转移到 Huobi,1220 ETH 转移到FTX,1 ETH 转移到 Crypto.com,剩余资金余额仍停留在黑客地址,黑客发起攻击资金1 ETH 来源为 Binance ,剩余资金余额仍停留在黑客地址。黑客发起攻击资金来源为 Binance 提币。
0x2 事件原理
Ronin采用简易的资产跨链模式,用户通过Ronin跨链合约将以太坊的资产转移至Ronin,该过程中,Ronin跨链合约首先会判断是否在以太坊端接收到了资产并锁定,随后Ronin跨链合约确认并发布给用户在Ronin上的相应资产,当用户销毁Ronin上的相应资产后,以太坊端会将初始锁定的资产解锁并返回给用户。
Sky Mavis 的 Ronin 链目前由 9 个验证节点组成。为了识别存款事件或取款事件,需要九个验证者签名中的五个。攻击者设法控制了 Sky Mavis 的四个 Ronin 验证器和一个由 Axie DAO 运行的第三方验证器。
验证器密钥方案被设置为去中心化的,它限制了与此类似的攻击向量,但攻击者通过Ronin的无Gas RPC 节点发现利用后门来获取 Axie DAO 验证器的签名。
回顾 2021 年 11 月,当时 Sky Mavis 请求 Axie DAO 帮助分发免费交易,因为用户负载巨大。Axie DAO 允许 Sky Mavis 代表其签署各种交易。这已于 2021 年 12 月停止,但未撤销许可名单访问权限。
一旦攻击者获得了 Sky Mavis 系统的访问权限,他们就能够通过使用无Gas RPC 从 Axie DAO 验证器获取签名。
目前官方已确认恶意提款中的签名与五个可疑验证者相符。
0x3 资金来源去向
资金来源
攻击者通过Binance交易所地址获取初始资金1.0569 ETH,随后调用Ronin Bridge跨链桥合约获取173,600枚ETH和25,500,000枚USDC。
资金去向
攻击者将25,500,000枚USDC分五笔分别转移给0xe708f……7ce10地址及0x66566……55617地址并从该地址兑换获取约8564枚ETH。
随后攻击者将6250枚ETH转移至5个地址,其他资金目前仍在攻击者钱包地址。
对目前已转移出的钱包资金进行追踪:
黑客将3750 枚ETH 转移至 Huobi火币地址。
黑客将1250 ETH转移至FTX Exchange交易所地址。
黑客将1枚ETH转移至Crypto.com地址。
零时科技加密资产追踪分析平台分析如下图所示:
总结及建议:
零时科技安全团队将持续监控被盗资金的转移情况,再次提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
3.2 警惕恶意聊天软件!聊天记录被劫持损失数千万资产追踪分析
事件背景
近期,零时科技安全团队收到大量用户因为同一个原因导致加密资产被盗的情况,经调查都是因为过程中使用了恶意Whatsapp的原因,通过与受害者沟通,了解到情况如下:
受害者在使用恶意Whatsapp进行沟通时,发送钱包地址到聊天软件中,对方直接复制钱包地址进行转账,但是此时复制的钱包地址已经被聊天软件Whatsapp恶意替换,导致将加密资产转账到错误地址。然后在用户使用恶意WhatsApp聊天时,替换用户输入或者接收的正确加密货币地址。
2022年12月6日,因为使用恶意WhatsApp导致被盗8万多美金;
2022年11月21日,因为使用恶意Whatsapp导致被盗140多万美金;
2022年10月6日,因为使用恶意WhatsApp导致被盗1.3万多美金;
其他……
恶意软件分析及反制
通过与受害者沟通,其使用的Android手机,并且都是从百度搜索WhatsApp软件后,直接从第三方网站下载软件,安装。
下载地址如下:
通过沟通此事件的前因后果,我们怀疑是受害者安装的WhatsApp有问题,于是为了还原事件,我们获取到事发时的恶意WhatsApp安装包展开分析。
首先恶意WhatsApp软件的安装包的大小与WhatsApp官网下载的大小不一致:
而且通过查看两个软件的签名消息,可以看出签名时间和签名主体消息也是明显不一致:
通过安全工具扫描此恶意软件,发现确实存在问题,被标记为存在恶意木马:
然后通过反编译恶意软件后,发现了恶意软件中存在替换用户聊天消息中的加密货币地址的功能,并且通过远程服务器进行通信,定期更改替换的黑客地址,分析过程如下:
首先我们找到了恶意软件跟黑客控制的后台服务器域名:
然后通过审计恶意软件代码,发现恶意软件从黑客控制的服务器上获取了加密货币地址,然后在用户使用恶意WhatsApp聊天时,替换调用户输入或者接收的正确加密货币地址。
我们来看看替换用户聊天时输入的地址消息过程,代码如下:
同上面的FindSendAddress函数可以看出:
第一步,先匹配用户输入的聊天消息中是否存在trx或者eth地址;
第二步,通过GetCurrentAddress函数获取地址;
进行跟进GetCurrentAddress函数的内容如下:
通过对恶意站点的/api/index/get_ws接口获取黑客控制的地址。
返回地址是通过加密的,通过app中的加密密钥,可以直接使用AES算法解密黑客的地址,以ETH地址为例,解密如下:
第三步,通过replaceBytes函数替换用户输入的地址为黑客控制的恶意地址。
通过测试发现通过恶意域名的/api/index/get_ws接口获取的恶意地址会不定期变化,目前获取的地址已经更新,不是受害者转账时的地址,目前获取的新地址0xf02FFBC0114562E30447c21f8273d8667Ab4eB3B还没有收到受害者的资金
截至目前,此恶意接口/api/index/get_ws还在正常运行,还会导致更多受害者损失。
损失资金追踪分析
零时科技安全团队接到受害者的协助请求后,第一时间分析并监控了黑客相关地址。
其中140万美金被盗资金,进入黑客地址0xa160……9a41,在几小时后,黑客将资金转移到地址0x570C……BdDb,然后通过多笔分散转移两个地址,最后汇集到0x8785……8885地址,如下图:
通过分析发现,黑客地址0xa160……9a41的手续费来自Binance交易平台,转移后的地址0x570C……BdDb手续费来自mexc.com交易平台。
另外一个8万美金被盗资金,进入黑客地址0x319c……8486,0xad8……95b9,然后通过多笔分散转移,最后汇集到Binance 交易平台,通过分析发现,黑客地址的交易手续费也来自Binance交易平台,如下图:
零时科技安全团队会继续关注此恶意聊天软件的扩散,以及监控相关黑客钱包地址的资金转移动态,及时提供情报预警,防止更多用户资产被盗。
总结建议
本次案例是由于受害者下载恶意的WhatsApp聊天软件,导致转账目标地址被篡改,损失大量资金,类似的案例还有很多,例如通过恶意假交易平台、假钱包、假Telegram等。
零时科技安全团队收到大量用户资产损失协助的请求,发现通过社交软件等恶意软件进行转账地址拦截修改的情况越来越多,为避免造成资金损失,在此,再次建议:
第一,下载使用 APP 时还是需要多方确认,认准官方下载渠道,检查签名一致性;
第二,大额转账时分多次进行,先小额确认到账情况,再继续转账;
第三,转账时多次确认转账地址,包括地址正确性检查,尽量检查每一位字符。
3.3分布式资本创始人4200万美金资产被盗分析及追踪
事件背景
2022年11月23日,分布式资本创始人沈波发推文称,价值4200万美元的个人钱包资产被盗,其中包含 3800 万枚 USDC和1606 枚 ETH,在纽约时间 11 月 10 日凌晨被盗。被盗资产为个人资金,与分布式相关基金无关。目前已当地报案,FBI 与律师均已介入。
零时科技安全团队监控到此消息后,及时进行追踪分析。
注:沈波先生为以太坊早期投资人及以太坊早期布道者。分布式资本成立于 2015 年,是中国首家专注于投资区块链技术相关企业的风险投资企业。
事件分析
本次安全事件的受害者沈波先生的钱包地址为:
0x6be85603322df6DC66163eF5f82A9c6ffBC5e894
攻击者钱包地址为:
0x24b93eed37e6ffe948a9bdf365d750b52adcbc2e
被盗的38,233,180 枚USDC通过transfer函数直接转出,交易hash为:
0xf6ff8f672e41b8cfafb20881f792022f6573bd9fbf4f00acaeea97bbc2f6e4f7
被盗的1606 枚ETH交易hash为:
0xbc9ce2f860ee2af834662782d30452a97eb3654ecaf9c4d00291d1233912a3f5
随后攻击者将38,233,180 枚USDC兑换为DAI,交易hash为:
0x04c43669c930a82f9f6fb31757c722e2c9cb4305eaa16baafce378aa1c09e98e
将兑换的38,100,000枚DAI发送到了另一个地址,暂未转移,地址如下:
0x66f62574ab04989737228d18c3624f7fc1edae14
通过分析,发现接收DAI的地址0x66f62574ab04989737228d18c3624f7fc1edae14收到一笔来自0x077d360f11d220e4d5d831430c81c26c9be7c4a4地址的0.1594个ETH手续费,而且通过零时科技虚拟币追溯分析平台标记0x077d360f11d220e4d5d831430c81c26c9be7c4a4为ChangeNow兑换平台地址,是攻击者用来掩盖交易痕迹的行为。
目前38,100,000枚DAI和1606枚ETH还在攻击者地址未转移,零时科技安全团队已经加入监控列表,持续跟踪资产转移动态。
总结建议
首先此次资产被盗事件是通过受害者钱包直接转移,所以疑似钱包私钥泄漏,然后攻击者及时将USDC兑换成DAI,目前暂时无法通过中心化机构进行冻结此笔资产。
接下来针对此次事件的资产追踪可做的工作如下:
第一、通过ChangeNow平台获取攻击者兑换ETH手续费的钱包地址进行溯源找到线索;
第二、同步实时监控攻击者地址的资产转移进行追踪;
第三、通过链上交易与攻击者取得联系;
零时科技安全团队会继续跟踪此次事件,也再次呼吁大家保管好自己私钥,提高安全意识,注意钱包和资产安全,有任何资产丢失的情况,第一时间与我们取得联系。
注:行业其他经典攻击案例详细分析,请关注零时科技公众号查看。
Nomad 跨链桥被盗1.8亿美元事件分析建议
天价美元损失案Harmony事件分析
Beanstalk Farms4.5亿人民币攻击事件分析
结语
Web3因其巨大的创新能力和开源优势成为蓬勃发展的新一代网络基础设施,为整个互联网世界带来更加可信,可传递价值的生态系统。尽管Web3行业安全事件不断,黑客和犯罪分子各种手法层出不穷,但这并不能阻碍Web3行业的健康发展。
相反,如同对弈的双方,Web3世界的“白帽子”,像我们零时科技一样的安全机构,一定会为这一繁茂的生态保驾护航,守护新世界用户的资产,与黑客斗智斗勇,为建立起更加完善的机制、更强的技术系统、更加安全交易而不断努力。
漏洞常在,安全无价,发展与安全的博弈不会停止,但愿我们都能为自己装上一个安全盾,来应对这未来复杂的技术世界!
免责声明
本报告版权为零时科技所有,报告内容基于零时科技安全团队对零时数据库和网络公开数据及信息的挖掘和分析,由于区块链具有匿名性特征,虽零时安全团队认为报告中所引用数据具有可靠性,但我们仍无法保证本报告中所有数据的完整性、准确性和真实性。由于研究方法、数据来源、研究视角的不同,本报告中所得结论可能与市场存在一定偏差。
本报告中的内容仅供参考,报告中的数据、结论和观点不应作为相关数字资产等任何类型的投资建议,读者应具有独立的判断能力,不应根据本报告作出相应的投资决策。由于使用该报告对任何企业或个人造成的损失,均不由零时科技承担。
本报告所涉及的项目及第三方,对本报告的客观性和独立性不造成任何影响。
本报告中信息具有时效性,所载数据、资料及观点仅限于定稿日前。
本报告的目的旨在帮助用户了解Web3安全现状,提高网络安全意识,进而降低用户直接或间接可能面临的风险。限于各种局限因素,内容恐有疏漏,烦请各位读者不吝指正。
【聚链财经版权及免责声明】本文仅代表作者本人观点,与聚链财经立场无关。本站所有内容不构成投资建议,币市有风险、投资请慎重。如需转载文章,请注明来源聚链财经(www.juliancaijing.com)及作者姓名,违者必究。