以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

慢霧:全方位回顧2022年區塊鏈安全生態_NFT

Author:

Time:1900/1/1 0:00:00

回顧過去的一年,我們看到加密領域出現了很多新場景,新應用和新變化。玩家也在逐漸增多,但是安全問題也一直困擾著行業的發展。因此,慢霧整理了2022年行業中出現的那些重大的安全時間,并進行了相應的分析和解讀。根據慢霧區塊鏈被黑事件檔案庫統計,2022年安全事件共295件,損失高達37.28億美元。相比2021年的97.95億美元下降約62%,但這并不包括因市場動蕩而損失的資產。

其中各生態DeFi、跨鏈橋、NFT等安全事件245起,交易所安全事件10起,公鏈安全事件11起,錢包安全事件5起,其他類型安全事件24起。從時間上來看,5月和10月攻擊事件數量最高,達到38件。3月損失金額最高,達到約7億美元。一、區塊鏈生態安全概覽

公鏈

公鏈是Web3領域最重要的基礎設施,也是行業中競爭最激烈的賽道之一。而2022年最令人訝異的莫過于Terra事件了。5月8日,加密貨幣市場上出現了史上最具破壞性的一次崩盤。Terra網絡的算法穩定幣UST出現了2.85億美元的巨額拋售,引發了一系列連鎖反應。Terra的原生代幣LUNA的價格突然毫無征兆的連續跳崖式暴跌,一天時間,Luna市值蒸發了近400億美元,全生態項目TVL也幾乎歸零。此次事件或許成為了開啟2022加密寒冬的死亡按鈕。DeFi/跨鏈橋

據DeFiLlama數據顯示,截止12月底,DeFi總鎖倉價值約為398億美元,同比巨降75%。Ethereum以占比整個DeFiTVL的58.5%占據主導地位,緊隨其后的是TRON,TVL為43億美元,BNBChain(BNB)為42億美元。有趣的是,2022年5月,Ethereum的TVL在DeFi中的占比減少了35%,而TRON的TVL占比增長了47%。根據SlowMistHacked統計,2022年BNBChian上發生安全事件約90起,總損失金額約7.85億美元,居各鏈平臺損失金額第一位。而Ethereum上發生安全事件約50起,總損失金額約5.28億美元,其次是Solana上發生安全事件約11起,總損失金額約1.96億美元。據DuneAnalytics的數據,以太坊跨鏈橋的鎖定總價值約83.9億美元,對比上半年降低了約31%。目前TVL最高的是PolygonBridges,排名第二的是ArbitrumBridges,隨后是OptimismBridges。跨鏈橋允許用戶將加密資產從一條鏈轉移到另一條鏈,主要解決多鏈擴展問題。然而,跨鏈橋智能合約中的大量資金加上缺少安全審計,引來了黑客的目光。根據SlowMistHacked統計,2022年跨鏈橋安全事件共15起,損失高達12.1億美元,占比2022年總損失的32.45%。總而言之,對項目方來說,想要盡可能的消除漏洞、降低安全風險,就必須做出有效的努力——在項目上線之前,對其進行全面深入的安全審計。同時,建議各項目方通過引入多簽機制來加大資產保護的力度。另一方面,各項目在進行協議間交互或移植其他協議的代碼時,需充分了解移植協議的架構以及自己項目的架構設計,做好協議之間的兼容性,防止資金損失情況的發生。對用戶來說,隨著區塊鏈領域的玩法愈發多樣化,用戶在進行投資前認真了解項目背景,查看該項目是否有開源、是否經過審計,在參與項目時需要提高警惕,注意項目風險。NFT

慢霧:區塊鏈因黑客攻擊損失總金額已超300億美元:金色財經報道,據慢霧統計數據顯示,自2012年1月以來,區塊鏈黑客造成的損失總金額約為30,011,604,576.24美元;黑客事件總數達到1101起。

其中Exchange、ETH Ecosystem、Bridge是在黑客攻擊中損失最大的類別,損失金額分別為10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合約漏洞、Rug Pull、閃電貸攻擊是最常見的攻擊方式,分別發生黑客事件137起,106起,87起。[2023/7/7 22:24:09]

NFT在2022年表現極為搶眼,據NFTScan數據顯示,在以太坊上的NFT全年交易次數達1.98億次,明顯高于2020年和2021年。而在BNBChain上的NFT全年交易次數達3.45億次,在Polygon上的NFT全年交易次數達7.93億次。另一方面,根據SlowMistHacked不完全統計,2022年NFT賽道安全事件約56起,損失超6543萬美元,其中大部分是由釣魚攻擊導致,占比約為40%,其次是RugPull,占比約為21%。錢包/交易平臺

2月8日,美國司法部發布公告稱,已經查獲了價值36億美元的比特幣,這些比特幣與2016年加密貨幣交易所Bitfinex的黑客事件有關。34歲的IlyaLichtenstein和其31歲的妻子HeatherMorgan在紐約被捕,兩人被指控共謀洗錢和詐騙罪。這也是美國司法部有史以來最大規模的金融扣押。11月6日,幣安創始人CZ發推稱決定清算賬面上所有剩余的FTT,由此引發兩大交易所之間的對峙。盡管AlamedaCEO和FTXCEOSBF接連發推試圖穩固用戶信心并辟謠此前曝光的消息,但還是引發FTX在流動性枯竭后迅速破產。最終,FTX暴雷,SBF被捕。中心化交易所的不透明再度引發人們的信任危機,缺乏審慎監管的問題越發凸顯。無論是對消費者更嚴格的保護,還是對機構更明確的規則,監管的腳步都將愈發清晰。在FTX暴雷后,硬件錢包的銷量大幅增長,用戶量最多的錢包MetaMask月活用戶達3000萬。根據Finbold數據顯示,基于排名前21個加密貨幣存儲APP應用,在2022年1月至2022年10月期間,Android和iOS設備上的加密錢包下載量已經達到約1.0206億次。雖然這個數字低于2021年牛市期間的1.7785億次下載量,但比除2021年之外的任何一年都高。按月細分數據顯示,加密錢包下載量年初呈下降趨勢,但在Terra/Luna崩潰以及FTX暴雷后均出現較大幅度增長。其他

慢霧:Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道,據慢霧消息,Grafana發布嚴重安全提醒,其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128),目前PoC在互聯網上公開,已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺,用戶配置連接的數據源之后,Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上,配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時,這可能會使Grafana賬戶被接管和認證繞過。其中,Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況,請注意風險,并將Grafana升級到最新版本。[2023/6/25 21:58:31]

區塊鏈技術不可逆、匿名性特征在有效保護隱私的同時,也為網絡犯罪提供了“保護傘”。隨著元宇宙、NFT等概念受到熱捧,加密貨幣盜竊事件、欺詐事件時有發生,很多不法分子打著區塊鏈旗號發行所謂的虛擬資產,實施詐騙,黑灰產的先進與專業度已經遠超想象。據中國人民銀行支付結算司數據,2021年涉詐款項的支付方式中,利用加密貨幣進行支付僅次于銀行轉賬,排名第二位,高達7.5億美元;而2020年、2019年僅為1.3、0.3億美元,逐年大幅增長的趨勢明顯。值得關注的是,加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。2021年“殺豬盤”詐騙資金中1.39億美元使用加密貨幣支付,是2020年的5倍、2019年的25倍。根據美國聯邦貿易委員會(FTC)發布的一份報告,在自2021年年初以來的一年多時間里,已有超過4.6萬人報告自己遭遇了加密貨幣騙局,損失總額超過10億美元。根據報告,最常見的加密貨幣騙局類型是投資相關欺詐,在總金額10億美元中占5.75億美元,最常向詐騙者支付的加密貨幣包括BTC、USDT和ETH。二、攻擊手法

慢霧:利用者通過執行惡意提案控制了Tornado.Cash的治理:金色財經報道,SlowMist發布Tornado.Cash治理漏洞解析。 5月20日,Tornado.Cash遭受了治理攻擊,利用者通過執行惡意提案控制了Tornado.Cash的治理。5月13日,利用者發起了20提案,并在提案中說明20提案是對16提案的補充,具有相同的執行邏輯。但實際上,提案合約多了一個自毀邏輯,其創建者是通過create2創建的,具有自毀功能,所以在與提案合約自毀后,利用者仍可以部署不同的以與以前相同的方式將字節碼發送到相同的地址。不幸的是,社區沒有看到擬議合約中的犯規行為,許多用戶投票支持該提案。

在5月18日,利用者通過創建具有多個交易的新地址,反復將0代幣鎖定在治理中。利用提案合約可以銷毀并重新部署新邏輯的特性,利用者在5月20日7:18(UTC)銷毀了提案執行合約,并在同一地址部署了一個惡意合約,其邏輯是修改用戶在治理中鎖定的代幣數量。

攻擊者修改完提案合約后,于5月20日7:25(UTC)執行惡意提案合約。該提案的執行是通過 Delegatecall 執行的,因此,該提案的執行導致治理合約中由開發者控制的地址的代幣鎖定量被修改為 10,000。提案執行完成后,攻擊者從治理庫中解鎖了TORN代幣。金庫中的TORN代幣儲備已經耗盡,同時利用者控制了治理。[2023/5/21 15:17:00]

295起安全事件中,攻擊手法主要分為三類:由項目自身設計缺陷和各種合約漏洞引起的攻擊;包含RugPull、釣魚、Scam類型的手法;由私鑰泄露引起的資產損失。2022年最常見的攻擊手法是由項目自身設計缺陷和各種合約漏洞引起,約92起,造成損失10.6億美元,占總數量的40.5%。其中較為主要的是利用閃電貸引起的攻擊,約19起,造成損失6133萬美元,其他包括重入問題、價格操縱、驗證問題等等。因私鑰被盜引起的資產損失發生率約為6%,損失金額卻達到7.46億美元,僅次于合約漏洞利用,因私鑰被盜的事件中,損失最大的來自Ronin事件,其次是Harmony,都是來自跨鏈橋。在Web3世界,用戶的安全意識往往是參差不齊,這也導致了針對用戶的釣魚攻擊花樣多多且頻繁發生。例如,攻擊者利用惡意手段將各項目的官方媒體平臺占為己有或者偽造官方媒體號并發布釣魚Mint、AirDrop鏈接,還時不時轉發真正的官方號內容來混肴視聽。例如,利用搜索引擎上的廣告宣傳虛假網站或者與官方域名高度相似的域名及內容來以假亂真;例如通過偽造的郵件、吸引人的贈品活動來引你入局;又例如利用新用戶信息差提供假APP下載鏈接。無論如何,提高安全意識才是最必要的,同時,一旦發現自己中招,第一時間轉移資產,及時止損并保留證據,必要時尋求業內安全機構的幫助。其次,最令人憎惡的則是RugPull。RugPull通常指項目的開發者放棄項目,帶著資金逃跑,更多是項目方主動作惡。它可以以多種方式發生:比如當開發者啟動初始流動性,推高價格,然后撤回流動性項目方先創建一個加密項目,通過各種營銷手段吸引加密用戶投資,并在合適的時機毫無征兆地卷走用戶投資的資金,拋售加密資產,最終銷聲匿跡,投資該項目的用戶也將蒙受巨大損失。再比如推出一個網站,但在吸引了數十萬存款后關閉。2022年RugPull事件達到50起,損失約1.88億美元,常發生于BSC生態及NFT領域。2022年其他較為新型的手法為前端惡意攻擊、DNS攻擊以及BGP劫持;最為奇葩的則是人為配置操作失誤導致的資產損失。三、釣魚/騙局手法

動態 | 慢霧:2020年加密貨幣勒索蠕蟲已勒索到 8 筆比特幣:慢霧科技反洗錢(AML)系統監測:世界最早的知名加密貨幣勒索蠕蟲 WannaCry 還在網絡空間中茍延殘喘,通過對其三個傳播版本的行為分析,其中兩個最后一次勒索收到的比特幣分別是 2019-04-22 0.0584 枚,2019-09-01 0.03011781 枚,且 2019 年僅發生一次,另外一個 2020 還在活躍,2020 開始已經勒索收到 8 筆比特幣支付,但額度都很低 0.0001-0.0002 枚之間。這三個傳播版本第一次發生的比特幣收益都是在 2017-05-12,總收益比特幣 54.43334953 枚。雖然收益很少,但 WannaCry 可以被認為是加密貨幣歷史上勒索作惡的鼻主蠕蟲,其傳播核心是 2017-04-13 NSA 方程式組織被 ShdowBrokers(影子經紀人) 泄露第三批網絡軍火里的“永恒之藍”(EternalBlue)漏洞,其成功的全球影響力且匿名性為之后的一系列勒索蠕蟲(如 GandCrab)帶來了巨大促進。[2020/2/23]

此節只選取部分SlowMist曾披露過的釣魚/騙局手法。瀏覽器惡意書簽盜取DiscordToken

現在的瀏覽器都有自帶的書簽管理器,在提供便利的同時卻也容易被攻擊者利用。通過精心構造惡意的釣魚頁面可以讓你收藏的書簽中插入一段JavaScript代碼,有了這個幾乎可以做任何事情,包括通過Discord封裝好的webpackChunkdiscord_app前端包進行信息獲取。當Discord用戶點擊時,惡意JavaScript代碼就會在用戶所在的Discord域內執行,盜取DiscordToken,攻擊者獲得項目方的DiscordToken后就可以直接自動化接管項目方的Discord賬戶相關權限。攻擊者拿到了Token等同于登錄了Discord賬號,可以做登錄Discord的任何同等操作,比如建立一個Discordwebhook機器人,在頻道里發布公告等虛假消息進行釣魚。下面是演示受害者點擊了釣魚的書簽:

聲音 | 慢霧:99%以上的勒索病使用BTC進行交易:據慢霧消息,勒索病已經成為全球最大的安全威脅之一,99%以上的勒索病使用BTC進行交易,到目前為止BTC的價格已經漲到了一萬多美元,最近一兩年針對企業的勒索病攻擊也越來越多,根據Malwarebytes統計的數據,全球TO B的勒索病攻擊,從2018年6月以來已經增加了363%,同時BTC的價格也直線上漲,黑客現在看準了數字貨幣市場,主要通過以下幾個方式對數字貨幣進行攻擊:

1.通過勒索病進行攻擊,直接勒索BTC。

2.通過惡意程序,盜取受害者數字貨幣錢包。

3.通過數字貨幣網站漏洞進行攻擊,盜取數字貨幣。[2019/8/25]

下面是演示攻擊者編寫的JavaScript代碼獲取Token等個人信息后,通過DiscordServer的webhook接收到。

可以看到,在用戶登錄Web端Discord的前提下,假設受害者在釣魚頁面的指引下添加了惡意書簽,在DiscordWeb端登錄時,點擊了該書簽,觸發惡意代碼,受害者的Token等個人信息便會通過攻擊者設置好的Discordwebhook發送到攻擊者的頻道上。“零元購”NFT釣魚

例如下圖釣魚網站,簽名內容為Maker:用戶地址Taker:0xde6135b63decc47d5a5d47834a7dd241fe61945aExchange:0x7f268357A8c2552623316e2562D90e642bB538E5

這是一種較為常見的NFT釣魚方式,即騙子能夠以0ETH購買你所有授權的NFT。也就是說,這是欺騙用戶簽名NFT的銷售訂單,NFT是由用戶持有的,一旦用戶簽名了此訂單,騙子就可以直接通過OpenSea購買用戶的NFT,但是購買的價格由騙子決定,也就是說騙子不花費任何資金就能“買”走用戶的NFT。此外,簽名本身是為攻擊者存儲的,不能通過Revoke.Cash或Etherscan等網站取消授權來廢棄簽名的有效性,但可以取消你之前的掛單授權,這樣也能從根源上避免這種釣魚風險。RedlineStealer木馬盜幣

這種攻擊主要是通過Discord邀請用戶參與新的游戲項目內測,打著“給予優惠”等幌子,或是通過群內私聊等方式發一個程序讓你下載,一般是發送壓縮包,解壓出來是一個大概800M左右的exe文件,一旦你在電腦上運行,它會掃描你電腦上的文件,然后過濾包含Wallet等關鍵詞的文件上傳到攻擊者服務器,達到盜取加密貨幣的目的。RedLineStealer是一種惡意木馬軟件,2020年3月被發現,在地下論壇上單獨出售。該惡意軟件從瀏覽器中收集保存的憑據、自動完成數據和信用卡等信息。在目標機器上運行時,會搜集如用戶名、位置數據、硬件配置和已安裝的安全軟件等詳細信息。新版本的RedLine增加了竊取加密貨幣的能力,能夠自動掃描本地計算機已安裝的數字貨幣錢包信息,并上傳到遠端控制機。該惡意軟件具有上傳和下載文件、執行命令以及定期發回有關受感染計算機的信息的能力。常常針對加密貨幣錢包目錄、錢包文件進行掃描:

空白支票eth_sign釣魚

連接錢包后并點擊Claim后,彈出一個簽名申請框,同時MetaMask顯示了一個紅色提醒警告,而光從這個彈窗上無法辨別要求簽名的到底是什么內容。其實這是一種非常危險的簽名類型,基本上就是以太坊的“空白支票”。通過這個釣魚,騙子可以使用您的私鑰簽署任何交易。這種eth_sign方法可以對任意哈希進行簽名,那么自然可以對我們簽名后的bytes32數據進行簽名。因此攻擊者只需要在我們連接DApp后獲取我們的地址對我們賬戶進行分析查詢,即可構造出任意數據讓我們通過eth_sign進行簽名。

除此之外,還有一種釣魚:在你拒絕上述的sign后,它會在你的MetaMask自動顯示另一個簽名框,趁你沒注意就騙到你的簽名。而看看簽名內容,使用了SetApprovalForAll方法,同時Approvedasset的目標顯示為AllofyourNFT,也就是說,一旦你簽名,騙子就可以毫無節制地盜走你的所有NFT。

這種釣魚方式對用戶會有很強的迷惑性,以往我們碰到的授權類釣魚在MetaMask會給我直觀的展示出攻擊者所要我們簽名的數據。而當攻擊者使用eth_sign方法讓用戶簽名時,MetaMask展示的只是一串bytes32的哈希。尾號相同+TransferFrom零轉賬騙局

用戶的地址轉賬記錄中不斷出現陌生地址轉賬0USDT,而這筆交易均是通過調用TransferFrom函數完成的。究其原因主要是代幣合約的TransferFrom函數未強制要求授權轉賬數額必須大于0,因此可以從任意用戶賬戶向未授權的賬戶發起轉賬0的交易而不會失敗。惡意攻擊者利用此條件不斷地對鏈上活躍用戶發起TransferFrom操作,以觸發轉賬事件。

除了0USDT轉賬騷擾,還伴隨著攻擊者針對交易規模較大頻率較高的用戶不斷空投小額數量的Token,攻擊者地址尾數和用戶地址尾數幾乎一樣,通常為后幾位,用戶去復制歷史轉賬記錄中的地址時一不小心就復制錯,導致資產損失。

以上只是舉例了一些常見的攻擊手法和場景,實際上道高一尺魔高一丈,黑客的攻擊手法永遠都在推陳出新,我們能做的就是不斷提高自己的見識。對于個人用戶來說,遵守以下安全法則及原則,可以避免大部分風險:兩大安全法則:零信任。簡單來說就是保持懷疑,而且是始終保持懷疑。持續驗證。你要相信,你就必須有能力去驗證你懷疑的點,并把這種能力養成習慣。安全原則:網絡上的知識,凡事都參考至少兩個來源的信息,彼此佐證,始終保持懷疑。做好隔離,也就是雞蛋不要放在一個籃子里。對于存有重要資產的錢包,不做輕易更新,夠用就好。所見即所簽。即你看到的內容就是你預期要簽名的內容,當你簽名發出去后,結果就應該是你預期的,絕不是事后拍斷大腿的。重視系統安全更新,有安全更新就立即行動。不亂下程序。

Tags:NFT加密貨幣ORDSCO元宇宙概念是什么意思NFT加密貨幣市場分析報告HORDE價格SCORPFIN價格

fil幣價格今日行情
年度NFT市場回顧,2023 NFT是開發者的最優選擇嗎?_NFT

熊市當下,回顧過去一年的市場表現,能發現各賽道較去年的牛市來說都十分低迷。從總交易量、交易額、市值、TVL等常見的數據側體現出市場低點,然而從開發者數量、用戶數量等關鍵數據維度所體現出來是市場的.

1900/1/1 0:00:00
加密行業遭遇「信任危機」,Silvergate 2022年Q4凈虧損10億美元_SILV

Odaily星球日報譯者|念銀思唐加密友好銀行SilvergateCapitalCorp.報告稱,公司2022年第四季度凈虧損10億美元,并表示將剝離一些非核心數字資產客戶.

1900/1/1 0:00:00
速覽Polygon聯創Web3加速器首批13個項目_ITA

2022年12月份,Polygon聯合創始人SandeepNailwal宣布推出Web3啟動加速器Beacon,將通過指導和資金支持來資助早期加密項目.

1900/1/1 0:00:00
零時科技:2022年全球Web3行業安全研究報告_WEB

原文來源:零時科技摘要 2022年,是加密世界多元化創新的一年,但創新的背后,也發生了許多讓人咋舌的安全事件.

1900/1/1 0:00:00
長文深度解讀“賬戶抽象”:7年路線演化及賽道圖譜_GAS

賬戶抽象并不僅限于EIP-4337,也不僅限于無私鑰和社交恢復功能。本文從EIP提案梳理賬戶抽象發展歷史和未來方向,從賽道圖譜暢想賬戶抽象的無限可能……賬戶抽象的真正落地仍需要一定的時間,但這將.

1900/1/1 0:00:00
星球日報 | 以太坊質押提款Devnet測試網已于近日啟動;Aave將于明年1月發布穩定幣GHO公共測試網(12月27日)_區塊鏈

頭條 以太坊質押提款Devnet已啟動,即將推出公開測試網Odaily星球日報訊以太坊新聞周刊創始人EvanVanNess發推稱,以太坊質押提款Devnet測試網已于近日啟動.

1900/1/1 0:00:00
ads