好消息 :
1、生命動(dòng)力10盒送1盒!2、卡圖巴.肽素食3盒700元! 3、壯丁丁2盒起300元/盒。
好消息 :
隨著2021年區(qū)塊鏈行業(yè)迎來(lái)新的發(fā)展時(shí)期,區(qū)塊鏈作為“新基建”的重要組成部分,與實(shí)體經(jīng)濟(jì)和數(shù)字經(jīng)濟(jì)加速融合,穩(wěn)步推進(jìn),區(qū)塊鏈應(yīng)用價(jià)值得到進(jìn)一步凸顯。與此同時(shí),各類區(qū)塊鏈安全風(fēng)險(xiǎn)也伴隨著技術(shù)的大規(guī)模應(yīng)用不斷升級(jí)。
在過(guò)去的2021年,區(qū)塊鏈面對(duì)了更嚴(yán)峻的安全挑戰(zhàn),區(qū)塊鏈生態(tài)領(lǐng)域發(fā)生了不少大規(guī)模和令人震驚的網(wǎng)絡(luò)攻擊事件。今天,跟著我們一起來(lái)回顧2021年區(qū)塊鏈安全生態(tài)都發(fā)生了什么。
1.2021年區(qū)塊鏈安全生態(tài)概覽
根據(jù)成都鏈安【鏈必應(yīng)-區(qū)塊鏈安全態(tài)勢(shì)感知平臺(tái)】監(jiān)測(cè)到的數(shù)據(jù)不完全統(tǒng)計(jì),截止發(fā)稿前,2021年整個(gè)區(qū)塊鏈生態(tài)發(fā)生的相關(guān)典型安全事件數(shù)量超332起,相比于2020年的270起,增幅超22%;2021年,整個(gè)區(qū)塊鏈生態(tài)造成的經(jīng)濟(jì)損失超153億美金,較2020年增幅超26%。
值得注意的是,據(jù)成都鏈安安全團(tuán)隊(duì)歷年數(shù)據(jù)統(tǒng)計(jì),2018年區(qū)塊鏈生態(tài)經(jīng)濟(jì)損失超20億美元,2019年區(qū)塊鏈生態(tài)經(jīng)濟(jì)損失超60億美元;2020年區(qū)塊鏈生態(tài)經(jīng)濟(jì)損失超121億美元,加上2021年超153億美元的經(jīng)濟(jì)損失,可見(jiàn)這幾年來(lái),區(qū)塊鏈生態(tài)經(jīng)濟(jì)損失越發(fā)嚴(yán)峻。
2010年-2021年區(qū)塊鏈生態(tài)經(jīng)濟(jì)損失
自2016年以來(lái),區(qū)塊鏈生態(tài)經(jīng)濟(jì)損失逐年增多,源于近幾年來(lái)區(qū)塊鏈行業(yè)進(jìn)入到一個(gè)高速發(fā)展的階段,伴隨著區(qū)塊鏈底層技術(shù)逐步走向成熟,區(qū)塊鏈應(yīng)用價(jià)值愈加獲得認(rèn)可,區(qū)塊鏈生態(tài)所承載的經(jīng)濟(jì)效益逐年提升,隨之而來(lái)的安全風(fēng)險(xiǎn)也愈發(fā)嚴(yán)峻。
全球加密資產(chǎn)普及程度提升且總市值不斷突破歷史新高,黑客與不法分子的犯罪行為隨之更加猖獗。
反映問(wèn)題方面,其一,整個(gè)區(qū)塊鏈生態(tài)當(dāng)下仍缺乏普適的安全標(biāo)準(zhǔn)和安全規(guī)范,行業(yè)亂象難以得到有效遏制;其二,區(qū)塊底層技術(shù)在應(yīng)用層、合約層、網(wǎng)絡(luò)層、共識(shí)層分別仍然存在著各種不容忽視的安全風(fēng)險(xiǎn);其三,區(qū)塊鏈生態(tài)的安全監(jiān)管進(jìn)程亟待推進(jìn),如何實(shí)現(xiàn)高效可行的安全監(jiān)管,是整個(gè)行業(yè)需要重點(diǎn)攻堅(jiān)的難題所在。
除區(qū)塊鏈技術(shù)架構(gòu)本身所存在的安全風(fēng)險(xiǎn)之外,其諸如去中心化、難篡改、匿名等“基因特性”也為區(qū)塊鏈安全監(jiān)管層面帶來(lái)了不容忽視的挑戰(zhàn)。具體表現(xiàn)為三個(gè)方面。
一是區(qū)塊鏈技術(shù)無(wú)國(guó)界限制,區(qū)塊鏈網(wǎng)絡(luò)節(jié)點(diǎn)可存在多個(gè)國(guó)家,鏈上產(chǎn)生的異常行為追蹤,引發(fā)管轄權(quán)限困境、責(zé)任認(rèn)定困境等問(wèn)題。
二是區(qū)塊鏈的強(qiáng)隱秘性,無(wú)疑增加了安全事件和犯罪行為的追蹤溯源難度。
三是區(qū)塊鏈的防篡改性,為有害信息、犯罪行為等形成天然庇護(hù),向行業(yè)安全監(jiān)管提出挑戰(zhàn)。
2.2021年區(qū)塊鏈安全事件全畫(huà)像
典型安全事件數(shù)量
根據(jù)成都鏈安【鏈必應(yīng)-區(qū)塊鏈安全態(tài)勢(shì)感知平臺(tái)】監(jiān)測(cè)到的數(shù)據(jù)不完全統(tǒng)計(jì),截止發(fā)稿前,2021年整個(gè)區(qū)塊鏈生態(tài)發(fā)生的相關(guān)典型安全事件數(shù)量超332起,安全事件爆發(fā)峰值在8月,6、7月安全形勢(shì)也較嚴(yán)峻。
典型安全事件類型占比
安全事件主要集中在交易所、DeFi、詐騙跑路/加密騙局、勒索軟件/挖礦木馬、暗網(wǎng)、其他等方面,其中DeFi安全事件101起、詐騙跑路/加密騙局95起,成為年度主要的安全事件來(lái)源。
典型安全事件導(dǎo)致的經(jīng)濟(jì)損失金額
據(jù)成都鏈安【鏈必應(yīng)-區(qū)塊鏈安全態(tài)勢(shì)感知平臺(tái)】監(jiān)測(cè)數(shù)據(jù)不完全統(tǒng)計(jì),2021年安全事件造成的經(jīng)濟(jì)損失超153億美金,較2020年的121億美金趨勢(shì)依然走高。其中詐騙跑路/加密騙局導(dǎo)致的經(jīng)濟(jì)損失形式最為嚴(yán)峻。
3.安全風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略
作為多種技術(shù)整合的一種全新的數(shù)據(jù)記錄、存儲(chǔ)和表達(dá)的方式,區(qū)塊鏈技術(shù)能夠在不可信的競(jìng)爭(zhēng)環(huán)境中低成本建立信任機(jī)制,同時(shí)又具備一系列加密算法和數(shù)字簽名等方式以確保交易安全,并形成一種隨時(shí)間戳排序的鏈?zhǔn)浇Y(jié)構(gòu)來(lái)保證數(shù)據(jù)不被篡改。可盡管如此,區(qū)塊鏈既是堅(jiān)韌的安全捍衛(wèi)者,同時(shí)也是脆弱的被攻擊對(duì)象。
DeFi生態(tài)方面
由于DeFi熱潮的興起,該領(lǐng)域也自然成為了2021年黑客“大展拳腳”的重點(diǎn)對(duì)象。
建議
項(xiàng)目上線前,DeFi項(xiàng)目方應(yīng)做好前置預(yù)防工作,尋求第三方安全公司進(jìn)行嚴(yán)格的安全審計(jì),引入一整套態(tài)勢(shì)感知、威脅情報(bào)、安全響應(yīng)等全生命周期的安全解決方案,完善安全防護(hù)機(jī)制。作為用戶,在選擇項(xiàng)目時(shí),應(yīng)留意該項(xiàng)目是否經(jīng)過(guò)第三方安全公司的安全審計(jì),是否具備權(quán)威的安全審計(jì)報(bào)告,切不可掉以輕心。
詐騙跑路/加密騙局方面
2021年詐騙跑路/加密騙局方面所造成的經(jīng)濟(jì)損失遠(yuǎn)超于黑客的攻擊行為和盜竊行為。波及人數(shù)多、遍布區(qū)域廣、涉案金額高等原因推波助瀾,進(jìn)而導(dǎo)致該領(lǐng)域安全事件高發(fā),經(jīng)濟(jì)損失嚴(yán)重。
建議
作為用戶和投資者,應(yīng)提高警惕,謹(jǐn)慎甄別投資產(chǎn)品和投資項(xiàng)目,不盲從,不跟風(fēng)。加強(qiáng)自身安全意識(shí)和防騙意識(shí),謹(jǐn)慎分辨網(wǎng)絡(luò)上的有關(guān)消息,切莫掉進(jìn)圈套。行業(yè)各方從業(yè)者應(yīng)積極配合相關(guān)部門,推動(dòng)整個(gè)區(qū)塊鏈生態(tài)安全監(jiān)管的進(jìn)程建設(shè)。
勒索軟件/挖礦木馬方面
勒索軟件方面,黑客一般會(huì)通過(guò)釣魚(yú)攻擊、病毒軟件、漏洞攻擊鎖定受害人的網(wǎng)絡(luò)設(shè)備或加密重要文件,以此勒索指定加密資產(chǎn);而挖礦木馬方面,則會(huì)利用挖礦木馬和蠕蟲(chóng)來(lái)完成大量計(jì)算以獲取加密資產(chǎn),在計(jì)算過(guò)程中,計(jì)算機(jī)大量的CPU、GPU資源被占用,將導(dǎo)致計(jì)算機(jī)變得異常卡慢,干擾正常系統(tǒng)運(yùn)行。
建議
應(yīng)避免使用弱口令密碼,同一個(gè)密碼不能重復(fù)使用。日常工作中應(yīng)加強(qiáng)安全防護(hù),不要輕信或下載來(lái)源不明的鏈接或文件,謹(jǐn)慎打開(kāi)來(lái)歷不明的郵件或網(wǎng)址。聯(lián)合全球力量,嚴(yán)厲打擊勒索軟件/挖礦木馬,推動(dòng)行業(yè)安全監(jiān)管進(jìn)程建設(shè)。
暗網(wǎng)方面
2021年暗網(wǎng)方面依然是網(wǎng)絡(luò)犯罪活動(dòng)頻發(fā)的不法之地,犯罪分子為逃避有關(guān)部門的監(jiān)管和追蹤,基于加密資產(chǎn)的匿名特性,多會(huì)選擇以比特幣、萊特幣等作為交易媒介。
建議
作為用戶,應(yīng)正確使用互聯(lián)網(wǎng),規(guī)范網(wǎng)絡(luò)道德。作為網(wǎng)絡(luò)安全公司,需加強(qiáng)暗網(wǎng)治理有關(guān)技術(shù),協(xié)助相關(guān)部門參與到打擊暗網(wǎng)和黑灰產(chǎn)業(yè)鏈的專項(xiàng)行動(dòng)中。加強(qiáng)國(guó)際合作,提升全球治理和管理暗網(wǎng)的整體實(shí)力。
交易所方面
交易所是距離用戶資產(chǎn)最近的地方,用于海量資產(chǎn)的管理存儲(chǔ)及撮合交易,因此一直以來(lái)也是黑客首當(dāng)其沖的攻擊目標(biāo)。
建議
從交易所應(yīng)建立完善的安全風(fēng)控應(yīng)急預(yù)案,以及時(shí)響應(yīng)并處置各類黑客攻擊事件的發(fā)生。交易所應(yīng)建立全面的安全防護(hù)機(jī)制,加固平臺(tái)自身安全架構(gòu),并適時(shí)對(duì)平臺(tái)進(jìn)行來(lái)自第三方安全公司的整體安全測(cè)試。加強(qiáng)對(duì)內(nèi)部員工和用戶的安全意識(shí)普及,避免出現(xiàn)監(jiān)守自盜的情況。
其它方面
其他方面,諸如信息泄露、隱私保護(hù)、私鑰竊取、非法洗錢等各領(lǐng)域所發(fā)生的安全事件依然不容忽視。同時(shí),隨著區(qū)塊鏈技術(shù)與多個(gè)產(chǎn)業(yè)領(lǐng)域?qū)崿F(xiàn)大規(guī)模融合及應(yīng)用,未來(lái)各類型的安全事件將呈高發(fā)態(tài)勢(shì),值得重點(diǎn)關(guān)注,需及時(shí)搭建起具備針對(duì)性的安全防御機(jī)制。
建議
行業(yè)各方從業(yè)者在關(guān)注熱點(diǎn)領(lǐng)域安全事件的同時(shí),也需兼顧其他方面的安全風(fēng)險(xiǎn)。在夯實(shí)傳統(tǒng)安全、網(wǎng)絡(luò)安全的基礎(chǔ)上,積極應(yīng)對(duì)區(qū)塊鏈生態(tài)各領(lǐng)域的安全挑戰(zhàn)。加強(qiáng)對(duì)區(qū)塊鏈安全技術(shù)的投入與研究,建立覆蓋區(qū)塊鏈生態(tài)全生命周期的安全解決方案。
4.2021年區(qū)塊鏈?zhǔn)蟀踩录P點(diǎn)
根據(jù)事件的損失金額大小,一起來(lái)回顧2021年十大安全事件。
No1. POLY NETWORK:6.11億美元
時(shí)間:2021 年 8 月 10日
攻擊手法:合約權(quán)限管理邏輯存在問(wèn)題
8月10日晚,鏈必安-區(qū)塊鏈安全態(tài)勢(shì)感知平臺(tái)(Beosin-Eagle Eye)輿情監(jiān)測(cè)顯示,跨鏈協(xié)議Poly Network 遭受攻擊,Ethereum、BinanceChain、Polygon3條鏈上近6億美元資金被盜。
經(jīng)過(guò)分析,成都鏈安技術(shù)團(tuán)隊(duì)發(fā)現(xiàn)攻擊者利用EthCrossChainManager合約中存在的邏輯缺陷,通過(guò)該合約調(diào)用EthCrossChainData合約中putCurEpochConPubKeyBytes函數(shù)更改Keeper為自有地址,然后使用該地址對(duì)提取代幣的交易進(jìn)行簽名,從而將LockProxy合約中的大量代幣套取出來(lái)。
相關(guān)閱讀(點(diǎn)擊可直達(dá)):
年度最大DeFi黑客事件!成都鏈安關(guān)于Poly Network被攻擊事件全解析
獨(dú)家 | 撥開(kāi)Poly Network攻擊事件的迷霧,成都鏈安成為首家提前找到攻擊源頭的安全公司
No2. BITMART:1.96億美元
時(shí)間:2021 年 12月4日
攻擊手法:熱錢包私鑰被盜
10月4日,加密貨幣交易平臺(tái)Bitmart遭黑客竊取1.96億美元,該平臺(tái)官方聲明了黑客入侵事件,表示這是一次大規(guī)模安全攻擊事件。其中約1億美元來(lái)自以太坊區(qū)塊鏈的各種加密貨幣,9600萬(wàn)美元來(lái)自幣安智能鏈上的貨幣。后來(lái),BitMart創(chuàng)始人兼CEO Sheldon Xia在社交媒體表示,BitMart已完成初步安全檢查并確定受影響的資產(chǎn),主要是由于兩個(gè)熱錢包被盜私鑰造成的。
No3. Compound:1.47億美元
時(shí)間:2021 年9月30日
攻擊手法:代幣分發(fā)的速率初始設(shè)定出錯(cuò)
9 月 30 日,頭部去中心化借貸協(xié)議Compound于官推表示,在通過(guò)并執(zhí)行「治理提案 062」后,升級(jí)合約內(nèi)發(fā)錯(cuò)了一個(gè) BUG,致使 COMP 代幣出現(xiàn)了異常分發(fā)情況。錯(cuò)誤分配了大約 8000 萬(wàn)美元的超額 COMP,加上滴注后已經(jīng)索賠的 2200 萬(wàn)美元以及處于風(fēng)險(xiǎn)中的 4500 萬(wàn)美元,那么漏洞總計(jì)為 1.47 億美元。盡管這更像是“銀行錯(cuò)誤”而不是漏洞利用,但 Compound 在這個(gè)的排行榜上占有一席之地是公平的。
No4. Vulcan Forged:1.45億美元
時(shí)間:2021年12月13日
攻擊手法:錢包造入侵
12月13日消息,據(jù)Vulcan Forged官方推特稱,96 個(gè)持有 PYR 的錢包遭到入侵。超過(guò) 450 萬(wàn) PYR 已被盜。隨后官方表示:1. 我們無(wú)能為力,他們無(wú)法從 PK 被盜且資金未轉(zhuǎn)移的錢包中取出資金。2. 我們正在轉(zhuǎn)向一個(gè)完整的去中心化錢包設(shè)置。3.所有被盜的PYR將由我們的國(guó)庫(kù)代替。12月14日,Vulcan Forged在此前遭遇黑客攻擊后已向全部受損用戶賠償價(jià)值1.45億美元的Token PYR,所有退款均來(lái)自Vulcan Forged財(cái)庫(kù)。
No5. Cream Finance:1.3億美元
時(shí)間:10月27日
攻擊手法:閃電貸攻擊
DeFi借貸協(xié)議Cream Finance再次遭受攻擊,損失達(dá)1.3億美元。被盜的資金主要是CreamLP代幣和其他ERC-20代幣。關(guān)于本次攻擊,成都鏈安技術(shù)團(tuán)隊(duì)第一時(shí)間進(jìn)行了事件分析發(fā)現(xiàn),本次攻擊是典型的閃電貸進(jìn)行價(jià)格操作,通過(guò)閃電貸獲取大量資金后,利用合約設(shè)計(jì)缺陷,大幅改變價(jià)格導(dǎo)致獲利。Cream的預(yù)言機(jī)價(jià)格計(jì)算使用與yUSD的totalAsset有關(guān)。向yUSD合約直接轉(zhuǎn)賬時(shí),不會(huì)更新Debt,從而使totalAsset增大,從而使得yUSD價(jià)格變高,可以從Cream中借出更多的資金。
相關(guān)閱讀(點(diǎn)擊可直達(dá)):被盜 1.3 億美元!吸引“渣男”體質(zhì)?Cream Finance今年第五次遭黑客攻擊全解析
No6. Badger DAO:1.2億美元
時(shí)間:12月2日
攻擊手法:前端惡意代碼注入
12月2日,一名攻擊者利用“前端惡意代碼注入”的攻擊方式,從 Badger DAO 收益金庫(kù)協(xié)議的數(shù)十名用戶的錢包中抽走了資金,總損失約為2100 BTC和151 ETH,合 1.2 億美元。據(jù)悉。早在 11 月 28 日,Discord 用戶就開(kāi)始報(bào)告來(lái)自 Badger平臺(tái)的異常支出請(qǐng)求問(wèn)題,并在社交媒體和Discord上提醒管理員,不過(guò),相關(guān)提醒卻沒(méi)有得到官方的重視。
No7. AscendEX :7770萬(wàn)美元
時(shí)間:12月12日
攻擊手法:熱錢包私鑰被盜
12月12日,熱錢包事故致AscendEX損失近8000萬(wàn)美元。12月12日,AscendEX公告了其在前一天遇到的熱錢包異常,「12 月 11 日大約 22:00 UTC,我們?cè)谝粋(gè)熱錢包中發(fā)現(xiàn)了一些未經(jīng)授權(quán)的轉(zhuǎn)賬。」該交易所未在公告中說(shuō)明「未經(jīng)授權(quán)的轉(zhuǎn)賬」出現(xiàn)的原因。從這起安全事件看,保管大量用戶資產(chǎn)的中心化交易所在熱錢包管理上仍存在疏漏。
No8. EasyFi:5900萬(wàn)美元
時(shí)間:4月19日
攻擊手法:熱錢包私鑰被盜
Easyfi.network創(chuàng)始人兼CEO Ankitt Gaur在推特上稱,4月19日,黑客將大量EASY代幣從EasyFi官方錢包轉(zhuǎn)移到以太坊網(wǎng)絡(luò)和Polygon網(wǎng)絡(luò)上未知錢包;而管理這些代幣的計(jì)算機(jī)有超一周處于離線狀態(tài)并未使用。4月 19日,借貸協(xié)議EasyFi創(chuàng)始人兼CEO Ankitt Gaur稱,有大量EASY代幣從EasyFi官方錢包大量轉(zhuǎn)移到以太坊網(wǎng)絡(luò)和Polygon網(wǎng)絡(luò)上的幾個(gè)未知錢包。EasyFi調(diào)查后稱,本次事件為助記詞破解安全事件,EasyFi智能合約未被黑客利用,只是MetaMask 的助記詞短語(yǔ)或管理員密鑰遭到遠(yuǎn)程攻擊,僅消耗了協(xié)議的流動(dòng)性。
No9. Uranium Finance:5720萬(wàn)美元
時(shí)間:4月28日
攻擊手法:精度處理錯(cuò)誤
北京時(shí)間2021年4月28日,幣安智能鏈上區(qū)塊鏈項(xiàng)目 Uranium Finance 發(fā)推提醒用戶稱:Uranium 在流動(dòng)性遷移過(guò)程中被攻擊,提醒用戶停止交易。由于從 Uniswap v2 代碼分叉的 UraniumPair 合約中引入了一個(gè)簡(jiǎn)單的數(shù)學(xué)錯(cuò)誤,導(dǎo)致本次攻擊至少損失了 57,000,000 美元。
No10. bZx:5500萬(wàn)美元
時(shí)間:11月5日
攻擊手法:私鑰泄露
11月5日,去中心化金融(DeFi)平臺(tái)bZx發(fā)生攻擊事故,一名黑客借助魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊獲得了bZx平臺(tái)上用于與Polygon和Binance智能鏈區(qū)塊鏈集成的兩把私鑰,通過(guò)私鑰發(fā)起無(wú)限制消費(fèi)操作,成功盜取bZx平臺(tái)價(jià)值約5500萬(wàn)美元的加密貨幣資產(chǎn)。去中心化金融 (DeFi) 平臺(tái)允許用戶借貸和推測(cè)加密貨幣的價(jià)格變化。
5.最后總結(jié)
盡管2021年區(qū)塊鏈技術(shù)正在加速演進(jìn)和趨于完善,但層出不窮的區(qū)塊鏈安全事件的高發(fā)對(duì)區(qū)塊鏈生態(tài)安全形勢(shì)發(fā)起了更為嚴(yán)峻的挑戰(zhàn)。
從2021年的各項(xiàng)統(tǒng)計(jì)數(shù)據(jù)來(lái)看,整個(gè)區(qū)塊鏈生態(tài)依然DeFi、詐騙跑路/加密騙局方面更容易成為黑客攻擊和詐騙犯罪滋生的溫床,無(wú)論是安全事件數(shù)量還是造成的經(jīng)濟(jì)損失數(shù)量都非常巨大。多個(gè)DeFi項(xiàng)目遭到黑客攻擊,所造成的巨額經(jīng)濟(jì)損失嚴(yán)重影響著區(qū)塊鏈生態(tài)的安全和穩(wěn)定;虛擬貨幣的普及程度和財(cái)富效益逐步攀升,詐騙跑路/加密騙局方面的相關(guān)事件風(fēng)起云涌。
對(duì)此成都鏈安建議:
廣大項(xiàng)目方一定要確保項(xiàng)目安全審計(jì),對(duì)存在異常的操作進(jìn)行實(shí)時(shí)監(jiān)控,即刻發(fā)現(xiàn),即刻解決;
廣大用戶也應(yīng)提升相關(guān)知識(shí)儲(chǔ)備、增強(qiáng)自身的安全意識(shí),避免造成嚴(yán)重經(jīng)濟(jì)損失。
投稿:請(qǐng)發(fā)郵箱 ruomao#hotmail.com (#換成@)
刪稿:本站內(nèi)容部分為會(huì)員轉(zhuǎn)載,如需要?jiǎng)h除請(qǐng)發(fā)至編輯郵箱處理!
建議:本站是養(yǎng)生門戶網(wǎng),分享的產(chǎn)品大多是食品為主,不能代替藥物。有一定的調(diào)理作用,但不保證每個(gè)人食用后有同樣的效果。分享的案例均轉(zhuǎn)自互聯(lián)網(wǎng),如您有大病,建議您去看醫(yī)生!我們理念是當(dāng)下就要養(yǎng)生!
