2022年是加密世界多元化和创新的一年,但在创新的背后,也发生了许多令人震惊的安全事件。零点科技安全团队发布《2022年全球Web3行业安全研究报告》,回顾了2022年Web3行业全球政策,主要赛道覆盖的基本概念、安全事件、损失金额、攻击类型,并对典型安全事件进行了详细分析,提出了安全防范方案和措施。希望帮助从业者和用户了解Web3安全现状,提高网络安全意识,保护数字资产,做好安全防范。
关注【零点时间科技】微信官方账号,回复【报告】即可获得详细的PDF报告!
1.2022年,全球Web3行业加密货币总市值高达2.4万亿美元,较去年最高总市值2.97万亿美元有所下降,但整体资产规模在不断扩大。
2.据零点科技数据统计,2022年共发生306起安全事件,累计损失101亿美元。与2021年相比,今年新增Web3安全事件64起,同比增长26%。
3.Web3的公链、跨线桥、钱包、交易所、NFT、DeFi六大赛道共发生安全事故136起,造成损失超过40.21亿美元。此外,GameFi、DAO等新兴领域也成为黑客频繁干扰的目标,诈骗、跑路事件不断,损失严重。
4.2022年,损失超过1亿美元的典型安全事件共损失28.45亿美元,占2022年总损失的28%。其中,典型代表有:跨链互操作协议Poly Network,亏损6.25亿美元;兑换FTX,损失6亿美元;索洛纳生态钱包,损失5.8亿美元。
5.2022年,全球Web3安全事件有各种类型的攻击。从安全事件的数量来看,典型的攻击类型Top5分别是:黑客攻击、资产窃取、安全漏洞、私钥窃取和钓鱼攻击。从损失金额来看,典型的攻击类型Top5分别是:资产盗窃、黑客攻击、私钥盗窃、价格操纵和闪电贷款攻击。
6.今年最具代表性的监管案例是美国财政部下属的外国资产控制办公室(OFAC)对龙卷风现金协议实施制裁,禁止美国实体或个人使用龙卷风现金服务。根据美国财政部的数据,龙卷风现金自2019年成立以来,已帮助洗钱超过70亿美元。
一、全球Web3产业回顾及安全形势概述Web3是指基于加密技术的新一代网络,融合了区块链技术、令牌经济学、去中心化组织、博弈论等技术和思想。它是由以太坊的联合创始人加文伍德(Gavin Wood)在2014年提出的。Web3以区块链为基础。自2008年以来,区块链科技已经发展了超过14年。2022年Web3产业的爆发,离不开区块链产业多年的积累。
从用户的角度来看,Web3生态系统可以分为基础层、应用层和第三方服务。基础层主要由公有链、跨链桥和联盟链组成,为Web3提供网络基础设施。应用层主要是APP(集中式应用)和DAPP(去中心化应用),即用户交互常用的应用,包括交易平台、钱包、DeFi、NFT、GameFi、DAO、存储和社交软件。基础层和应用层促进了Web3生态的繁荣,但也给Web3带来了巨大的安全隐患。服务生态圈是Web3行业的第三方,其中媒体、教育孵化、投资机构为行业提供助力,而零时间科技等安全服务机构是Web3安全不可或缺的一部分。
截至2022年12月,根据coinmarketcap统计,全球Web3行业的加密货币总市值最高时达到2.4万亿美元,由于该行业的矿难爆炸,与去年2.97万亿美元的最高市值相比,今年有所减少。虽然总市值有波动,但整体资产规模在不断扩大。由于行业创新速度快、用户安全意识薄弱、监管不完善,Web3正成为黑客的“提款机”
据零点科技数据统计,2022年共发生306起安全事件,累计损失101亿美元。与2021年相比,今年新增Web3安全事件64起,同比增长26%。其中,公共链、跨线桥、钱包、交易所、NFT、DeFi等六大轨道共发生136起安全事故,造成损失超过40.21亿美元。
除上述六大赛马场外,其他安全事故170起,损失60.79亿美元。比如GameFi、DAO等新兴领域成为黑客频繁干扰的目标,诈骗、跑路事件层出不穷。随着众多巨头进入元宇宙和NFT,未来链条中的资产规模将继续增长,Web3网络安全违规数量可能继续飙升。
据零点科技数据统计,2022年全球Web3生态六大赛道中,公链共发生10起安全事故,总损失约1.57亿美元;跨链桥安全事故14起,总损失13.38亿美元;交易所发生安全事件19起,总损失11.92亿美元;钱包发生安全事故25起,损失总额6.93亿美元;DeFi发生了25起安全事件,损失总额达5 . 93亿美元;NFT发生了44起安全事件,损失超过4 256万美元。
从各大赛道的安全事故数量来看,NFT的安全事故最多,这与其成为2022年业界追捧的热门赛道是分不开的。另一方面,由于进入Web3行业的人数增加,钱包和DeFi成为安全事件的重灾区。从损失金额来看,跨链桥排名第一,损失最大。
2022年,根据全球Web3的安全事件数量,典型的攻击类型Top5分别是:黑客攻击,占比37%;资产被盗,占19%;安全漏洞,占13%;私钥失窃,占9%;钓鱼攻击,占7%。
从损失金额来看,全球Web3安全事件的典型攻击类型有:资产被盗,损失金额55.81亿美元;黑客攻击,损失30.29亿美元;窃取私钥导致12.5亿美元的损失;价格操纵,损失2.32亿美元;闪电贷款攻击,损失1.37亿美元。
值得注意的是,2022年发生的很多安全事件并不是只受到一种攻击,有些事件可能伴随着资产被盗、私钥被盗、黑客攻击、私钥泄露和安全漏洞。
注意:主要的攻击类型解释如下
资产被盗:虚拟货币被盗,平台被盗。
黑客攻击:黑客等各种类型的攻击。
信息泄露:私钥泄露等。
安全漏洞:契约漏洞和功能漏洞。
错误的权限:错误的系统权限、错误的合同权限等。
钓鱼攻击:网络钓鱼
价格操纵:价格操纵
据零点科技区块链安全信息平台监测消息,2022年损失超过1亿美元的典型安全事件共损失28.45亿美元,占2022年总损失的28%。
二、全球Web3监管政策2022年,基于区块链的下一代互联网Web3迎来增长高峰。面对这一具有金融科技特征的新兴行业,全球各国政府和监管机构都给予了高度关注。Web3应用广泛,分布合作全球化,科技含量高。此外,Web3行业的发展方向和数字资产的定义在世界各地的监管机构及其内部并不统一,这给全球金融监管带来了巨大的挑战。2022年,金融犯罪、黑客攻击、诈骗勒索、洗钱等案件多发,数额巨大,损失严重,影响广泛。为了保证Web3的安全性和合规性,许多国家都出台了监管政策。
从全球对Web3整体的监管政策来看,投资者保护和反洗钱(AML)是全球共识,各国对加密货币交易所的接受和监管差异很大。美国国会议员提出“确保Web3发生在美国”,这是在加速监管创新;欧盟国家的政策比较明确积极;日本、新加坡和韩国受到了
三、2022年Web3的生态安全状况Web3是一个比较特殊的行业。最突出的特点是涉及到大量数字加密资产的管理。所有几千万美元的资产都在这个链中,并且通过一个唯一的私钥来确认权利。谁掌握了这个私钥,谁就是资产的所有者。如果生态系统中的某个应用或协议被黑客攻击,可能会造成巨大的损失。随着生态的快速发展,各种新的攻击手段和诈骗手段层出不穷,整个行业都在安全边缘博弈。零时科技安全团队观察并统计了Web3上的攻击类型。目前,威胁Web3安全的攻击类型主要有以下几种:APT攻击、社工钓鱼、供应链攻击、闪电贷攻击、智能合约攻击、Web端漏洞攻击、零日漏洞和网络欺诈。
接下来从基础设施公链、跨链桥、应用端APP和DAPP代表:交易平台、钱包、DeFi、NFT、重点监管领域反洗钱、web3安全教育等角度分析2022年Web3的生态安全状况,解读攻击事件,并针对每个生态给出相应的安全措施和建议。
1、公链Web 3生态安全的命脉
公链是Web3行业的基础设施,承载着整个行业的协议、应用和资产记账。随着行业对公链性能、互操作性、兼容性和扩展性的强烈需求,多链在generate的发展呈现出强劲的势头,而安全问题也迫在眉睫。
据零点科技不完全统计,截至2022年12月,目前共有152家公链。从公链的生态应用数量来看,根据rootdata、以太坊、1275应用、Polygon、767应用、BNB Chian、704应用的数据,排名前三,Avalanche、Solana、Arbitrum等新公链紧随其后,并呈现快速增长趋势。
从公链的生态市值来看,根据coingecko数据,以太坊、BNB链、多边形生态分别以3830亿美元、2366亿美元、2192亿美元位列前三。目前,公链生态总市值已经超过万亿美元,如此巨大的资金诱惑让黑客们虎视眈眈。
截至2022年12月,根据零时科技数据统计,公链赛道共发生10起安全事故,累计资产损失超过1.57亿美元。
从数量上看,公链攻击的主要类型有:黑客攻击、安全漏洞、资产窃取、钓鱼攻击和私钥窃取,其对应的比例分别为28%、28%、16%、8%和8%。从损失金额来看,安全漏洞造成的损失最高,为1.47亿美元,占比55%;黑客攻击造成的损失排名第二,为4200万美元,占比16%。(注意:一些项目遭受了各种类型的攻击)
根据零时科技区块链安全情报平台的监测消息,下图为2022公链攻击的部分典型案例:
公共链的安全风险及对策建议
零点科技安全团队分析,公链安全风险主要来自以下三点:
1)技术复杂:涉及技术领域多,安全风险多。
2)开发者不确定性:代码是开发者写的,过程中难免存在漏洞。
3)开源漏洞的透明性:公链代码是开源的,黑客找漏洞更方便。
零点科技安全团队对公链安全有以下三点建议:
1)在主上线之前,需要为公链的各个风险点设置丰富的安全机制:
在P2P和RPC中,我们需要注意劫持攻击、拒绝服务攻击、错误的权限配置等等。
在共识算法和加密中,需要注意51%攻击、长度扩展攻击等。
在交易安全方面,需要注意虚假充值攻击、交易重放攻击、恶意后门等。
在钱包安全方面,需要重视私钥的安全管理、资产的安全监控和交易的安全风险控制。
在公共链项目的相关工作人员中,这是必要的
源代码审计可以是全部代码,也可以是部分模块。零点技术安全团队有一套完整的公链安全测试标准,采用手工工具的策略测试目标代码的安全性,使用开源或商业代码扫描器检查代码质量,结合人工安全审计,以及安全漏洞验证。支持所有流行语言,如C/C/c#/Golang/Rust/Java/Nodejs/Python。
3)主网上线后,进行实时安全检测,预警系统风险;
4)黑客事件发生后,及时通过溯源分析发现问题,降低未来攻击的可能性;快速跟踪和监控损失流,尽可能追回资产。
2.交叉链桥——黑客的新型ATM
跨链桥,也称为区块链桥,连接两个区块链,允许用户将加密货币从一个链发送到另一个链。跨链桥通过使能两个独立平台之间的令牌传递、智能合约和数据交换等反馈和指令,进行资金跨链操作。
截至2022年12月,根据Dune Analytics的数据,以太坊主要跨线桥的总锁定价值(TVL)约为55.6亿美元。目前TVL最高的是Polygon Bridges,为29.49亿美元,其次是Aritrum Bridge,为12.06亿美元,Optimality Bridges排名第三,为8.34亿美元。
随着区块链和节目链的增长,对多链资金转换的需求越来越迫切。跨链桥的协同特性可以使各个区块链发挥更大的协同潜力。跨链桥为用户提供了便利,也为黑客提供了另一扇门。由于跨链桥转移资产的特点,一旦在锁、铸、毁、解锁过程中出现问题,就会威胁到用户的资产安全。看似并不复杂的跨链资金转移操作,但在几个跨链桥项目中,不同步骤都出现了安全漏洞。
据零点科技统计,截至12月,因跨链桥被攻击而发生的安全事件有14起,累计损失资产13.38亿美元。
2022年,Top5因安全事件导致的跨链桥分别为浪人、虫洞、游牧、和谐(地平线)和QBridge,损失分别为6.15亿美元、3.2亿美元、1.9亿美元、1亿美元和8000万美元。
从安全事件数量来看,跨链桥攻击的主要类型有:黑客攻击、私钥窃取、资产窃取、信息泄露和权限错误,分别占52%、18%、17%、9%和4%。从损失金额看,私钥被盗占比最大,占42%;黑客其次,占27%;资产盗窃占23%,排名第三。
下图是2022年一些典型的跨链桥攻击案例:
跨链桥的安全风险及措施
零点科技安全团队从跨链桥的多次攻击中得出结论,签名前和签名处有多次攻击,存在官方不小心导致的盗窃事件。针对越来越多的跨链项目和项目合同的安全问题,零时间科技给出以下安全措施建议:
1)项目上线前对合同进行安全审计;
2)需要严格检查合同调用接口的适应性;
3)版本更新时,需要重新评估相关接口和签名的安全性;
4)需要严格审查跨链签名者,以确保签名不被恶意者控制。
3.交易平台——巨大诱惑的来源
Web3的交易平台,也被称为数字货币证券交易所或加密货币交易所,是区块链产业的重要组成部分。它为不同数字货币、数字货币和法定货币之间的交易提供服务,也是数字货币定价和流通的主要场所。
coingecko数据显示,截至2022年12月,加密货币交易所717家,其中集中交易553家,24小时交易总额540亿美元;分散交易全部100家,24小时总交易量17亿美元;有64家衍生品交易所,24小时交易量为1.78万亿美元。
作为全球最大的NFT交易平台,Opensea月交易额最高,超过48.5亿美元。受市场情况影响,12月份有所回落,交易额约为1.38亿美元。(对于更多我
数据显示,24小时交易量排名前10的交易所分别是:Crypto.com交易所、币安交易所、比特币基地交易所、MEXC Global、LBank、BingX、Coinsbit、OKX、BitMart和美国交易所。其中,币安以41.48亿的交易额排名第一。
交易量排名前10的去中心化交易所分别是Uniswap(V3)、Curve、Balancer(V2)、Uniswap(V2)、PancakeSwap、DODO、Sushiswap、Uniswap(poly gon)、Uniswap(Arbitrum One)和Apex Pro,其中unis WAP独占前十。
2022年,火币被收购,FTX在与币安的对抗中破产。随后,币安被曝受到美国司法部长达4年的刑事调查,加密货币交易所处于监管的最前沿。加密货币交易所汇集了世界各地的加密资产。在巨大的市场影响力下,无论是安全危机还是资金流动性危机,都会牵一发而动全身,甚至整个密码市场。
根据零点科技数据系统,2022年,加密货币交易所共发生19起安全事件,累计资产损失超过11.92亿美元。
据零点区块链安全威胁信息平台统计,2022年,发生安全事件的Top6交易平台分别为:FTX、巴别金融、芒果、Liquid Global、Crypto.com,损失金额分别为6亿美元、2.8亿美元、1亿美元、7100万美元、3600万美元、3300万美元。
从各交易平台安全事件的损失分布来看,FTX占比50%,巴别金融占比24%,芒果占比8%,位列前三。
据零点科技数据统计,从安全事件数量来看,交易平台的主要攻击类型为黑客攻击、资产窃取、安全漏洞、钓鱼攻击和私钥窃取,占比分别为38%、19%、12%、10%和10%。从损失金额分布来看,黑客攻击占54%,是安全事件的主要类型,资产盗窃占33%,价格操纵和闪电贷款攻击分别占5%。
下图是2022年交易所安全事件的一些典型案例:
交易平台的安全风险及对策建议
回顾过去所有交易所的安全事件,零点科技安全团队认为,从一个交易平台的整体安全架构来看,交易平台面临的安全风险主要包括:开发、服务器配置、运维、团队安全意识、内部人员、市场和供应链风险。零点科技安全团队发布了《区块链安全入门与实战》,其中对加密货币交易平台的安全性进行了全面细致的分析。包括渗透测试的步骤,如信息收集、社会工程等。还介绍了各种攻击面,比如业务逻辑、输入输出、安全配置、信息泄露、接口安全、用户认证安全、App安全等。
对于交易所的安全风险,零点科技安全团队给出以下建议:
从交易平台来看:
1)培养内部人员的安全意识,加强交易所生产环境、测试环境、调试环境的安全隔离,尽量使用专业的网络安全防护产品。
2)通过与专业安全公司合作,进行代码审计和渗透测试,发现系统是否存在隐藏的漏洞和安全风险,建立完善全面的安全防护机制。在日常操作中,定期进行安全测试,加强安全加固。
3)升级账户的密钥结构和风险控制措施,建立合适的多重签名密钥结构并建立严格的风险控制和检测预警机制,加强后台冷热钱包的安全加固,如控制转账频率、大额转账、冷热钱包隔离等。
因为大多数用户不仅使用交易所进行交易,还充当钱包来存储数字资产。
因此,从用户的角度来看:
1)不要随意安装来历不明的软件。
2)计算机服务器应避免打开不必要的端口,相应的漏洞应及时打补丁。主持人建议安装有效可靠的杀毒或其他安全软件,在网页浏览器上安装挖掘脚本隔离插件。
3)不要点击不明链接
Web3的钱包,即区块链数字钱包,也被称为加密货币钱包或数字资产钱包,是存储、管理和使用数字货币的工具,在区块链领域发挥着重要作用,是用户接触数字货币的入口。如今,随着生态的发展,数字钱包已经成为一个多链条、多资产的管理平台。
据零时间科技区块链安全威胁情报平台统计,截至2022年12月,数字钱包项目142个。据Blockchain.com统计,2022年,全球有超过3亿人在使用加密资产。其中,2021年加密钱包用户数达到6842万,到2022年7月,加密钱包用户数达到8100万,呈指数级增长。
作为Web3的入口,钱包早已成为黑客眼中的“地瓜”。据零时间科技统计,2022年,数字钱包共发生25起安全事件,累计资产损失超过6.98亿美元。
2022年被攻击损失Top5的钱包安全事件主要来自Solana生态钱包、分布式资本创始人沈波的个人钱包Deribit、与Transit Swap互动的钱包、Lympo热钱包,损失分别为5.8亿美元、4200万美元、2800万美元、2000万美元和1870万美元。其中Solana生态钱包被攻击损失最高。
据零点科技数据统计,从安全事件数量来看,数字钱包攻击的主要类型为:黑客攻击、资产窃取、私钥窃取、安全漏洞和信息泄露,分别占38%、30%、13%、7%和6%。攻击占比最高,排名第一。
其中,主要攻击类型对应的安全事件损失比例为:黑客攻击造成的损失最高,占46%;私钥被盗造成的损失次之,占44%;被盗资产损失排名第三,占比8%。
钱包攻击一般分为两种情况。一个是机构钱包,一个是个人钱包。比如Lympo的热钱包被盗,损失1870万美元,而个人钱包被盗的经典则属于最近分布式资本创始人沈波价值4200万美元的个人钱包资产被盗事件。
除了Solana生态钱包被盗,业内还有很多钱包安全事件,如下图。
数字钱包的安全风险及对策建议
据零时间科技安全团队分析,区块链数字钱包以多种形式存在,其面临的主要安全风险包括但不限于以下几个方面:
制度方面:运行环境、网络传输、文件存储、应用本身、数据备份等安全风险。
在客户端,私钥丢失或被盗:比如伪装客服骗取私钥,黑客通过钱包升级的定向攻击收集用户助记符等信息,发送恶意二维码引导客户转账盗取资产,通过攻击客户存储信息的云平台盗取私钥/助记符,恶意软件,空投诈骗,钓鱼,其他钓鱼(预售,APP下载,抽奖陷阱)等风险。
面对这些风险如何保护钱包?
从机构方面来看,零时技术安全团队建议:
无论是集中式还是分散式钱包,软件钱包还是硬件钱包都必须有足够的安全测试。对于数字钱包的安全审计,零点技术安全团队包括但不限于以下测试:
1、网络与通信安全测试。网络节点应实现及时发现和抵御网络攻击的功能;
2.钱包在安全的环境中运行。钱包可以检测操作系统已知的重大漏洞,虚拟机检测和完整性检测;数字钱包应具备第三方程序劫持检测功能,防止第三方程序劫持钱包,窃取相关用户信息。
3.钱包的交易安全。钱包发出的所有交易必须签名。签名时,必须通过输入支付密码来解密私钥。交易签名生成后,必须清除存储器中解密后的私钥,以防止存储器中的私钥被窃取和泄露。
4.钱包日志的安全性。为了方便用户审核钱包操作行为,防止非正常操作和非授权操作,
5、节点接口安全审计。接口需要对数据进行签名,防止黑客篡改数据;接口访问需要加入令牌认证机制,防止黑客重放攻击;节点接口需要限制用户的连接速率,防止黑客模拟用户操作进行CC攻击。
对于客户,零时技术安全团队建议:
1)采取措施存储私钥:例如,尽可能手工复制和备份私钥,或者使用云平台、电子邮件等社交网络传输或存储私钥。
2)使用强密码,并尽量开通两步验证MFA(或2FA),时刻保持安全意识,提高警惕。
3)更新程序版本时注意验证哈希值。安装杀毒软件,尽可能使用防火墙。监控你的账户/钱包,确保没有恶意交易。
4)硬件钱包适合拥有大量数字资产,需要更高安全保护级别的用户。通常的建议是,用软件钱包保存你日常使用的小资产,用硬件钱包保存大资产,这样既方便又安全。
资金被盗怎么办?
如果有无意的授权操作,在资金被盗之前尽快转移钱包资金,取消授权;如果授权后资金被盗或私钥被盗,请立即联系零时技术安全团队进行资产跟踪。
5.Defi-Web 3是重灾区。
DeFi全称:分散金融,一般翻译为分布式金融或分散金融。DeFi项目大致可以分为五类:Oracle、DEX、抵押贷款、稳定货币资产和合成衍生品。
TVL全称:锁定总价值是指锁定总价值。用户抵押的资产总价值是衡量DeFi生态发展的最重要指标之一。通常情况下,TVL的成长代表了项目更好的发展。
据零时间科技区块链安全威胁情报平台统计,截至2022年12月,DeFi项目1297个。根据DeFi Llama的数据,DeFi的总锁定价值已经达到390.51亿美元。其中以太坊占比58.59%,以230.2亿美元的TVL排名第一,Tron次之,占比11.1%,TVL第二,占比40.36亿美元,BSC第三,占比1.047%,TVL第三,占比40.12亿美元。很多新兴的公链,比如Avalanche,Ploygon,Optimality等等。通过拥抱DeFi连锁生态的快速发展,吸引了大量用户和资金。
DeFi突出的智能合约安全问题已经成为DeFi行业最大的挑战。此外,任何DeFi服务提供商或监管机构都不能返还错误转移的资金。当黑客发现智能合约或DeFi服务其他方面的漏洞窃取用户资产时,并不一定有DeFi服务商对投资者进行补偿,很多秘密的互联互通问题可能会引发一系列的金融事故。
据零点科技数据统计,截至2022年12月,共发生25起DeFi安全事件,累计资产损失超过5.93亿美元。
从各生态的DeFi安全事件数量分布来看,以太坊和BSC(BNB Chian)生态分别有6起事件,占比24%,排名第一,索拉纳生态有3起事件,占比12%,排名第二。
从各种DEFI中安全事件造成的损失分布来看,排名前三的公链生态是以太坊生态中DEFI事件造成的损失金额超过4.38亿美元,占比74%,排名第一;Terra排名第二,亏损9000万美元,占比15%;索拉纳排名第三,亏损1354万美元,占比2%。可见,生态越活跃,越受黑客关注,损失最突出。
据零点科技数据统计,根据DeFi攻击的类型,主要是黑客攻击、闪电贷攻击、资产盗窃和安全漏洞。其中,主要攻击类型对应的安全事件数量比例为:黑客攻击占44%,排名第一;闪电贷攻击占比16%,排名第二;资产盗窃和安全漏洞均占14%,并列第三。
从主要攻击类型的损失分布来看,黑客攻击造成的损失最高,占53%,其次是安全漏洞、账号
DeFi项目面临多重安全风险,分为项目端(协议执行)和用户端;从安全的类型来说,是协议之间组合的安全,包括组合之间的一些缺陷,智能合约安全,开源安全,高收益伴随高风险,缺乏监管等安全问题。
从安全审计的角度看,DeFi项目面临的风险如下图所示:
从协议的执行来看,DeFi风险包括:智能合同攻击风险、经济激励中的设计问题、存储风险、重构原协议、隐私缺失等风险。
从用户角度看,DeFi用户面临的风险有:技术风险:智能合约存在漏洞,安全攻击;流动性风险:平台流动性枯竭;密钥管理风险:平台的主密钥和私钥可能被窃取。安全意识风险:被钓鱼、遭遇套利、跑诈骗项目等。
零点科技安全团队建议,作为项目方和用户,可以从以下五点应对风险:
DeFi项目上线时,项目方一定要找专业的安全团队进行全面的代码审计,尽可能多的找共审,尽可能多的发现设计缺陷,避免上线后不必要的损失。
2)建议用户在投资这些项目的时候一定要做好工作,对这个项目有一定的了解,或者在上线之前看看是否通过了安全审核。
3)增加个人安全意识,包括上网行为、资产保全和钱包使用习惯,养成良好的安全意识习惯。
4)项目高收益高风险,需要谨慎参与,对项目不了解,尽量不参与,避免损失。
6、NFT——钓鱼攻塘
NFT是不可替代令牌的缩写,是基于区块链的非同质令牌。同时,它是存储在区块链的一种独特的数字资产,它经常被用作虚拟商品所有权的电子认证或凭证,虚拟商品可以买卖。2022年12月15日,美国前总统特朗普宣布推出一系列印有特朗普肖像的NFT数码收藏,不到24小时就有4.5万件被抢购一空。
NFTgo数据显示,截至12月31日,NFT项目4624个,总计38,693,506 NFTs。目前NFT总市值已达210亿美元,持有人373.38万人。从各个项目的市值分布来看,PFP(Picture for proof),即拥有个人资料和图片的NFT遥遥领先,这也是目前使用场景最多的NFT,其次是收藏品。从目前八大主流公链来看NFT资产和合同,Polygon在资产和合同方面遥遥领先。
从交易规模来看,在24小时内销售额排名前10的NFT交易平台中,Blur排名第一,其次是Opensea,LooksRare排名第三。从交易者来看,在24小时内交易者、买家和卖家数量排名前10的市场中,Opensea排名第一,Blur排名第二,Blur aggregator排名第三。
随着NFT价值的凸显,黑客们也盯上了这块肥肉。尽管整个加密市场正经历着剧烈的下滑趋势,但NFT仍然炙手可热。
据零时间科技不完全统计,截至2022年12月,NFT赛道共发生44起安全事故,累计损失资产约4256万美元。
2022年,NFT安全事件损失前10名中,BAYC和BAKC系列成为黑客攻击的主要目标,持有此类NFT的收藏者损失巨大。其中不乏周杰伦NFT被盗、54万美元损失等热点事件。
从NFT赛道的攻击类型来看,主要类型为黑客攻击、资产窃取、钓鱼攻击和私钥窃取,对应的安全事件分别占33%、18%、16%和10%。
从NFT攻击主要类型的损失占比来看,资产被盗造成的损失最多,占比23%;黑客其次,占22%;私钥失窃排名第三,占19%。值得注意的是,在个人盗窃方面,大部分是由于Discord/Twitter等媒体平台被黑后,黑客发布了钓鱼链接。
除了失去Top10的NFT安全事件案例,业内典型的NFT安全事件案例如下:
NFT安全风险及建议
目前,NFT赛道上有多种黑客攻击。按组划分,有风险的对象通常是平台
对于集中式平台,可能存在的安全风险有:账户风险、商业竞争风险、安全意识风险、内部人风险、
市场风险等。客户端方面,不和谐攻击成为今年的主要攻击方式。
针对以上安全风险,零点时间技术安全团队给出以下建议:
对于普通用户来说,要保护自己的不和谐,需要注意以下几点:
确保密码足够安全,用字母数字特殊字符创建一个长的随机密码;打开2FA认证。虽然密码本身足够复杂,但无法通过一种方式保护。不要点击来自未知发件人或那些看起来可疑的链接,考虑限制谁可以向你发送私人信息;不要下载不认识的程序或复制/粘贴不认识的代码;不要共享或屏蔽共享您的授权令牌;不要扫描任何来自你不认识的人或你无法验证其合法性的人的二维码。
对于服务器所有者:审核自己的服务器权限,尤其是对webhook等更高级的工具;当进行任何更改时,请保持官方服务器邀请的更新,并在所有平台上可见,尤其是当大多数新服务器成员来自Discord之外的社区时;还有,不要点击可疑或者不明链接!如果账号被入侵,可能会对托管社区造成较大影响。
对于项目:建议合同严格判断用户输入采购数量的合理性;建议合同限制零资金购买NFT的可能性;建议严格区分ERC721和ERC1155的NFT令牌,避免混淆和伪造不和谐官方案例。目前很多聊天软件都会发现恶意造币链接,很多用户的资金被盗。为了避免这种盗款行为,建议您在进行mint操作时核实链接来源的可靠性,同时确保已签署交易的实际内容与预期一致。
7.虚拟货币——非法活动的温床
2022年9月,湖南衡阳县警方破获“9.15”特大虚拟货币洗钱案,涉案金额400亿元。2022年12月,内蒙古通辽市公安局科尔沁分局成功破获一个利用区块链网络兑换数字虚拟货币的洗钱团伙,抓获犯罪嫌疑人63名,涉案金额120亿元。2022年8月8日,美国财政部(OFAC)外国资产控制办公室公布了针对龙卷风现金的制裁协议。根据美国财政部的数据,自2019年成立以来,龙卷风现金已帮助洗钱超过70亿美元。
据零时间科技不完全统计,2022年,通过加密货币洗钱的金额达到104.2亿美元,同比增长20.7%。2022年,国内公安部门破获多起虚拟货币洗钱案件,案件数量呈增长趋势。洗钱、欺诈、传销和盗窃是加密货币犯罪的主要类型。
如何打击和防范基于虚拟货币的违法犯罪?
零点时间科技自主研发虚拟货币溯源分析平台,该平台有情报系统、监控系统、KYCKYT、溯源系统四大系统。该平台以链条上的数据和区块链的安全信息为基础,通过大数据、图形运算、机器学习等技术,实现虚拟货币全链条的自动运行和可视化展示,方便快捷地查找虚拟货币的流向和实名登记,可有效辅助案件侦查,打击虚拟犯罪,为行业内受害者提供虚拟资产溯源服务。目前,该平台已分析17.7亿笔交易,超过8000万个标记地址,超过8.5亿个分析地址。并协助深圳公安、重庆市公安局、铜川市公安局、商洛市公安局、商州市公安局破获多起虚拟货币赌博、传销、诈骗案件,在业内引起强烈反响。
8、安全教育-Web3安全盾
众所周知的搜狐全体员工遭遇工资补贴钓鱼邮件诈骗的案例,让很多企业意识到,如果不提高网络安全意识,未来商业秘密等各种安全事件必然会影响企业的发展。Web3的去中心化和自组织的参与使个人意识到
目前市面上有电视剧、电影、社区等多种途径来提高个人的网络安全意识,而零点时间科技也在各平台宣讲了上百篇网络安全知识。
此外,零点时间科技还开发了自己的安全意识评估管理平台,主要针对需要网络安全意识的行业机构,包括政府、公安、教育、金融、电力等。网络安全意识评估平台以钓鱼技术为基础,帮助企业构建基于私有云的网络安全意识评估管理平台,集理论体系、钓鱼演练、主机测试、管理评估、场景定制系统于一体,实现全员网络安全意识的持续、系统化提升。此外,基于零时科技安全团队的专业实力,还服务于企业网络安全咨询和培训,从源头上拥有坚实的安全屏障。
三、Web3热点安全事件攻击手段的详细分析及措施建议3.1浪人网络侧链被盗6.25亿美元的流向分析。
0x1事件概述
零点资讯站报道,3月29日,Axie Infinity的侧链Ronin验证器节点和Axie DAO验证器节点被破坏,导致Ronin两笔交易桥接17.36万以太币和USDC 2550万。目前浪人桥和武士刀Dex已经停止使用。以下是攻击者的钱包地址:https://etherscan.io/address/0x098B716b8af21512996DC 57eb 0615 e 2383 e2f 96。目前,黑客已经将USDC全部转化为ETH,将6250个ETH,3750个ETH转移到霍比,1220个ETH转移到FTX,1个ETH转移到Crypto.com。剩余资金仍在黑客的地址。黑客的攻击资金1 ETH的来源是币安,剩余的资金仍然在黑客的地址。黑客发动了攻击,资金来源是币安的取款。
0x2事件原理
浪人采用简单的资产跨链模式,用户通过浪人跨链合约将邰方的资产转让给浪人。在这个过程中,浪人跨链契约会先判断以太坊端是否接收并锁定资产,然后确认浪人跨链契约并释放到浪人上相应的资产。当用户在Ronin上销毁相应的资产时,以太坊端会解锁最初锁定的资产,并返还给用户。
Sky Mavis的浪人链目前由9个验证节点组成。为了识别存款事件或取款事件,需要九个验证者签名中的五个。攻击者成功控制了Sky Mavis的四个Ronin验证器和Axie DAO运行的一个第三方验证器。
验证者密钥方案设置为去中心化,限制了类似的攻击向量,但攻击者利用后门通过Ronin的无气RPC节点发现获得Axie DAO验证者的签名。
回顾2021年11月,Sky Mavis因为庞大的用户负载,要求Axie DAO帮助分发免费交易。Axie DAO允许Sky Mavis代表其签署各种交易。这在2021年12月停止,但是对许可列表的访问没有被撤销。
一旦攻击者获得了对Sky Mavis系统的访问权,他们就可以通过使用gas-free RPC从Axie DAO验证器获得签名。
目前官方已确认恶意提现中的签名与5名可疑验证者一致。
0x3资金来源和去向
资金来源
攻击者通过币安交易所的地址获得1.0569 ETH的初始资本,然后调用Ronin Bridge获得173,600 ETH和25500000 USDC。
资金的去向
攻击者分五笔将25,500,000个USDC分别转移到0xe708f……7ce10地址和0x66566……55617地址,并从该地址获取了约8564个ETH。
随后,攻击者将6250 ETH转移到5个地址,其他资金仍在攻击者的钱包地址。
跟踪目前已转移的钱包资金:
黑客把3750 ETH转到了火币火币地址。
黑客把1250 ETH转到了FTX的交换地址。
黑客把一个ETH转移到了Crypto.com的地址。
零时科技加密资产跟踪分析平台分析如下图所示:
总结和建议:
技术安全团队将持续监控被盗资金的转移情况,并提醒交易所和钱包注意加强地址监控,避免相关恶意资金流入平台。
3.2谨防恶意聊天软件!跟踪分析
最近,零点时间技术安全团队收到大量加密资产被用户以同样的理由窃取的案例。经查,都是因为过程中使用了恶意的Whatsapp。通过与受害者的交流,我们了解到以下情况:
受害人在使用恶意Whatsapp交流时,将钱包地址发送到聊天软件,对方直接复制钱包地址进行转账,但复制的钱包地址此时被聊天软件Whatsapp恶意替换,导致加密资产被转移到错误的地址。然后当用户与恶意WhatsApp聊天时,它会替换用户输入或接收的正确加密货币地址。
2022年12月6日,因使用恶意WhatsApp,8万多美元被盗;
2022年11月21日,因为使用恶意Whatsapp,超过140万美元被盗;
2022年10月6日,因使用恶意WhatsApp被盗13000多美元;
其他的.
恶意软件分析和对策
通过与受害者沟通,他们使用安卓手机,从百度搜索WhatsApp软件后,直接从第三方网站下载安装该软件。
下载地址如下:
通过沟通这一事件的前因后果,我们怀疑受害者安装的WhatsApp有问题,于是为了还原事件,我们获取了事发时的恶意WhatsApp安装包并进行分析。
首先,恶意WhatsApp软件的安装包大小与WhatsApp官网下载的大小不一致:
而且通过查看两个软件的签名消息可以看出,签名时间和签名主题消息明显不一致:
通过安全工具扫描此恶意软件发现有问题,并将其标记为恶意木马:
然后对恶意软件进行反编译后,发现恶意软件具有替换用户聊天消息中加密货币地址的功能,并通过远程服务器进行通信,定期更换被替换的黑客地址。分析过程如下:
首先,我们发现了被恶意软件和黑客控制的后台服务器的域名:
然后通过审计恶意软件代码,发现恶意软件从黑客控制的服务器上获取加密货币地址,然后替换用户在与恶意WhatsApp聊天时输入或接收的正确加密货币地址。
我们来看看用户在聊天时输入的地址信息的替换过程。代码如下:
从上面的FindSendAddress函数可以看出:
第一步,匹配用户输入的聊天消息中是否有trx或eth地址;
第二步,通过GetCurrentAddress函数获取地址;
按照如下方式执行GetCurrentAddress函数:
通过恶意站点的/api/index/get_ws接口获取被黑客控制的地址。
回信地址是加密的。有了app里的加密密钥,黑客的地址就可以直接用AES算法解密。以ETH地址为例,解密如下:
第三步,通过replaceBytes函数将用户输入的地址替换为黑客控制的恶意地址。
通过测试发现,通过恶意域名的/api/index/get_ws接口获取的恶意地址会周期性变化,当前获取的地址已经更新,并不是受害者转账时的地址。新获取的地址0x f 02 FBC 0114562 e 30447 c 21 f 8273d 8667 ab 4 EB 3 b未收到被害人资金。
到现在这个恶意接口/api/index/get_ws还在正常运行,会导致更多受害者的损失。
跟踪分析损失的资金
接到受害者的求助后,零时科技安全团队立即对黑客的相关地址进行分析监控。
其中140万美元的被盗资金进入了黑客的地址0xa160……9a41。几个小时后,黑客将资金转移到地址0x570C……BdDb,然后通过多次交易将两个地址转移,最后在地址0x8785……8885收款,如下图:
通过分析发现,黑客地址0xa160……9a41的手续费来自mexc.com交易平台,转账地址0x570C……BdDb的手续费来自币安交易平台。
另一笔被盗资金8万美元进入黑客地址0x319c……8486,0xad8……95b9,然后通过多次分散交易进行转移,最终在币安交易平台上收款。
零时科技安全团队将持续关注该恶意聊天软件的传播情况,并对相关黑客钱包地址的资金转移动态进行监控,及时提供情报预警,防止更多用户的资产被盗。
总结建议
本案是由于受害人下载恶意WhatsApp聊天软件,导致转账目的地地址被篡改,损失大量金钱。类似的案例还有很多,恶意的假交易平台,假钱包,假电报。
在收到大量用户的资产损失援助请求后,零时科技安全团队发现,通过社交软件等恶意软件拦截、修改转账地址的案例越来越多。为了避免财务损失,在此,我们再次建议:
第一,下载使用APP时,还是需要多方确认,认准官方下载渠道,检查签名的一致性;
二是多次进行大额转账,先确认小额,再继续转账;
第三,转账时多次确认转账地址,包括核对地址的正确性,尽量核对每一个字符。
3.3分析和跟踪distributed capital创始人盗窃的4200万美元资产
事件背景
2022年11月23日,分布式资本(Distributed Capital)创始人沈博发推文称,价值4200万美元的个人钱包资产被盗,其中包括3800万USDC和1,606 ETH,于纽约时间11月10日凌晨被盗。被盗资产为个人资金,与分布式相关资金无关。目前当地已报案,FBI和律师均已介入。
零点科技安全团队监测到此消息后,会及时跟踪分析。
注:沈波先生是以太坊的早期投资人和布道者。分布式资本成立于2015年,是中国第一家专注于投资区块链科技相关企业的风险投资企业。
事件分析
本次安全事件的受害者沈波先生的钱包地址为:
0x6be 85603322 df 6 DC 66163 ef 5 f 82 a9 c 6 ffbc 5 e 894
攻击者的钱包地址是:
0x24b 93 eed 37 E6 FFE 948 a9 BDF 365d 750 b 52 ADC bc2e
38,233,180个被盗USDC通过转账功能直接转出,交易哈希为:
0 xf 6 ff 8 f 672 e 41 b 8 cf AFB 20881 f 792022 f 6573 BD 9 BF 4 f 00 acaeea 97 BBC 2 f 6 e4f 7
被盗的1606 ETH交易的哈希是:
0 xbc 9 ce 2 f 860 ee 2 af 834662782d 30452 a 97 EB 3654 ecaf 9 C4 d 00291d 1233912 a3 f 5
随后,攻击者将38,233,180兑换成DAI,交易哈希为:
0
x04c43669c930a82f9f6fb31757c722e2c9cb4305eaa16baafce378aa1c09e98e
将兑换的38,100,000枚DAI发送到了另一个地址,暂未转移,地址如下:
0x66f62574ab04989737228d18c3624f7fc1edae14
通过分析,发现接收DAI的地址0x66f62574ab04989737228d18c3624f7fc1edae14收到一笔来自0x077d360f11d220e4d5d831430c81c26c9be7c4a4地址的0.1594个ETH手续费,而且通过零时科技虚拟币追溯分析平台标记0x077d360f11d220e4d5d831430c81c26c9be7c4a4为ChangeNow兑换平台地址,是攻击者用来掩盖交易痕迹的行为。
目前38,100,000枚DAI和1606枚ETH还在攻击者地址未转移,零时科技安全团队已经加入监控列表,持续跟踪资产转移动态。
总结建议
首先此次资产被盗事件是通过受害者钱包直接转移,所以疑似钱包私钥泄漏,然后攻击者及时将USDC兑换成DAI,目前暂时无法通过中心化机构进行冻结此笔资产。
接下来针对此次事件的资产追踪可做的工作如下:
第一、通过ChangeNow平台获取攻击者兑换ETH手续费的钱包地址进行溯源找到线索;
第二、同步实时监控攻击者地址的资产转移进行追踪;
第三、通过链上交易与攻击者取得联系;
零时科技安全团队会继续跟踪此次事件,也再次呼吁大家保管好自己私钥,提高安全意识,注意钱包和资产安全,有任何资产丢失的情况,第一时间与我们取得联系。
注:行业其他经典攻击案例详细分析,请关注零时科技公众号查看。
Nomad 跨链桥被盗1.8亿美元事件分析建议
天价美元损失案Harmony事件分析
Beanstalk Farms4.5亿人民币攻击事件分析
结语
Web3因其巨大的创新能力和开源优势成为蓬勃发展的新一代网络基础设施,为整个互联网世界带来更加可信,可传递价值的生态系统。尽管Web3行业安全事件不断,黑客和犯罪分子各种手法层出不穷,但这并不能阻碍Web3行业的健康发展。
相反,如同对弈的双方,Web3世界的“白帽子”,像我们零时科技一样的安全机构,一定会为这一繁茂的生态保驾护航,守护新世界用户的资产,与黑客斗智斗勇,为建立起更加完善的机制、更强的技术系统、更加安全交易而不断努力。
漏洞常在,安全无价,发展与安全的博弈不会停止,但愿我们都能为自己装上一个安全盾,来应对这未来复杂的技术世界!
免责声明
本报告版权为零时科技所有,报告内容基于零时科技安全团队对零时数据库和网络公开数据及信息的挖掘和分析,由于区块链具有匿名性特征,虽零时安全团队认为报告中所引用数据具有可靠性,但我们仍无法保证本报告中所有数据的完整性、准确性和真实性。由于研究方法、数据来源、研究视角的不同,本报告中所得结论可能与市场存在一定偏差。
本报告中的内容仅供参考,报告中的数据、结论和观点不应作为相关数字资产等任何类型的投资建议,读者应具有独立的判断能力,不应根据本报告作出相应的投资决策。由于使用该报告对任何企业或个人造成的损失,均不由零时科技承担。
本报告所涉及的项目及第三方,对本报告的客观性和独立性不造成任何影响。
本报告中信息具有时效性,所载数据、资料及观点仅限于定稿日前。
本报告的目的旨在帮助用户了解Web3安全现状,提高网络安全意识,进而降低用户直接或间接可能面临的风险。限于各种局限因素,内容恐有疏漏,烦请各位读者不吝指正。
