1月13日,在中国信息协会区块链专业委员会的指导下,SAFEIS安全研究院发布了《2022年区块链安全白皮书》。《白皮书》基于2022年区块链安全事件,从类型、数量、涉事金额等维度,总结出行业全年安全态势。此外,还回顾了各国区块链政策、区块链技术在各领域的应用落地情况。提炼了区块链面临的主要安全问题、区块链主流安全技术、安全应用。详细剖析了典型安全风险,并提出解决方案。对区块链技术、行业面临的问题进行了分别分析,最后,展望了未来发展趋势。
主要观点
2022年,涉事金额超过10万美元的区块链安全事件,数量超过204起,其中,漏洞攻击占比最高,多达59起。
2022年,涉事金额超过10万美元的区块链安全事件,涉事总金额超过753亿美元,其中重大崩盘占比最高,超过 600 亿美元。
2022年,区块链主要面临七大安全风险:代码漏洞风险、预言机风险、合约风险、中心化风险、应用风险、协议风险、算法风险。
2023年,区块链行业将面临严峻的中心化风险。
2022年对区块链而言,是跌宕起伏的一年,亦是载入史册的一年:以太坊进入POS时代;美联储加息、LUNA暴雷、FTX交易所破产引发币市长熊;俄乌冲突引发矿业能源危机……。但区块链仍在跌跌撞撞中取得了很多进展:区块链高频进入诸多国家(包括中国在内)的规划文件;各国纷纷细化对区块链的监管政策,区块链进入合规时代;香港接棒新加坡,剑指区块链新中心;区块链技术应用大范围落地,赋能供应链、医疗、公共服务等多个行业。在区块链跌撞前行的背后,区块链安全问题也愈加突显,辞旧迎新之际,《白皮书》回顾2022年全球区块链安全态势。由于篇幅限制,本文仅摘取《白皮书》主要观点,完整版可关注【SAFEIS安全研究院】公众号,回复关键词“白皮书”领取。
2022年区块链安全事件涉事总金额超过753亿美元
SAFEIS 安全研究院统计了 2022 年区块链领域安全事件,涉事金额超过 10 万美元事件的多达 204 起。其中,漏洞攻击事件 59 起,Run Pull 事件 54 起,闪电贷攻击事件 21 起,涉虚拟币案件 18 起,数据泄露攻击事件 14 起,钓鱼攻击事件 10 起,加密骗局事件 8 起,前端攻击事件 5 起,价格操纵攻击事件 4 起,预言机攻击事件 3 起,套利攻击事件 3 起,重大崩盘事件 2 起,治理攻击事件 2 起,病毒攻击事件 1 起。
2022 年,安全事件涉事总金额超过 753 亿美元,其中,重大崩盘事件超过 600 亿美元,涉虚拟币案件约 112 亿美元,漏洞攻击事件约 24 亿美元,数据泄露攻击事件约 8 亿美元,加密骗局事件约 3.4 亿美元,闪电贷攻击事件约 2.6 亿美元,价格操纵攻击事件约 1.3 亿美元,Run Pull 事件约 7684 万美元,预言机攻击事件约 3736 万美元,套利攻击事件约 1015 万美元,钓鱼攻击事件约 1110 万美元,前端攻击事件约 495 万美元,治理攻击事件约 220 万美元,病毒攻击事件约 120 万美元。
展开全文
2022年区块链主要面临七大安全风险
代码漏洞风险:2022 年 10 月 7 日,全球最活跃的公链之一 BNB Chain 被黑客攻击,涉及资产价值超 5 亿美元。根据链上数据及代码显示,事情的起因是 BSC 跨链桥的验证方式存在 BUG,该 BUG 可能允许攻击者伪造任意消息。攻击者伪造信息通过了 BSC 跨链桥的验证,促成了本次攻击。例数过往,大部分进行漏洞攻击的黑客都是利用了代码中的漏洞,导致受损的验证器节点批准了盗 窃行为。
预言机风险:2022 年 4 月 28 日,DEUS Finance 的合约被恶意攻击,造成了约 1570 万美元的损失。由于 DeiLenderSolidex 合约是用预言机来确定用户抵押品的价值,攻击者使用了被恶意操纵的交易对池的价格来操纵预言机合约。通过这种方式,攻击者可以利用高价格和之前提供的抵押品,从借贷池(DeiLenderSolidex)中总计借贷 17,246,885 DEI,这一数额远大于之前攻击者提供的抵押品金额。
合约风险:2022 年 8 月 2 日,跨链解决方案 Nomad 遭到黑客攻击,损失资金超过 1.9 亿美元。Nomad 官方对智能合约进行了常规升级,但升级后的智能合约副本存在致命缺陷,主要就是将零哈希标记为有效根,这个设置具有自动验证每条消息的功能,这便让黑客可以轻而易举的盗取桥上的巨额资产。而普通用户只需要找到一个有效交易,用钱包地址替换掉已有地址并重新广播。
中心化风险:2022 年 11 月 4 日,加密领域媒体 CoinDesk 披露了一份私人财务文件,指出中心化交易所 FTX 与其姊妹公司 Alameda Research 存在债务的问题,涉嫌挪用客户资金。一时之间引发用户信任危机,并触发资金挤兑最终遭遇暴雷,短短数天之内宣告破产。根据美国联邦破产法院的文件,FTX 集团在破产申请中披露的负债高达 100 亿至 500 亿美元,而新管理层只找到小部分资产,包括存放在离线冷钱包中的约 7.4 亿美元加密货币,以及约 5.6 亿美元现金。 FTX 的债务可能涉及超过 100 万名债权人,包括欠前 50 名最大债权人近 31 亿美元、前十大债权人约 14.5 亿美元。美国检察官直言,这是「美国史上最大的金融诈骗案之一」。
应用风险:2022 年 10 月 24 日,有推特用户表示,向手机客户端的币安 App 充值的 5 枚 ETH 一直未到账,经调查发现其手机内的币安 App 客户端为黑客团队包装的假币安 App ,充值地址已被黑客替换为黑客控制的虚 假充值地址。根据链上数据统计,该名黑客所管理的诸多虚 假充值地址之一自 2022 年 9 月 26 日起短短 3 个月就已经累计收款超过 100 万 USDT,向其打款的地址数量超 500 个。
协议风险:2022 年 9 月 15 日 ,以太坊完成「合并」,主网与 PoS 共识层信标链(Beacon 链)结合。 标志着以太坊工作量证明(PoW)的淘汰,以及向权益证明(PoS)的完全过渡。这需要对以太坊的区块链协议进行重大修改。以太坊「合并」就是从协议安全风险角度出发,进行的一次升级,同时,长达 3 年的测试阶段也考虑了协议演进风险。
算法风险:区块链技术主要使用的算法有:哈希算法、共识算法、加密算法。此外,区块链技术中还有许多其他算法,例如:脑钱包算法可能存在隐私保护风险,随机数生成算法可能存在伪随机性风险。
2023年区块链行业将面临严峻的中心化风险
尽管区块链技术本身是去中心化的,但是在实际应用中,很多区块链应用都存在中心化风险。这些风险包括单点故障风险、控制权集中风险、共识机制缺陷风险和分叉风险等。2022 年加密行业经受三箭资本破产、Terra(LUNA) 崩盘、FTX 交易所暴雷等诸多中心化风险洗礼后,加密市场信心受到重创,当年雷曼兄弟集团营运表面上也非常亮眼,与全球各大银行都有紧密的关联,后来才被次贷风暴戳破背后的债务问题,触发全球性的金融危机。而 2022 年纷至沓来的中心化风险也分别造成了中心化平台挤兑、中心化交易所信任危机、机构投资失去信心这三个潜在问题。
如何在2023年保护自己
区块链安全事件层出不穷,我们应该提高安全意识,主动规避风险,包括:
1、对所有链接提高警惕,即使这些链接由亲朋好友发送;
2、对于所有涉及到交易的信息,多渠道验证信息的真实性;
3、勿向任何人透露个人信息、钱包信息、银行信息等;
4、创建强密码,以防止诈骗者轻易侵入账户,并且各平台密码保持一定差异性,此外,还需要添加两步验证 (2FA);
5、对TG账户进行隐私设置。创建TG账户后,立即打开端到端加密。
6、定期检查登录设备IP,如果出现非常用地址的IP登录账户,就要提高警惕;
7、对TG账户的邀请设置进行升级,调整为只有好友才能拉您进群;
8、保持设备安全功能的开启,比如防火墙、杀毒软件等。
强强联合 共创安全
中国信息协会是由中央国家机关工委主管、业务受国家发改委指导的全国性社会团体。在全国多个省市地区设立了地方信息协会,形成了全国性组织网络。协会发挥信息化行业中政府与企业的桥梁和纽带作用,牵头制定信息化行业标准,承接多项信息化国家级课题研究,发布系列白皮书及权威报告。区块链专业委员会(专委会)是隶属于中国信息协会的全国行业性组织,致力于区块链技术的应用推广和规范行业健康发展。其协会成员来自国内顶尖高校专家、各赛道头部企业。
SAFEIS安全研究院是SAFEIS旗下,集技术创新、产品研发、行业分析、政策研究人才培养于一体的区块链研究机构,研究方向包括但不限于区块链技术升级、产业融合应用等安全问题。研究院聚焦于为全球区块链技术的迭代与落地贡献力量,致力于区块链人才体系构建,旨在成为业内标杆。
本次《区块链安全白皮书》的发布,是行业对区块链安全的一次有益探索,SAFEIS 安全研究院专家智库秉持开放包容、多元互鉴的原则,欢迎与有关部门、业界同仁,共同维护区块链安全。
关注【SAFEIS安全研究院】公众号,回复关键词“白皮书”即可领取完整版白皮书。
发表回复