BITGET交易所官网BITGET交易所官网

理财、金融、保险、贷款、虚拟货币
等知识简单易懂一秒就通!

2022年Q1全球区块链安全生态报告攻击类安全事件造成的损失达12亿美元

Bitget下载

注册下载Bitget下载,邀请好友,即有机会赢取 3,000 USDT

APP下载   官网注册

2022年,区块链行业迎来了新的发展时期,但各种安全风险也在加大。 今天,和我们一起回顾一下吧。 2022年Q1区块链的安全生态发生了什么?

2022年Q1区块链安全生态简介安全事件造成的损失约达12亿美元2022年第一季度,成都链安【需链-区块链安全态势感知平台】监测的数据统计显示

攻击类安全事件造成的损失约达12亿美元,比去年同期(2021年Q1 )的1.3亿美元上升了约9倍。 亏损金额比2021年任何一个季度都高。 2022年3月

,在Ronin攻击事件中6.25亿美元的资金被盗,超过2021年8月Poly Network被攻击的6.10亿美元,登上了Defi黑客攻击受害排行榜第一。 当然

,并不是所有的项目都可以像Poly Network一样回收资金。 截至本报告撰写时(4月),Ronin的黑客仍然分批次洗钱。 从连锁平台看

Ethereum和BNB仍然是攻击频率最高的两条链条,但攻击频率高并不意味着损失额高。 2022年第一季度,我们监测了两起Solana链典型攻击事件,损失金额达3.74亿美元

比在BNB Chain的损失多得多。 从资金流来看,80%的情况下,黑客最终会偷钱并汇款到Tornado.Cash,混合货币。 可能为10%

,黑客把资金暂时留在自己的住所,有时等几个月,甚至几年才转移赃物。 在黑客中,不少人会主动归还偷来的资金。 从攻击手法来看,合同漏洞的利用和电击信贷攻击是黑客最常用的手段

。 50%的攻击手法是合同的不完备利用。 从审计情况来看,70%的被攻击项目都是由第三方安全公司审计的。 但是,在剩下的30%未经审计的项目中

攻击事件中遭受的损失占总体损失额的60%以上。 从项目类型来看,DEFI项目仍然是黑客攻击的热点区域,占总攻击项目数的60%。 虽然链桥被攻击的次数很少

但是,所涉金额巨大。 Q1发生30多起典型攻击事件链桥类项目损失2022年一季度,区块链领域发生典型安全事件约30起。 总损失额约为12亿美元

比去年同期增长823%。 在前20名中,损失额最高的Ronin为6.25亿,约为金额最低的Build Finance(112万美元)的558倍。 从统计图表中可以看出

、Ronin和Wormhole两个项目的损失额达9.5亿美元,占2022年Q1总损失额的80%。 值得注意的是,这两个都是跨链桥类项目。 关于被攻击项目的类型

DeFi仍然是黑客的重点领域2022年一季度,区块链领域、DeFi项目仍然是黑客的重点领域,共发生19起安全事件,约60%的攻击发生在DeFi领域。 另外

针对NFT的攻击事件在2022年第一季度上升,跨链桥项目被攻击4次,但损失金额达到9.5亿美元,占2022年第一季度损失金额的80%,跨链桥安全事件频发,涉及金额巨大

在链损失额中,Ethereum损失额最高占2022年第一季度,在Ethereum和Solana链中攻击损失额排名前两名

分别为6亿5448万美元和3亿7400万美元。 Ethereum被攻击的频率也最多,占总频率的45%; 第二位是BNB Chain,占19%。

Solana链上的两次攻击事件都造成了巨额损失。 Wormhole的损失为3.26亿美元,Cashio的损失为4800万美元。 两者的攻击手法是利用同一合同的漏洞。 连锁平台损失额的比例

此外,有些公共链在2022年第一季度未检测到重大安全事件,例如Terra、Avalanche和Tron,都是TVL排名靠前的。 攻击手法最常见的是分析合同漏洞的利用和电击信贷

2022年一季度,在区块链安全生态领域,约50%的攻击方式为合同漏洞利用,24%的攻击方式为电击贷。 12%的攻击是私钥泄露、钓鱼攻击和社会工程攻击

。 这种攻击是由项目方没有保管私钥或警惕性不足引起的。 在黑客使用的合同漏洞中,最常见的漏洞是重入漏洞(30% )

、其次是业务逻辑不完备(24 )、呼叫注入攻击(18 )、验证不完备或不足(18 ); 这些漏洞中的大部分可以通过安全审计尽早发现和修复。 典型安全事件分析

情况1(treasureDao被攻击事件的背景) 3月3日,TreasureDAO NFT交易市场被发现存在漏洞,100多个NFT被盗。 但是,事发几小时后

攻击者开始归还被盗的NFT。 详细信息:交易发起方通过合同的buyItem函数传递了值为0的_quantity参数

因此,您可以免费购买Tokenid5490的ERC-721令牌。 从项目合同的buyItem函数代码来看,合同的buyItem函数在传递_quantity参数后

,因为safeTransferFrom函数直接将_quantity与_pricePerItem相乘来计算totalPrice,而不判断令牌类型,所以如果ERC-20令牌的支付额只有0

调用合同的buyItem函数进行令牌购买。 但是,调用buyItem函数时,函数只判断购买令牌的种类,没有判断令牌数为0以外

,可以无视_quantity的数值直接购买ERC-721类型的令牌,实现了漏洞攻击。 建议:

此次安全事件的主要原因是ERC-1155令牌和ERC-721令牌混用导致的逻辑混乱。 ERC-721令牌没有数量概念,但合同使用数量计算令牌购买价格,最终在令牌转账时也没有进行分类讨论。

建议开发人员在开发多个令牌的销售合同时,应根据令牌的特性设计不同情况的业务逻辑。 案例Build Finance项目遭遇治理攻击的背景:

2月15日,DAO组织Build Finance宣布遭遇恶意治理攻击,攻击者通过获得足够多的投票成功管理了Token合同。 详细信息:

在2020年9月4日的交易中,Build Finance合同的创建者通过setGovernance函数转移了治理权限。 通过搜索内部的Storage,发现权限已迁移到0x38bce4b地址

。 继续关注0x38bce4b地址,发现是Timelock合同。 在合同中只能调用setGovernance函数。

Build Finance继续跟进攻击过程,2021年1月25日,发现0x38bce4b地址通过调用executeTransaction函数将权限转移到了0x5a6ebe地址

。 2022年2月11日,由于投票设置阈值低,提案被通过,0x5a6ebe地址的管理权限变更为0xdcc8A38A地址。 取得治理权限后,攻击者恶意铸造硬币,耗尽了交易池的流动性。

建议:达沃合同应设置适当的投票阈值,实现真正的非中心化治理,避免提案以较少的票数通过并成功执行。 该方案可以参考openzeppelin官方提供的治理合同的实现。

案例Ronin6亿美元货币盗窃案背景: 3月23日,Sky Mavis的Ronin验证器节点和Axie DAO验证器节点被破坏

,攻击者使用黑色私钥伪造假提款,利润约为6.25亿美元。 Ronin Network直到3月29日才意识到自己受到了攻击。 详细信息:

Sky Mavis的Ronin链目前由9个身份验证节点组成。 为了识别存款事件或取款事件,9个验证者的签名中需要5个

。 攻击者试图控制Sky Mavis的四个Ronin验证器和Axie DAO运行的第三方验证器。 之后Ronin官方表示,所有证据都表明与这次攻击或社会工程有关。

Ronin黑客洗钱流程(3月30日更新)建议: 1、注意签名服务器安全2、签名服务在相关业务中离线时,应立即更新策略,关闭相应的服务模块

此外,还可以考虑放弃对应签名账户的地址; 3、多签名验证时,多签名服务之间应该在逻辑上隔离,独立验证签名内容,不会出现部分验证者不经过验证而直接要求其他验证者签名的情况;

4、项目方应实时监测项目资金异常情况。 如果被盗资金流向了分析Tornado.Cash或为黑客洗钱的80%惯用手段,黑客拿到手后

,马上或几天内偷了钱,转到Tornado.Cash上混币。 10%的情况下,黑客会将赃物暂时留在自己的住所,等待几个月到几年再提取资金。 例如,去年12月被盗的交易所AscendEX

黑客从今年2月、3月开始分批次洗钱。 今年Ronin的攻击者现在也在频繁地洗钱。 一些黑客归还所盗资金。 Cashio的攻击者在窃取了4800万美元的资金后

,官方消息表示将退款给10万美元以下的账户,并声称“我的目的只是从需要的人那里取钱,而不是从需要的人那里取钱”。 即使现在,Tornado.cash仍然是黑客的常用洗钱方法。

项目审计情况分析30%未审计项目损失额占总体60%的项目审计情况: 70%被攻击项目经第三方安全公司审计的30%未审计项目

、亏损金额达7.2亿美元,占第一季度总亏损金额的60%; 项目上线前的审计仍然很重要。 在未审计的项目中,50%的攻击方法被用于合同不完备。 因此,尽早审计并及时纠正代码漏洞

可以避免上线后项目被攻击造成的重大损失。 项目审计情况和总损失额2022年Q1结语安全事件频发,涉及金额在2022年第一季度大幅增加

,区块链领域攻击类安全事件造成的损失约达12亿美元,比2021年任何一个季度的损失额都要高。 链桥项目受损金额巨大,DeFi项目受损频率最高,这两个领域今后也可能是黑客重点瞄准的攻击目标。

项目方应及时关注资金异常情况。 成都链安【链应-区块链安全态势感知平台】能让项目方和用户及时发现风险交易,并迅速采取措施。 例如,立即暂停相关服务、通知用户许可证的取消等

避免后续更大的损失。 项目安全审计仍然至关重要,约50%的攻击方式是利用合同漏洞,其中大多数攻击方式都是通过安全审计提前发现并修复的。

关键词:
相关推荐
本文地址: http://www.1mt.cn/538041
文章来源: admin
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 931614094@qq.com 举报,一经查实,本站将立刻删除。 未经允许不得转载:
分享到: 更多
2022年Q1全球区块链安全生态报告攻击类安全事件造成的损失达12亿美元文档下载: PDF DOC TXT

Bitget下载

注册下载Bitget下载,邀请好友,即有机会赢取 3,000 USDT

APP下载   官网注册

猜你喜欢

BITGET交易所官网 | 理财、金融、保险、贷款、虚拟货币 等知识简单易懂一秒就通!

联系站长网站公告