作者:GoPlus社区
2022年即将画上句号,今年我们见证了全球宏观经济陷入低谷,以及加密行业因泡沫破灭经济崩盘持续熊市,而与、钓鱼和黑客事件相关的安全风险也是层出不穷此起彼伏,这让原本并不景气的行情雪上加霜。
在2022年即将结束之际,GoPlus也针对Token/NFT等区块链主要风险集中的领域进行盘点,希望在总结经验教训的同时,更能给大家带来警示,希望大家在2023年能够更好抵御相关风险。
一、Token风险
1.主要风险
根据GoPlusToken检测的最新数据显示,在GoPlus已经检测过的超过200万的Token中,存在风险隐患的超过100万。其中主要的以及非常严重的风险有以下几种:
GOFi投资者起诉韩国金管局主席等人,指控他们拖延Gopax经营者变更程序:6月29日消息,韩国加密交易所Gopax旗下理财产品GOFi的投资者和法定代表人已向该国金融服务委员会主席以及金融监管局主席以及金融服务委员会金融情报室(FIU)院长提起诉讼,指控其迟迟未接受Gopax经营者变更报告,导致GOFi无法重新开放提款,并要求他们赔偿5000万韩元的损失。
3月7日,Gopax向金融情报机构提交了一份关于注册高管和业务运营商变更的报告,在完成该变更后,币安才能完成对Gopax的收购。诉讼称,根据现行法律,当局必须在45天内通报变更报告受理结果,但当局并未这样做,投资者因此蒙受损失,他们“正在审查超出依法合法审查范围的其他部分”。[2023/6/29 22:08:10]
2.貔貅代币
GoPlus Security将为硬件钱包Keystone输出安全检测服务:8月11日消息,据官方推特,GoPlus Security 宣布将与硬件钱包 Keystone 达成战略合作,GoPlus Security 将向 Keystone 输出安全检测服务,帮助Keystone在与公共链、非托管钱包、DEX、加密货币数据聚合器等互动时更好地解码所有交易,提供更好的用户体验。通过这次合作,GoPlus Security 将帮助 Keystone 在打击盲目签名方面再次向前迈进一步。
据悉,GoPlus Security 作为 Web 安全生态基础设施,目前已经推出了 Token 安全检测 API、恶意地址库 API、NFT 安全检测 API、风险授权检测 API 等多个安全工具,这次与知名硬件钱包 Keystone 的合作,标志着 GoPlus Security 在打通线上线下应用场景上又前进了一步。[2022/8/11 12:19:27]
貔貅代币总量大幅增长
Web3 安全生态基础设施 GoPlus Security 为 NFTPlay 智能展示画框提供安全支持:7月23日消息,据官方推特,新一代 NFT 产品 NFTPlay已接入 GoPlus Security 的 NFT 安全检测 API,可对NFTPlay 应用程序和智能框架设备中显示的 NFT 合同地址进行安全认证,进一步保障用户的NFT安全。
据悉,Go+Security 作为 Web3 的“安全数据层”,提供开放、无需许可、用户驱动的安全服务。NFTPlay是新一代的NFT产品,主要基于NFT生态中的线下展示场景,满足NFT持有者的展示、社交需求,围绕IRL进行Web3社交和生态拓展。希望通过IRL设备,虚实联动,丰富现实世界与链上世界的交互场景。[2022/7/23 2:32:34]
GoPlusToken检测的最新数据显示,加密市场的貔貅代币总量大幅增长,达到101267,2022年新增貔貅代币为64661,与2021年同期相比,增长达83.39%。
Gopax运营商Streami以2.92亿美元估值完成约2368万美元B轮融资:5月20日消息,韩国加密交易所Gopax运营商Streami以3700亿韩元(约合2.92亿美元)估值完成300亿韩元(约合2368万美元)B轮融资,软银与LINE的合资公司Z Holdings旗下风投子公司ZVC、KB Investment、灰度母公司DCG、Strong Ventures等参投。据悉,DCG于去年5月成为Gopax的第二大股东。
此前消息,Gopax已于4月28日恢复韩元市场。(韩国经济报)[2022/5/20 3:31:03]
热门公链是貔貅代币的主要发生地
在所有的貔貅代币中,92.8%来自BNBChain,6.6%来自以太坊,而这两条公链也是最为活跃、Token最多的公链之一。以下是主要公链貔貅代币分布:
貔貅代币出现了众多新的发展趋势?
受到年底FTX事件影响,大量用户将数字资产从中心化交易所向去中心化钱包转移,导致链上活跃用户激增,攻击者也变得更加活跃。GoPlus数据显示,仅在FTX事件发生的一周内,新增貔貅攻击方式超过120种,攻击次数增长6倍。
GoPlusSecurity对Honeypot新增攻击方式的分析表明,随着资产发行合约攻防的加剧,攻击方式愈加呈现复杂化和动态化的趋势,以下我们梳理了几种常用的攻击方式:
1.混淆代码
通过降低代码可读性,增加无效逻辑或混乱的调用关系,通过复杂的实现逻辑,增加安全引擎的分析难度。
2.伪造知名合约
这类攻击合约会通过假扮为知名的项目合约,比如伪造合约名称、伪造合约实现过程,误导引擎,从而增加风险检测的误判概率。
3.采用更加隐蔽的触发方式
这类攻击合约将攻击的触发条件埋得很深,比如将触发条件隐藏在用户的交易行为中,并且通过对交易行为进行一种更加复杂化的处理,从而实现实时修改合约状态和盗取用户资产的目的。
4.伪造交易数据
为了让交易看起来更加真实,攻击者还会随机触发空投、对敲等行为,这样一是可以引诱更多用户上钩,二是可以让交易行为看起来更自然。
二、NFT风险
NFT合约成为新的风险聚集区
除了Token以外,NFT也存在各种安全风险。根据GoPlusNFT检测到的数据统计,众多NFT在合约层面都存在一定的安全隐患。截至12月30日,NFT合约隐患主要有以下几类:
三、恶意地址风险
2022年各类钓鱼、事件层出不穷,相关的恶意地址也显著增多。
根据GoPlus针对EVM公链的恶意地址统计显示,暗网交易、钓鱼、混币服务、貔貅相关地址成为主要的恶意行为。
四、授权合约风险?
当前授权合约局不断,很多项目方通过授权合约获取用户资产的操纵权,从而取用户资产。
授权合约的几种常见风险
五、dApp风险
dApp风险是一个非常庞大的话题,其中涉及了太多类型的风险,非常复杂。在这里重点关注dApp的主要合约是否存在恶意行为,以及目前dApp的审计情况。
根据GoPlusdApp安全信息数据显示,GoPlus目前收录了市面上主要dApp总数超过6000个。在这6000+dApp中,可以查到公开审计报告的仅有925个,约占收录总数的15.3%;并且主要合约中存在未开源情况的dApp达到949,约占15.7%;而其主要合约或合约创建者有恶意行为的dApp也有67个,约占1.1%。
从上我们可以看出,真正进行审计的dApp都占比较低,dApp领域的安全依然任重而道远。
总结
2022年即将过去,我们将迎来更加光明的2023年。不过,区块链世界的安全风险并不会随着时间流逝而自动消失,反而会以越来越难以发现、越来越隐秘的形式不断出现。
面对这些层出不穷且不断进化的安全风险,我们认为,加密安全是一个需要持续关注的话题,持续意味着安全防护并非一次性的,而是需要持续维护和升级应对方案,对于GoPlus而言,这是指提升我们API安全检测的灵敏度,拓展检测的覆盖面和攻击面,以及随着黑客攻击手段的变化不断迭代相应的检测手段和防御策略。
2023年,区块链世界的用户、机构、安全服务商应该共同行动起来,为实现Web3安全的未来之路而努力。
希望大家在新的一年,可以更多安全放心地探索区块链世界。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。