慢雾科技发布《2022区块链安全与反分析年度回顾》报告,聚焦于2022年区块链行业所发生的重大事件,介绍区块链行业各赛道的安全状况,延伸并提炼出常见攻击手法,并披露其中几种钓鱼手法。接着对部分安全事件的被盗资金流向进行分析,并通过归纳总结,公布一种针对混币器资金追踪的高级分析方法。
由于篇幅限制,这里仅罗列分析报告中的关键内容,完整内容可通过文末PDF下载。
一、背景
本节分为区块链安全及反两部分。
区块链安全
根据慢雾区块链被黑事件档案库统计,2022年安全事件共303件,损失高达37.77亿美元。
相比2021年的97.95亿美元下降约61%,但这并不包括因市场动荡而损失的资产。
美国财政部制裁与朝鲜政府有关联的加密钱包:金色财经报道,根据美国财政部外国资产控制办公室 (OFAC) 的一份声明,美国官员周二制裁了一批据称与朝鲜政府有关联的加密钱包。OFAC称,列入黑名单的钱包包含比特币、以太坊、TUSDT 和USDC,该钱包属于一个名叫Sang Man Kim的58岁朝鲜公民人。
这些钱包是由Binance交易所托管的自动生成的钱包地址,任何用户都可以注册使用。根据区块链数据,在过去的一年里,这些地址之间没有任何往来交易。[2023/5/24 15:22:02]
其中各生态DeFi、跨链桥、NFT等安全事件255起,交易所安全事件10起,公链安全事件11起,钱包安全事件6起,其他类型安全事件21起。
数据:澳大利亚在ATM新安装方面位居榜首:金色财经报道,根据Coin ATM Radar数据,在整个行业动荡的一年中,全球支持数字货币的ATM机数量有所下降。根据一份新报告,美国丢失的提供加密服务的ATM机比其他任何国家都多,而澳大利亚在新安装方面位居榜首。[2023/1/7 10:59:22]
区块链反
匿名性与不可逆是加密货币交易的天然属性,正是这样的原因,在加密货币犯罪频发的情况下,区块链反处于一个至关重要的位置,也是阻止黑客成功变现的最后防线。面对黑客无孔不入的威胁,不同的群体也不约而同的“组建”起反同盟,其中包括交易平台/资金管理平台/项目方、监管方和区块链安全公司。2022年这些群体的反动态如何?在反分析过程中,始终存在着几个核心的问题:发起攻击的手续费来自哪里?的资金去了哪里?详情见文末的PDF文件内容。
比特大陆更换矿机业务总裁,并严打“白手套”等腐败行为:11月3日消息,比特大陆11月1日发布董事长詹克团签名的干部任命书,任命肖胜强为矿机业务部总裁、任期为4年,免去杜诗圣矿机业务部总裁、EMT委员的职务。肖胜强为原比特大陆深圳财务人员。
11月2日,比特大陆发布全员信,要求曾有过腐败行为的员工在11月6日前主动报备,公司将不追究其刑事责任。腐败行为包括索要收受客户/供应商回扣贿赂、从销售/采购转手差价中获利、包括直接获利与通过外部白手套获利。(吴说)[2022/11/3 12:13:12]
二、区块链安全现状
本节分为区块链生态安全概览、攻击手法、钓鱼/局手法及损失Top10安全事件四部分。
区块链生态安全概览
2022年最令人讶异的莫过于Terra事件了。5月8日,加密货币市场上出现了史上最具破坏性的一次崩盘。Terra网络的算法稳定币UST出现了2.85亿美元的巨额抛售,引发了一系列连锁反应。Terra的原生代币LUNA的价格突然毫无征兆的连续跳崖式暴跌,一天时间,LUNA市值蒸发了近400亿美元,全生态项目TVL也几乎归零。此次事件或许成为了开启2022加密寒冬的死亡按钮。
观点:DeFi行业需要一款“杀手级应用”来实现主流采用:8月10日消息,Ripple Lab的DeFi市场负责人Boris Alergant在参加Blockchain Futurist Conference圆桌讨论时表示,消费者需要一款“杀手级应用”,才能将DeFi行业提升到吸引主流受众的水平。
与会者的普遍看法是,中心化金融机构最终将推动DeFi走向主流采用。Alergant表示,增长可能来自用户友好的CeFi应用程序,该应用程序提供DeFi服务渠道:“对于普通用户来说,你告诉你妈妈如何出去在Aave或ETH上质押,这是一个过程。她不知道如何使用MetaMask,但她想以某种方式产生该收益。她想交易,但不知道怎么做。所以我认为机构采用是其未来发展方向,而机构将使消费者的杀手级应用程序真正将加密货币和DeFi提升到一个新的水平。”(Cointelegraph)[2022/8/10 12:15:17]
根据慢雾区块链被黑事件档案库统计,2022年DeFi安全事件共183起,损失高达20.75亿美元,占比2022年总损失约55%。其中,BNBChian上发生安全事件约79起,总损失金额约7.85亿美元,居各链平台损失金额第一位。而Ethereum上发生安全事件约50起,总损失金额约5.28亿美元,其次是Solana上发生安全事件约11起,总损失金额约1.96亿美元。2022年跨链桥安全事件共16起,损失高达12.12亿美元,占比2022年总损失的32%。2022年损失上亿的安全事件共10件,跨链桥就占了4件,大多是由于私钥泄露导致。2022年NFT赛道安全事件约56起,损失超6544万美元,其中大部分是由钓鱼攻击导致,占比约为39%,其次是RugPull占比约为21%,由合约漏洞或自身原因导致占比30%。
安全团队:EGD_Finance遭受黑客攻击,代币价格被闪电贷操控:8月8日消息,据慢雾区消息,BSC上的EGD_Finance项目遭受黑客攻击,导致其池子中资金被非预期的取出。慢雾安全团队进行的分析如下:
1.由于EGD_Finance合约中获取奖励的claimAllReward函数在计算奖励时会调用getEGDPrice函数来进行计算EGD的价格,而getEGDPrice函数在计算时仅通过pair里的EGD和USDT的余额进行相除来计算EGD的价格
2.攻击者利用这个点先闪电贷借出池子里大量的USDT,使得EGD代币的价格通过计算后变的很小,因此在调用claimAllReward函数获取奖励的时候会导致奖励被计算的更多,从而导致池子中的EGD代币被非预期取出
本次事件是因为EGD_Finance的合约获取奖励时计算奖励的喂价机制过于简单,导致代币价格被闪电贷操控从而获利。[2022/8/8 12:09:04]
攻击手法概览
303起安全事件中,攻击手法主要分为三类:由项目自身设计缺陷和各种合约漏洞引起的攻击;包含RugPull、钓鱼、Scam类型的手法;由私钥泄露引起的资产损失。
钓鱼/局手法
此节选取部分SlowMist于2022年披露过的钓鱼/局手法。
1、浏览器恶意书签盗取DiscordToken
2、“零元购”NFT钓鱼
3、RedlineStealer木马盗币
4、空白支票eth_sign钓鱼
5、尾号相同空投局
6、TransferFrom零转账局
损失Top10安全事件
此节选取了2022年损失Top10的安全事件。
1、RoninNetwork损失超6.1亿美元
2、BNBChain遭到漏洞利用
3、Wormhole损失超3亿美元
4、BeanstalkFarms遭闪电贷和提案攻击
5、Wintermute损失1.6亿美元
6、Nomad桥遭受黑客攻击
7、Elrond出现安全漏洞
8、Mango因价格操纵被提取1亿美元
9、Harmony损失超1亿美元
10、Qubit遭攻击损失8000万美元
三、部分安全事件反分析
工具和方法
1、工具:MistTrack
MistTrack反追踪系统?是一套由慢雾科技创建的专注于打击加密货币活动的SaaS系统,具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。
通过标记1千多个地址实体、2亿多个地址标签,10万多个威胁情报地址,以及超过9000?万个与恶意活动相关的地址,MistTrack为反分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查,MistTrack?在反分析评估工作中起到至关重要的作用。
2、方法:
从区块链反资金态势中我们可以看到很多被黑事件发生后,在ETH/BSC链上的资金都不约而同的流向了一片灰暗之地——Tornado.Cash,Tornado.Cash已成为ETH/BSC链上反的主战场。我们将提出一个针对Tornado.Cash资金转出的分析方法。
而在BTC链上,通过区块链反资金态势我们可以看到ChipMixer和Blender是黑客的常用平台。Blender目前已被美国财政部制裁,ChipMixer流入资金量巨大,我们同样需要提出一个针对ChipMixer资金转出的分析方法。
反分析详述
本小节使用MistTrack基础分析工具对4起安全事件展开了反分析,通过反分析清晰阐述“攻击手续费来源是什么”、“钱去了哪里”的问题,并创造性的提出了一种数据分析方法来分析Tornado.Cash和ChipMixer的提款。
四、展望
2023年在加密货币世界中我们还需要关注什么?
监管合规化
加强对安全审计的关注
扩容继续升温,多链和谐共存
反与链上追踪分析
加强对备份的关注
零知识证明:扩容与隐私
五、写在最后
本次报告内容基于我们对区块链行业的理解、慢雾区块链被黑档案库SlowMistHacked以及反追踪系统MistTrack的数据支持。但由于区块链的“匿名”特性,我们在此并不能保证所有数据的绝对准确性,也不能对其中的错误、疏漏或使用本报告引起的损失承担责任。同时,本报告不构成任何投资建议或其他分析的根据。本报告中若有疏漏和不足之处,欢迎大家批评指正。
纵览整个2022,“动荡”一词贯穿全年。尽管仍有暴雷的余震回荡,尽管我们正在经历寒冬,但任何事物都无法改变区块链发展的方向,只有如履薄冰,认真做有利于行业发展的事情才能稳固长久。无论如何,我们仍期待着区块链行业在2023年的发展。
导读到此,完整版本,欢迎阅读并分享:)
https://www.slowmist.com/report/2022-Blockchain-Security-and-AML-Analysis-Annual-Report(CN).pdf
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。