7

速读慢雾 2022 区块链安全及反洗钱年度报告

 1 year ago
source link: https://www.ccvalue.cn/article/1407635.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
2022 年安全事件共 303 件,损失高达 37.77 亿美元。

撰文:慢雾科技

慢雾科技发布《2022 区块链安全与反洗钱分析年度回顾》报告,聚焦于 2022 年区块链行业所发生的重大事件,介绍区块链行业各赛道的安全状况,延伸并提炼出常见攻击手法,并披露其中几种钓鱼手法。接着对部分安全事件的被盗资金流向进行分析,并通过归纳总结,公布一种针对混币器资金追踪的高级分析方法。

由于篇幅限制,这里仅罗列分析报告中的关键内容,完整内容可通过 PDF 下载

一、背景

本节分为区块链安全及反洗钱两部分。

区块链安全

根据慢雾区块链被黑事件档案库(SlowMist Hacked)统计,2022 年安全事件共 303 件,损失高达 37.77 亿美元(按事发价格计算)。

72f6bec7c1710d5801072db038de1fa6.png

相比 2021 年的 97.95 亿美元(按事发价格计算)下降约 61%,但这并不包括因市场动荡而损失的资产。

b0984d260bc9cdb514d9896daf83f9c3.png

其中各生态 DeFi、跨链桥、NFT 等安全事件 255 起,交易所安全事件 10 起,公链安全事件 11 起,钱包安全事件 6 起,其他类型安全事件 21 起。

ebc769b4b3dd07feeb05c0564dc2ba72.png

区块链反洗钱

匿名性与不可逆是加密货币交易的天然属性,正是这样的原因,在加密货币犯罪频发的情况下,区块链反洗钱处于一个至关重要的位置,也是阻止黑客成功变现的最后防线。面对黑客无孔不入的威胁,不同的群体也不约而同的「组建」起反洗钱同盟,其中包括交易平台 / 资金管理平台 / 项目方、监管方和区块链安全公司。2022 上半年这些群体的反洗钱动态如何?在反洗钱分析过程中,始终存在着几个核心的问题:发起攻击的手续费来自哪里?洗钱的资金去了哪里?详情见文末的 PDF 文件内容。

二、区块链安全现状

本节分为区块链生态安全概览、攻击手法、钓鱼 / 骗局手法及损失 Top10 安全事件四部分。

区块链生态安全概览

2022 年最令人讶异的莫过于 Terra 事件了。5 月 8 日,加密货币市场上出现了史上最具破坏性的一次崩盘。Terra 网络的算法稳定币 UST 出现了 2.85 亿美元的巨额抛售,引发了一系列连锁反应。Terra 的原生代币 LUNA 的价格突然毫无征兆的连续跳崖式暴跌,一天时间,LUNA 市值蒸发了近 400 亿美元,全生态项目 TVL 也几乎归零。此次事件或许成为了开启 2022 加密寒冬的死亡按钮。

根据慢雾区块链被黑事件档案库( SlowMist Hacked )统计,2022 年 DeFi 安全事件共 183 起,损失高达 20.75 亿美元,占比 2022 年总损失约 55%。其中,BNBChian 上发生安全事件约 79 起,总损失金额约 7.85 亿美元,居各链平台损失金额第一位。而 Ethereum 上发生安全事件约 50 起,总损失金额约 5.28 亿美元,其次是 Solana 上发生安全事件约 11 起,总损失金额约 1.96 亿美元。2022 年跨链桥安全事件共 16 起,损失高达 12.12 亿美元,占比 2022 年总损失的 32%。2022 年损失上亿的安全事件共 10 件,跨链桥就占了 4 件,大多是由于私钥泄露导致。2022 年 NFT 赛道安全事件约 56 起,损失超 6544 万美元,其中大部分是由钓鱼攻击导致,占比约为 39%(22 起),其次是 Rug Pull 占比约为 21%(12 起),由合约漏洞或自身原因导致占比 30%(17 起)。

攻击手法概览

303 起安全事件中,攻击手法主要分为三类:由项目自身设计缺陷和各种合约漏洞引起的攻击;包含 Rug Pull、钓鱼、Scam 类型的手法;由私钥泄露引起的资产损失。

d34449115103b9cced0053576f168fb5.png

钓鱼 / 骗局手法

此节选取部分 SlowMist 于 2022 年披露过的钓鱼 / 骗局手法。

1、浏览器恶意书签盗取 Discord Token

2、零元购 NFT 钓鱼

3、Redline Stealer 木马盗币

4、空白支票 eth_sign 钓鱼

5、尾号相同空投骗局

6、TransferFrom 零转账骗局

损失 Top 10 安全事件

此节选取了 2022 年损失 Top10 的安全事件。

1、Ronin Network 损失超 6.1 亿美元

2、BNBChain 遭到漏洞利用

3、Wormhole 损失超 3 亿美元

4、Beanstalk Farms 遭闪电贷和提案攻击

5、Wintermute 损失 1.6 亿美元

6、Nomad 桥遭受黑客攻击

7、Elrond 出现安全漏洞

8、Mango 因价格操纵被提取 1 亿 美元

9、Harmony 损失超 1 亿美元

10、Qubit 遭攻击损失 8000 万美元

三、部分安全事件反洗钱分析

工具和方法

1、工具:MistTrack

MistTrack(https://misttrack.io)反洗钱追踪系统 是一套由慢雾科技创建的专注于打击加密货币洗钱活动的 SaaS 系统,具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。

通过标记 1 千多个地址实体、2 亿多个地址标签,10 万多个威胁情报地址,以及超过 9000 万个与恶意活动相关的地址,MistTrack 为反洗钱分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查,MistTrack 在反洗钱分析评估工作中起到至关重要的作用。

2、方法:

从区块链反洗钱资金态势中我们可以看到很多被黑事件发生后,在 ETH/BSC 链上的资金都不约而同的流向了一片灰暗之地——Tornado.Cash,Tornado.Cash 已成为 ETH/BSC 链上反洗钱的主战场。我们将提出一个针对 Tornado.Cash 资金转出的分析方法。

而在 BTC 链上,通过区块链反洗钱资金态势我们可以看到 ChipMixer 和 Blender 是黑客的常用洗钱平台。Blender 目前已被美国财政部制裁,ChipMixer 流入洗钱资金量巨大,我们同样需要提出一个针对 ChipMixer 资金转出的分析方法。

反洗钱分析详述

本小节使用 MistTrack 基础分析工具对 4 起安全事件展开了反洗钱分析,通过反洗钱分析清晰阐述「攻击手续费来源是什么」、「钱去了哪里」的问题,并创造性的提出了一种数据分析方法来分析 Tornado.Cash 和 ChipMixer 的提款。

四、展望

2023 年在加密货币世界中我们还需要关注什么?

  • 监管合规化
  • 加强对安全审计的关注
  • 扩容继续升温,多链和谐共存
  • 反洗钱与链上追踪分析
  • 加强对备份的关注
  • 零知识证明:扩容与隐私

五、写在最后

本次报告内容基于我们对区块链行业的理解、慢雾区块链被黑档案库 SlowMist Hacked 以及反洗钱追踪系统 MistTrack 的数据支持。但由于区块链的「匿名」特性,我们在此并不能保证所有数据的绝对准确性,也不能对其中的错误、疏漏或使用本报告引起的损失承担责任。同时,本报告不构成任何投资建议或其他分析的根据。本报告中若有疏漏和不足之处,欢迎大家批评指正。

纵览整个 2022,「动荡」一词贯穿全年。尽管仍有暴雷的余震回荡,尽管我们正在经历寒冬,但任何事物都无法改变区块链发展的方向,只有如履薄冰,认真做有利于行业发展的事情才能稳固长久。无论如何,我们仍期待着区块链行业在 2023 年的发展。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK