2022年安全事件造成295起损失达37.28亿美元

慢雾： 2022区块链安全回顾

回顾过去一年，加密领域出现了许多新场景、新APP应用和新变化。 玩家也在增加，但安全问题也困扰着行业的发展。 于是，我决定，金色财经联合徐雾梳理了2022年行业出现的重大安全时间，并进行了相应的分析和解读。

基于慢错块链的黑色事件归档(SlowMist Hacked )统计信息2022年安全事件共295起，损失达37.28亿美元。 与2021年的97.95亿美元相比，减少了约62%，但这不包括因市场动荡而损失的资产。

(2022年安全事件统计

其中各生态系统DeFi、交叉链桥、NFT等安全事件245起，交易所安全事件10起，公共链安全事件11起，沃奥其他类型的安全事件有24起。

从时间上来看，5月和10月的攻击件数最多，达到了38件。 3月的损失额最高，达到约7亿美元。

一、区块链生态安全概要公开链

公共链是Web3领域最重要的基础设施，也是业界竞争最激烈的赛道之一。 2022年最令人吃惊的莫过于Terra事件了。 5月8日，密码货币市场发生了史上最具破坏性的崩溃。 Terra网络的算法稳定货币UST出现了2亿8500万美元的巨额抛售，引起了一系列连锁反应。 Terra的本地令牌LUNA的价格突然毫无征兆地连续悬崖暴跌，一天之内，Luna市值蒸发近400亿美元，全部生态项目TVL也几乎为零。 这次事件可能成为了开启2022加密冬天的死亡按钮。

DeFi跨链桥

[ xy001 ]根据defi llama的数据，截至12月底，defi总仓库价值约为398亿美元，同比下跌75%。 Ethereum在DeFi TVL整体的58.5%(233亿美元)中占主导地位，其次是TRON，TVL为43亿美元，bnbchain(bnb )为42亿美元。 有趣的是，2022年5月，Ethereum的TVL在DeFi中减少了35%，TRON的TVL增加了47%。

[ xy001 ]据slowmisthacked统计，2022年BNBChian发生安全事件约90起，总损失约7.85亿美元，居各连锁平台损失额之首。 另一方面，Ethereum发生了约50起安全事件，总损失额约为5亿2800万美元，其次是Solana发生了约11起安全事件，总损失额约为1亿9600万美元。

根据

duneanalytics的数据，以太桥链桥之间的锁总价值(TVL )约为83.9亿美元，比上半年下降了约31%。 目前TVL最高的是PolygonBridges(30亿美元)，第二位是ArbitrumBridges(12.8亿美元)，其次是optimism bridges (8.5亿美元)。 链桥允许用户在链之间移动加密资产，主要解决多链扩展问题。 但由于链桥之间的智能合约涉及大量资金，缺乏安全审计，吸引了黑客的目光。 [ xy 002 ] [ xy001 ]据slowmisthacked统计，2022年链桥间安全事件共15起，损失达12.1亿美元占2022年总损失的32.45%。

总之，对于项目方来说，为了尽可能地消除漏洞，降低安全风险，在——项目上线之前，必须进行全面深入的安全审计。 同时，各项目方建议通过引入多信号机制加大资产保护力度。 另一方面，各个项目在进行协议之间的交互以及移植其他协议的代码时，需要充分了解移植协议的框架和自己项目的框架设计，使协议之间具有良好的兼容性，防止资金损失。 对于用户来说，随着区块链领域玩法的多样化，用户在进行投资前要仔细了解项目背景，确认该项目是否经过开源审计，在参与项目时提高警惕，提高项目风险

NFT

NFT在2022年引起了很大的关注。 根据NFTScan的数据，以太坊的NFT年交易次数达到1亿9800万次，明显超过了2020年和2021年。 BNBChain上的NFT年交易次数达到3亿4500万次，Polygon上的NFT年交易次数达到7亿9300万次。

另一方面，据SlowMist Hacked不完全统计，2022年NFT赛道安全事件约56起，损失超过6543万美元，其中大部分由钓鱼攻击造成，约占40%(22起)其次是Rug Pull，约占21%(12件)。

钱包交易平台[ xy 002 ] [ xy001 ] 2月8日宣布，美国司法部(DOJ )查获价值36亿美元的比特币这些比特币与2016年密码货币交易所Bitfinex的黑客事件有关。 34岁的Ilya Lichtenstein及其31岁的妻子Heather Morgan在纽约被捕两人被指控共谋洗钱和欺诈罪。 这也是美国司法部历史上最大规模的金融扣押。

11月6日，币安创始人CZ宣布决定清算账面上剩余的所有FTT，引发了两大交易所之间的对立。 Alameda CEO和FTX CEO SBF相继发布消息，试图巩固用户的信任，欺骗此前的曝光，但流动性枯竭后，FTX迅速破产。 结果，FTX被逮捕了，SBF被逮捕了。 中心化交易所的不透明再次引发了人们的信任危机，缺乏审慎监管越来越突出。 无论是更加严格地保护消费者，还是更加明确组织的规则，监管的步伐都会越来越明确。

ftx雷击后，硬件钱包销售额大幅增长，用户最多的钱包MetaMask月活用户达到3000万人。 根据Finbold数据，基于前21个加密货币存储app APP应用，2022年1月至2022年10月，Android和iOS设备上的加密钱包下载量约为1.0206亿次。 这个数字低于2021年牛市期间的1.7785亿次下载量，但高于2021年以外的任何一年。 按月数据显示，加密钱包的下载数量在年初呈减少趋势但在Terra/Luna衰变和FTX暴雷后，均大幅增加。

其他

区块链技术不可逆、匿名的特点在有效保护隐私的同时，也为网络犯罪提供了“保护伞”。 随着元宇宙、NFT等概念的兴起，盗号、诈骗案件时有发生，不少不法分子打着区块链旗号发行所谓虚拟资产，实施诈骗，黑灰产的先进性和专业性超乎想象。

根据中国人民银行支付结算部门的数据，在2021年涉及欺诈的支付方式中，加密货币支付仅次于银行转账，排名第二，达到7.5亿美元。 2020年、2019年仅为1.3，0.3亿美元逐年大幅增加的趋势明显。 值得注意的是，加密货币转账因“杀猪”诈骗而迅速发展。 2021年“杀猪盘”诈骗资金中有1.39亿美元用加密货币支付是2020年的5倍，2019年的25倍。

根据美国联邦贸易委员会(FTC )发表的报告，从2021年初开始的一年多间，超过4.6万人报告遭遇了加密货币诈骗损失总额超过10亿美元。 据报告，最常见的加密货币诈骗类型是投资相关诈骗，在总额10亿美元中占5亿7500万美元，最频繁支付给诈骗者的加密货币为BTC(70 )、usdt (10 )、eth ) )9)。

二、攻击手法

295次安全事件中攻击手法主要分为三类。 由于项目本身的设计缺陷和各种合同不完备而造成的攻击； 包括Rug Pull、钓鱼、Scam类型的方法； 私钥泄露造成的资产损失。

2022年最常见的攻击手段是由于项目本身的设计缺陷和各种合同漏洞引起的，约92起造成10.6亿美元的损失，占总数量的40.5%。 其中主要是电击信贷攻击，约19起、损失6133万美元，包括其他再进口问题、价格操纵、核实问题等。

由于私钥被盗导致的资产损失发生率约为6%，但损失金额达7.46亿美元，在仅次于合同不完备利用的私钥被盗案件中，损失最大的来自Ronin事件，其次是Harmony，全部来自链桥。 [ xy 002 ] [ xy001 ]在web 3的世界里，用户的安全意识往往很零散，从而导致对用户的钓鱼攻击频繁发生。 例如，攻击者利用恶意手段将各项官方媒体平台(如Discord、Twitter )占为己有，或伪造官方媒体号码发布钓鱼Mint、AirDrop链接，有时转发真实官方号码内容进行雅虎观看例如、利用搜索引擎上的广告宣传与虚假网站和官方域名高度相似的域名和内容，制造虚假真实； 例如通过伪造邮件或吸引人的赠品活动让你入局，另外利用新的用户信息差提供假APP的下载链接。 不管怎样最需要提高安全意识。 同时，发现自己身上的把戏，第一时间转移资产，立即止损留下证据，必要时寻求行业安全机构的帮助。

其次，最令人痛恨的是Rug Pull。 Rug Pull通常指项目的开发人员放弃项目，携款潜逃，项目方主动为非作歹。 这可以通过多种方式发生，例如开发商开始初始流动性，提高价格，然后撤回流动性项目方，创建加密项目通过各种营销手段吸引加密用户投资，及时无征兆地哄抬用户投资的资金，出售加密资产，最终销声匿迹，投资项目的用户也将蒙受巨大损失。 例如，再建立一个网站，但在筹集了几十万存款后关闭。 2022年RugPull事件达50起，损失约1.88亿美元，在BSC生态和NFT领域较为常见。

2022年其他比较新的手段是前端恶意攻击、DNS攻击和BGP劫持； 最奇怪的是人为的配置操作错误导致的资产损失。

三、钓鱼/诈骗手段

本部分仅选择SlowMist公开的部分钓鱼/诈骗手段。

浏览器恶意书签Discord Token

当前浏览器具有附带的书签管理器在提供便利的同时也容易被攻击者利用。 您可以通过精心构建恶意钓鱼页面，将JavaScript代码插入到收藏夹书签中。 有了这个，几乎什么都能做、以及基于Discord中封装的webpackChunkdiscord_app前端包的信息获取。 当Discord用户单击时，恶意JavaScript代码在用户所在的Discord域中执行，以窃取Discord Token，攻击者获取项目端的Discord Token后，可以直接自动继承项目端Discord帐户的相关权限。 攻击者得到了Token就和登录了Discord账户一样可以进行与登录Discord相同的操作。 例如，可以制作Discord webhook机器人，在频道上发布公告等虚假信息进行钓鱼。 以下是受害者单击钓鱼书签的演示。

表示攻击者创建的JavaScript代码在获取Token等个人信息后，在Discord Server的webhook上接收到。

假设用户登录Web端的Discord的前提下，受害者被引导到钓鱼页面添加了恶意书签，在Discord Web端登录时点击该书签，进行恶意的书签、受害者的Token等个人信息通过攻击者设置的Discord webhook发送到攻击者的通道。

“零元购买”NFT钓鱼

例如下图所示的钓鱼网站，签名内容为

Maker :用户地址[ xy 002 ] [ xy 001 ] taker:0 xde 6135 b 63 de cc47 D5 a5d 47834 a7dd 241 Fe 61945 a [ xy 002 ]

exchange:0x7f 268357 a8c 2552623316 e 2562 d 90 e 642 bb538 e5(open sea v2合同地址(xy002 ) [ xy 001 ]

这是一种常见的NFT钓鱼方法，骗子可以用0 ETH (或任何令牌)购买你所有许可证的NFT。 也就是说，这是欺骗用户在NFT上签名的销售订单，NFT由用户持有，用户在该订单上签名后，骗子可以通过OpenSea直接购买用户的NFT，但购买的价格由骗子决定。 也就是说，骗子可以不花任何资金就“买”用户的NFT。

还有，签名本身是为攻击者存储的，不能在Revoke.Cash或Etherscan等站点上撤销许可证并放弃签名的有效性，但可以撤销以前发票的许可证。 这样也可以从根本上避免这种钓鱼风险。

Redline Stealer木马盗币

此攻击主要通过Discord邀请用户参加新游戏项目的内部测试，打出“给予优惠”等招牌。一般来说，发送压缩数据包，解压缩后变成约800 M左右的exe文件。 在电脑上运行时，会扫描电脑上的文件，过滤出包含Wallet等关键字的文件并上传到攻击者服务器目的是偷密码币。

RedLine Stealer是一种恶意木马软件，于2020年3月发现，在地下论坛单独销售。 该恶意软件从浏览器中收集保存的凭据、自动完成数据和信用卡等信息。 在目标计算机上运行时，它会收集用户名、位置数据、硬件配置和安装的安全软件等详细信息。 新版本的RedLine添加了窃取加密货币的功能，可以自动扫描本地计算机上安装的数字货币钱包信息并将其上载到远程控制器。 该恶意软件提供上传和下载文件、运行命令以及定期返回有关受感染计算机的信息的功能。 经常扫描加密货币钱包目录、钱包文件。

空支票eth_sign钓鱼

连接到钱包并单击Claim时，将显示签名申请框，元标记中将显示红色警告而且，光从这个弹坑里，是无法判别想要签名的是什么的。 其实这是非常危险的签字类型，基本上是以太坊的“空白支票”。 通过这个钓鱼，骗子可以用你的私钥签署任何交易。

因为该eth_sign方法可以签名任何散列，所以当然可以签名我们签名的bytes32数据。 因此，攻击者在连接到DApp后，只需获取我们的地址并分析和查询我们的帐户，可以构建任何数据。 例如，用eth_sign签名native令牌转账、合同调用等。

另外，在你拒绝了上述sign之后，它会在你的MetaMask上自动显示另一个签名框，有钓鱼在你不注意的时候骗取你的签名。 看看签名的内容吧，使用SetApprovalForAll方法，同时Approved asset的目标显示为All of your NFT。 也就是说，一旦签名，骗子就可以无限制地偷走你所有的NFT。

这种钓鱼方式会让用户感到强烈的困惑。 以前我们遇到的许可证类钓鱼通过元标记直观地展示了攻击者希望我们签名的数据。 攻击者使用eth_sign方法让用户签名时MetaMask只显示了bytes32的一串散列。

尾号相同的TransferFrom零转账诈骗

用户的地址转账记录中不断出现陌生的地址转账0 USDT而且，这笔交易都是通过调用TransferFrom函数进行的。 这主要是因为令牌合同的TransferFrom函数没有必要强制使批准转账金额大于0因此，可以从任何用户帐户向非法帐户启动汇款0的交易，而不会失败。 恶意攻击者利用此条件连续向链上的活动用户发起TransferFrom操作，从而触发转账事件。

除了0USDT转账造成的骚扰外，还伴随攻击者对交易规模大、频率高的用户持续空投小额Token (例如0.01 USDT或0.001 USDT等)，攻击者的地址尾数和用户的地址尾数基本相同，一般为后几名，用户在复制历史转账记录的地址时，不小心复制错误，造成资产损失。

以上只是以一般的攻击手法和场景为例，实际上道高一尺魔高一丈，黑客的攻击手法永无新意。 我们能做的就是提高自己的见识。

对于个人用户，请遵守以下安全规则和原则可以避免大部分风险。

两个安全法则：

零信任。 简单来说，就是继续怀疑。 而且，要经常保持怀疑。 继续验证

。 要相信，就要有检验疑点，并使其能力习惯化的能力。

安全原则：

网络知识总是参考至少两个来源的信息，互相证实，总是相互怀疑。

隔离，即鸡蛋不要放在篮子里。

对于有重要资产的钱包不做简单的更新，充分使用就好了。 看起来签了名。 也就是说，你看到的内容是你期待签名的内容，你发出签名后，结果应该是你期待的，绝对不是后来拍大腿砍的。

重视系统的安全更新，一有安全更新就立即行动。

推荐阅读

企业币和虚拟货币？有什么本质区别吗？

比特币 网购？比特币网购

比特币 美元 比特币美元走势

比特币中国日交易量，比特币 中国交易量

比特币期货详细？比特币期货详细介绍

比特币杠杆爆仓，比特币杠杆爆仓故事

测试比特币 比特币算命

比特币和黄金总市值 比特币和黄金总市值对比

jpex数字货币交易所(JPEX上线NFT系列合约对冲神器)

什么是加密数字货币(忙吗？有时间看一下，这就是加密数字货币交易者都担心USDT的原因)